Интернет через ipsec site-to-site

Обсуждение ПО и его настройки
Ответить
dima1208
Сообщения: 41
Зарегистрирован: 18 ноя 2016, 11:18

Добрый вечер.

Имеется такая схема:
1. Дома микротик А, провайдер один
2. На работе микротик Б, провайдер другой

Между ними поднят site-to-site ipsec туннель. С обоих концов все пингуется.

Дома отключили интерент за неуплату, то есть при попытке открыть любую страницу вижу грустный смайлик от провайдера. Но туннель все то работает, пингуется сеть на работе, захожу по рдп спокойно и т.д.

Каким образом можно сделать чтобы "интернет дома заработал через работу"? )))


Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Добавить маршрут, который укажет выход в мир через туннель. + dns сервер оттуда-же.


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
dima1208
Сообщения: 41
Зарегистрирован: 18 ноя 2016, 11:18

добавляю маршрут 0.0.0.0/0 шлюз 192,168,0,1 (микротик на работе) - пишет unreachable, хотя пингуется


Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Список всех маршрутов в студию.


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

"не правильно ты Дядя Федор буртерброд ешь..." (с) Нельзя в маршруте указать сразу конечный адрес, нужно указывать ближайший хост, а дальше оно само по цепочке.
Пример:
Усройство А: 192.168.1.1/24
Устройство Б: 192.168.2.1/24
Между ними туннель, в этом туннеле устройство А имеет адрес 192.168.0.1, а устройство Б - 192.168.0.2
Маршрут из сети А в сеть Б будет выглядеть так - add distance=1 dst-address=192.168.2.0/24 gateway=192.168.0.2
Маршрут из сети Б в сеть А будет выглядеть так - add distance=1 dst-address=192.168.1.0/24 gateway=192.168.0.1
Основной маршрут, для доступа в интернет из сети А в сеть Б так - add distance=1 dst-address=0.0.0.0/0 gateway=192.168.0.2


dima1208
Сообщения: 41
Зарегистрирован: 18 ноя 2016, 11:18

 ip route print

Код: Выделить всё

 0 ADS  0.0.0.0/0                                      xxx.yyy.250.5           0   //
 1 ADS  xxx.yyy.250.0/24                          eth1-WAN                  0
 2 ADC  xxx.yyy.250.5/32   внешнийIP       eth1-WAN                  0
 6 ADC  192.168.11.0/24    192.168.11.1    bridge-local             0  //домашняя подсеть


 ip ipsec policy print

Код: Выделить всё

src-address=192.168.11.0/24 src-port=any dst-address=192.168.0.0/24 dst-port=any protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes sa-src-address=домашнийWAN-IP 
sa-dst-address=на-работе-WAN-IP proposal=new priority=0


на работе тоже самое только наоборот.


Ответить