Доступ с Mikrotik к сети за IPSec

Обсуждение ПО и его настройки
Ответить
vvn
Сообщения: 3
Зарегистрирован: 04 май 2020, 14:11

Имеется настроенный и прекрасно работающий IPSec между Mikrotik. Трафик между сетями ходит.
Необходимо что бы MIkrotik в филиале с адресом 10.10.100.1 имел доступ серверу времени и почтовому серверу находящихся в офисе в сети 10.10.200.0/24

Насколько я понимаю MIkrotik в филиале инициализирует соединение с себя до адресов за тунелем используя внешний IP адрес, поэтому трафик и не проходит
Если с MIkrotik в филиале делаю пинг до сервера с указанием srs-adr=10.10.100.1 то пинг проходит

Не могу понять какие ему нужны правила что бы трафик проходил


imaoskol
Сообщения: 132
Зарегистрирован: 11 янв 2019, 14:48

А что в политике ipsec указано? Какой трафик в тунель заворачивать?


vvn
Сообщения: 3
Зарегистрирован: 04 май 2020, 14:11

Указано заворачивать весь трафик от этой сети. Трафик из сетей ходит свободно, подключение к Mikrotik возможно из любой сети (Winbox, SNMP, ICMP).

Проблема только когда сам Mikrotik инициализирует соединение. Если для пинга указать локальный IP, то пинг до узла в сети за IPsec проходит.

Я так понимаю, когда соединение идет с него, то для отправки используется WAN интерфейс и соответственно его IP, так как сети находятся за ним.
И получается что трафик уходит с указанием src IP WAN а dst локальный сети за IPSec


imaoskol
Сообщения: 132
Зарегистрирован: 11 янв 2019, 14:48

Была подобная проблема.
Насколько помню где-то откопал решение, и оно реально работало ( в маршрутах на моем устройстве сейчас закомментировано это правило):
Нужно создать маршрут в удаленную сеть и в качестве gateway указать bridge


vvn
Сообщения: 3
Зарегистрирован: 04 май 2020, 14:11

Странный маршрут, но заработал. Спасибо
bridge не используется. ether1 - WAN ether2 - LAN
/ip route
add dst-address=10.10.200.0/24 gateway=ether2


imaoskol
Сообщения: 132
Зарегистрирован: 11 янв 2019, 14:48

Ну я передал смысл, рассчитывая на понимание. Нет бриджа значит тот интерфейс который смотрит в лок сеть, которая в свою очередь у вас в политике ipsec
Хорошо, что заработало. :-ok-:
vvn писал(а): 06 май 2020, 15:04 Странный маршрут, но заработал. Спасибо
bridge не используется. ether1 - WAN ether2 - LAN
/ip route
add dst-address=10.10.200.0/24 gateway=ether2


Ответить