Имеется настроенный и прекрасно работающий IPSec между Mikrotik. Трафик между сетями ходит.
Необходимо что бы MIkrotik в филиале с адресом 10.10.100.1 имел доступ серверу времени и почтовому серверу находящихся в офисе в сети 10.10.200.0/24
Насколько я понимаю MIkrotik в филиале инициализирует соединение с себя до адресов за тунелем используя внешний IP адрес, поэтому трафик и не проходит
Если с MIkrotik в филиале делаю пинг до сервера с указанием srs-adr=10.10.100.1 то пинг проходит
Не могу понять какие ему нужны правила что бы трафик проходил
Доступ с Mikrotik к сети за IPSec
-
- Сообщения: 132
- Зарегистрирован: 11 янв 2019, 14:48
А что в политике ipsec указано? Какой трафик в тунель заворачивать?
-
- Сообщения: 3
- Зарегистрирован: 04 май 2020, 14:11
Указано заворачивать весь трафик от этой сети. Трафик из сетей ходит свободно, подключение к Mikrotik возможно из любой сети (Winbox, SNMP, ICMP).
Проблема только когда сам Mikrotik инициализирует соединение. Если для пинга указать локальный IP, то пинг до узла в сети за IPsec проходит.
Я так понимаю, когда соединение идет с него, то для отправки используется WAN интерфейс и соответственно его IP, так как сети находятся за ним.
И получается что трафик уходит с указанием src IP WAN а dst локальный сети за IPSec
Проблема только когда сам Mikrotik инициализирует соединение. Если для пинга указать локальный IP, то пинг до узла в сети за IPsec проходит.
Я так понимаю, когда соединение идет с него, то для отправки используется WAN интерфейс и соответственно его IP, так как сети находятся за ним.
И получается что трафик уходит с указанием src IP WAN а dst локальный сети за IPSec
-
- Сообщения: 132
- Зарегистрирован: 11 янв 2019, 14:48
Была подобная проблема.
Насколько помню где-то откопал решение, и оно реально работало ( в маршрутах на моем устройстве сейчас закомментировано это правило):
Нужно создать маршрут в удаленную сеть и в качестве gateway указать bridge
Насколько помню где-то откопал решение, и оно реально работало ( в маршрутах на моем устройстве сейчас закомментировано это правило):
Нужно создать маршрут в удаленную сеть и в качестве gateway указать bridge
-
- Сообщения: 3
- Зарегистрирован: 04 май 2020, 14:11
Странный маршрут, но заработал. Спасибо
bridge не используется. ether1 - WAN ether2 - LAN
/ip route
add dst-address=10.10.200.0/24 gateway=ether2
bridge не используется. ether1 - WAN ether2 - LAN
/ip route
add dst-address=10.10.200.0/24 gateway=ether2
-
- Сообщения: 132
- Зарегистрирован: 11 янв 2019, 14:48
Ну я передал смысл, рассчитывая на понимание. Нет бриджа значит тот интерфейс который смотрит в лок сеть, которая в свою очередь у вас в политике ipsec
Хорошо, что заработало.
Хорошо, что заработало.