Здравствуйте.
Есть центральный офис (192.168.0.0/24) и филиалы, все филиалы связаны с офисом по L2TP/IPSEC туннелям (везде микротики). Все работает.
В филиале А (10.1.2.0/24) поставили видеорегистратор и хотят иметь к нему доступ из филиала Б (192.168.2.0/24). Можно ли прописать маршруты на микротиках, чтобы не поднимать туннель между А и Б?
Если можно, натыкайте пожалуйста носом по порядку, что и где сделать?
Спасибо.
Маршруты между микротиками?
-
- Сообщения: 1752
- Зарегистрирован: 09 июл 2014, 12:33
Можно.
Если адреса в L2TP выдаеются не из пула, а привязаны железно в PPP-secret.
У каждого L2TP соединения на каждом конце есть IP адрес. Свой называется "локальный", адрес на другом конце этого соединения называется "удаленный". На двух концах это одни и те же адреса, только для одного конца свой - локальный. для другого конца он - удаленный, и наоборот.
Нужно создать маршруты
В филиале А на сеть 192.168.2.0/24 через свой локальный адрес соединения L2TP с центральным офисом
В центральном офисе 2 маршрута.
1. На сеть 192.168.2.0/24 через свой локальный адрес соединения L2TP с филиалом В
2. На сеть 10.1.2.0/24 через свой локальный адрес соединения L2TP с филиалом А
В филиале В на сеть 10.1.2.0/24 через свой локальный адрес соединения L2TP с центральным офисом.
Если адреса в L2TP выдаеются не из пула, а привязаны железно в PPP-secret.
У каждого L2TP соединения на каждом конце есть IP адрес. Свой называется "локальный", адрес на другом конце этого соединения называется "удаленный". На двух концах это одни и те же адреса, только для одного конца свой - локальный. для другого конца он - удаленный, и наоборот.
Нужно создать маршруты
В филиале А на сеть 192.168.2.0/24 через свой локальный адрес соединения L2TP с центральным офисом
В центральном офисе 2 маршрута.
1. На сеть 192.168.2.0/24 через свой локальный адрес соединения L2TP с филиалом В
2. На сеть 10.1.2.0/24 через свой локальный адрес соединения L2TP с филиалом А
В филиале В на сеть 10.1.2.0/24 через свой локальный адрес соединения L2TP с центральным офисом.
-
- Сообщения: 41
- Зарегистрирован: 18 ноя 2016, 11:18
Тут немного непонятно. Туннели поднимаются автоматически, настроены в разделе IP-IPSEC, а не в PPP. Там указаны внутренние подсети и внешние адреса (белые). При поднятии туннелей везде автоматически создаются маршруты.Erik_U писал(а): ↑08 май 2019, 10:20 Можно.
Если адреса в L2TP выдаеются не из пула, а привязаны железно в PPP-secret.
У каждого L2TP соединения на каждом конце есть IP адрес. Свой называется "локальный", адрес на другом конце этого соединения называется "удаленный". На двух концах это одни и те же адреса, только для одного конца свой - локальный. для другого конца он - удаленный, и наоборот.
Нужно создать маршруты
В филиале А на сеть 192.168.2.0/24 через свой локальный адрес соединения L2TP с центральным офисом
В центральном офисе 2 маршрута.
1. На сеть 192.168.2.0/24 через свой локальный адрес соединения L2TP с филиалом В
2. На сеть 10.1.2.0/24 через свой локальный адрес соединения L2TP с филиалом А
В филиале В на сеть 10.1.2.0/24 через свой локальный адрес соединения L2TP с центральным офисом.
Я создал на филиале Б маршрут на А, при пинге с микротика регистратора идет таймаут и периодически ответ от 192.168.2.1 (микротик на том конце) что хост недоступен...
-
- Сообщения: 1752
- Зарегистрирован: 09 июл 2014, 12:33
Значит у вас не
как вы писали в 1 сообщении темы.все филиалы связаны с офисом по L2TP/IPSEC туннелям (везде микротики)
в L2TP/IPSEC туннеле адресация берется из настроек L2TP в разделе PPP.
Для того, чтобы делать маршрутизацию, эту адресацию нужно сделать статичной. Это делается там же, в разделе PPP.Secrets логину каждого филиала назначьте IP адреса.
Автоматически маршруты добавляются только дефолтные (если настройка сделана), и на сеть, к которой принадлежит адрес, назначенный на интерфейс. В случае с L2TP это адрес из /32 сети, т.е. маршрут сам на себя. А никак не на сети, которые за ним.
Маршруты на сети за L2TP интерфейсом нужно добавлять руками. Если нужно пинговать все L2TP интерфейсы, то маршруты на все /32 сети тоже добавлять.
