Как завернуть трафик в IPSec туннель

[keeper37]

Всем доброго дня.

Задача такова. Есть между двумя офисами IPSec туннель.
Офис один, несколько сетей 192.168.10.0/24 192.168.20.0/24 192.168.30.0/24 и т.д. до 80-й подсети. Работает на CCR1016-12S-1S+
Офис два есть сеть 192.168.100.0/24 и 172.16.16.0/24 (в ней просто отделены несколько ресурсов, как бэ DMZ). Работает на D-Link DFL-860E

На Mikrotik настроена политика:

Код: Выделить всё

/ip ipsec policy
add dst-address=192.168.100.0/24 sa-dst-address=AAA.BBB.CCC.DDD sa-src-address=EEE.FFF.GGG.HHH src-address=192.168.0.0/16 \
    tunnel=yes

Туннель поднимается и я вижу всю сеть 192.168.100.0/24 офиса 2. Из офиса 2 нет необходимости видеть сеть офиса 1.
Не уверен на счет правильности 192.168.0.0/16, но работает.
Задача стоит достучаться до 172.16.16.0/24 из офиса 1.

Как завернуть трафик в существующий IPSec туннель?

[keeper37]

Разобрался.
На другой стороне (на D-Link) забыл указать в качестве локальной сети еще и сеть 172.16.16.0/24. Пришлось создать группу адресов.192.168.100.0/24 и 172.16.16.0/24.
На микротике скопировал политику и в ней в качестве Dst адреса указал 172.16.16.0/24.
Настроил правила фаервола на обеих сторонах и все поехало.