Сеть №1 (Предприятие)
Адреса: 172.25.0.0/16
Gateway: 172.25.0.1
DNS: 172.25.0.11
Search domain: work.domain
External IP: XXX.XXX.XXX.XXX
PfSense, на котором поднят IPSec для доступа к внутренним ресурсам из-вне.
Сеть №2 (Дом)
Адреса: 192.168.88.0/24
GateWay: 192.168.88.1
DNS: от провайдера, при подключении к сети №1 подменяется на 172.25.0.11
External IP: YYY.YYY.YYY.YYY (static)
Mikrotik
Нужно добиться следующего, чтобы Mikrotik при включении устанавливал связь с офисной сетью (компьютеры из сети №2 могли доступаться к ресурсам из сети №1, но не наоборот)
Сейчас на микротике работает следующая конфигурация:
Код: Выделить всё
/ip ipsec peer
add address=XXX.XXX.XXX.XXX/32 exchange-mode=ike2 local-address=YYY.YYY.YYY.YYY \
name=WK_Peer
/ip ipsec policy group
add name=WK
/ip ipsec profile
set [ find default=yes ] enc-algorithm=aes-256,aes-192,aes-128,3des,des \
hash-algorithm=sha512
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha512,sha1 pfs-group=none
/ip address
add address=192.168.88.1/24 interface=bridge1 network=192.168.88.0
/ip firewall filter
...
add action=accept chain=forward ipsec-policy=in,ipsec
/ip firewall nat
add action=src-nat chain=srcnat dst-address=172.25.0.0/16 src-address=\
192.168.88.0/24 to-addresses=10.11.0.2
add action=src-nat chain=srcnat dst-address=!172.25.0.0/16 src-address=\
192.168.88.0/24 to-addresses=YYY.YYY.YYY.YYY
/ip ipsec identity
add auth-method=eap certificate=ca.crt_0 eap-methods=eap-mschapv2 \
generate-policy=port-strict mode-config=request-only password=xxxxxxxxxxxx \
peer=WK_Peer policy-template-group=WK username=user@work.mail
/ip ipsec policy
set 0 dst-address=0.0.0.0/0 group=WK src-address=0.0.0.0/0
add dst-address=XXX.XXX.XXX.XXX/32 group=WK src-address=YYY.YYY.YYY.YYY/32 \
template=yes
/ip ipsec settings
set accounting=no
/ip route
add distance=1 dst-address=172.25.0.0/16 gateway=ether1 pref-src=10.11.0.2
После поднятия IPSec, нужно добавить маршрут add distance=1 dst-address=172.25.0.0/16 gateway=ether1 pref-src=10.11.0.2, где pref-src указать тот IP, который получен от PfSense, а так же одно правило NAT с тем же самым IP. Однако, заранее неизвестно, какой IP выделит PfSense, а выделить статический адрес невозможно (либо, я просто не знаю как).
В общем, прошу помощи в решении вопроса, как сделать так, чтобы всё работало без ручных корректировок правил NAT и маршрутов после поднятия IPSec?