-
- Сообщения: 41
- Зарегистрирован: 18 ноя 2016, 11:18
Я не так выразился, прошу прощения. Я не использую раздел PPP вообще, у меня IPSEC туннели, я тут зря приплел L2TP. В офисе настроены политики и пиры для каждого филиала, а на филиалах по одной политике и одному пиру в офис. Вот в них указаны только локальные и удаленные подсети и внешние адреса друг друга.Erik_U писал(а): ↑08 май 2019, 11:11Значит у вас некак вы писали в 1 сообщении темы.все филиалы связаны с офисом по L2TP/IPSEC туннелям (везде микротики)
в L2TP/IPSEC туннеле адресация берется из настроек L2TP в разделе PPP.
Для того, чтобы делать маршрутизацию, эту адресацию нужно сделать статичной. Это делается там же, в разделе PPP.Secrets логину каждого филиала назначьте IP адреса.
Автоматически маршруты добавляются только дефолтные (если настройка сделана), и на сеть, к которой принадлежит адрес, назначенный на интерфейс. В случае с L2TP это адрес из /32 сети, т.е. маршрут сам на себя. А никак не на сети, которые за ним.
Маршруты на сети за L2TP интерфейсом нужно добавлять руками. Если нужно пинговать все L2TP интерфейсы, то маршруты на все /32 сети тоже добавлять.
В офисе и филиалах маршруты созданы вручную (опять прошу прощения, соврал), в DST.ADDRESS указаны удаленные подсети, в GATEWAY локальный бридж. И все работает, все пингуется и доступы управляются фаерволом.
Вот дальше непонятно как из Б в А попасть)))
-
- Сообщения: 1752
- Зарегистрирован: 09 июл 2014, 12:33
если в IPSEC настройки сделаны для конкретных сетей, например туннель между филиалом А и центральным офисом шифрует только пакеты из сети А и сети Центрального офиса, то пакеты из офиса В этот туннель отбросит.
Их нужно разрешить в настройках IPSEC.
Ну и в таблице маршрутизации офиса А должен быть маршрут до сети В, иначе пакеты пойдут в маршрут по-умолчанию, а это интернет, где сети В нет.
То же самое с офисом В, там должен быть маршрут в сеть А.
В центральном офисе должны быть оба маршрута, и в сеть А и в сеть В. Кроме того, IPSEC в сторону А в центральном офисе должен шифровать сеть В, а в сторону В - сеть А.
Их нужно разрешить в настройках IPSEC.
Ну и в таблице маршрутизации офиса А должен быть маршрут до сети В, иначе пакеты пойдут в маршрут по-умолчанию, а это интернет, где сети В нет.
То же самое с офисом В, там должен быть маршрут в сеть А.
В центральном офисе должны быть оба маршрута, и в сеть А и в сеть В. Кроме того, IPSEC в сторону А в центральном офисе должен шифровать сеть В, а в сторону В - сеть А.
-
- Сообщения: 41
- Зарегистрирован: 18 ноя 2016, 11:18
Создал политики в IPSEC в офисе А>Б и Б>А, и на филиалах по одному до друг друга через офис. Туннели поднялись, добавил маршруты, но пингов нет, создал правило доступа к регистратору по 80 порту - счетчик пакетов на нуле... Что я мог забыть?Erik_U писал(а): ↑08 май 2019, 11:38 если в IPSEC настройки сделаны для конкретных сетей, например туннель между филиалом А и центральным офисом шифрует только пакеты из сети А и сети Центрального офиса, то пакеты из офиса В этот туннель отбросит.
Их нужно разрешить в настройках IPSEC.
Ну и в таблице маршрутизации офиса А должен быть маршрут до сети В, иначе пакеты пойдут в маршрут по-умолчанию, а это интернет, где сети В нет.
То же самое с офисом В, там должен быть маршрут в сеть А.
В центральном офисе должны быть оба маршрута, и в сеть А и в сеть В. Кроме того, IPSEC в сторону А в центральном офисе должен шифровать сеть В, а в сторону В - сеть А.
-
- Сообщения: 1752
- Зарегистрирован: 09 июл 2014, 12:33
по вашему описанию трудно что-то сказать.
Кто инициатор IPSEC?
Кто инициатор IPSEC?
-
- Сообщения: 41
- Зарегистрирован: 18 ноя 2016, 11:18
-
- Сообщения: 1752
- Зарегистрирован: 09 июл 2014, 12:33
у кого галки "Passiv"? Тот ответчик, а инициатор - другая сторона.
Попробуйте создать Address List (в IP:Firewall.Address_Lists), куда включите подсети, между которыми нужно взаимодействие.
И создайте IP:IPsec.Mode_Configs конфигурацию с этим Address List.
А ее уже в свою очередь добавьте в IP:IPsec.Identities для ваших туннелей.
У вас есть запасные удаленные входы? Не эксперементируйте, если их нет, можно потерять связь.
Попробуйте создать Address List (в IP:Firewall.Address_Lists), куда включите подсети, между которыми нужно взаимодействие.
И создайте IP:IPsec.Mode_Configs конфигурацию с этим Address List.
А ее уже в свою очередь добавьте в IP:IPsec.Identities для ваших туннелей.
У вас есть запасные удаленные входы? Не эксперементируйте, если их нет, можно потерять связь.