На Микротике hEX S:
10.0.0.174/24 LAN (eth2-5 в bridge)
20.20.20.1/24 Условный INET (eth1)
К нему подключается PC Linux Mint в режиме RoadWarrior, на ПК поднят виртуальный интерфейс ipsec, который при подключении получает из пула адрес 10.50.50.x. Туннель между ними устанавливается, на интерфейсе пк(ipsec) появляется адрес 10.50.50.20. Пинги в сеть 10.0.0.0\24 ходят, на Mikrotik в Ipsec->Active peers по счетчику пакетов вижу что все летит через туннель, все ОК.
С Mikrotik пингуется машина по адресу 10.50.50.20. С подсети 10.0.0.0/24 пинги до 10.50.50.20 не летят. На ПК фаервол голый, пробовал добавлять /ip firewall nat chain=srcnat dst-address=10.50.50.0/24 action=masquerade - не помогает.
Соответственно конфиг микрота такой:
Код: Выделить всё
/interface bridge
add name=bridge1
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
/ip address
add address=10.0.0.174/24 interface=bridge1 network=10.0.0.0
add address=20.20.20.1/24 interface=ether1 network=20.20.20.0
/ip pool
add name=pool1 ranges=10.50.50.10-10.50.50.20
/ip ipsec peer
add exchange-mode=ike2 local-address=20.20.20.1 name=peer1 passive=yes
/ip ipsec policy group
add name=ike2-policy
/ip ipsec profile
set [ find default=yes ] dh-group=modp1024 enc-algorithm=aes-256 hash-algorithm=md5
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=md5 enc-algorithms=aes-256-cbc
/ip ipsec mode-config
add address-pool=pool1 name=cfg1 split-include=10.0.0.0/24 system-dns=no
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
add action=masquerade chain=srcnat dst-address=10.0.0.0/24 out-interface=bridge1
/ip ipsec identity
add generate-policy=port-strict mode-config=cfg1 peer=peer1 policy-template-group=ike2-policy secret=secretipsec
/ip ipsec policy
add dst-address=10.50.50.0/24 group=ike2-policy src-address=0.0.0.0/0 template=yes
/ip ipsec settings
set accounting=no
/ip route
add comment="DEFAULT GATEWAY" distance=1 gateway=20.20.20.2
add dst-address-10.50.50.0/24 gateway=bridge1
apt install strongswan
Создаю виртуальный интерфейс
Код: Выделить всё
ip link add dummy0 type dummy
ip link set name ipsec dev dummy0
ifconfig ipsec hw ether 8a:58:58:61:b1:c1
Код: Выделить всё
conn peer1
authby=secret
keyexchange=ikev2
ike=aes256-md5-mopd1024
esp=aes256-md5
leftsubnet=%modeconfig
right=20.20.20.1
rightsubnet=10.0.0.0/24
auto=add
Код: Выделить всё
charon {
install_routes = yes
install_virtual_ip = yes
install_virtual_ip_on = ipsec
ipsec start
ipsec up peer1
Собственно вывод ipsec statusall говорит что связь утсановлена. По счетчику пакетов я вижу что все летит в 10.0.0.0 через тунель. Вопрос как достучатся до самого пк по адресу 10.50.50.х с подсети 10.0.0.0/24?
P.S.: Да, виртуальный интерфейс "нужен".