проблема соединения zywall и mikrotik

smmaks · 14 сен 2020, 17:14

Всем доброго времени суток.
Есть 2 сети.
Сеть Х с внутренней сетью 192.168.1.0 в качестве маршрутизатора стоит zywall usg 50
Сеть Y c внутренней сетью 192.168.0.0 в качестве маршрутизатора стоит древняя isa.
Между ними поднят ipsec site-to site тоннель и все работает.
Вместо исы ставлю микротик 2011. Тоннель настроил, из сети Y я вижу компы внутри сети Х. Пинги ходят, рдп подключается и т.п. А вот в обратную строну - нет. Максимум что работает, это пинг до самого микротика. В сеть за микротиком никак. Настраивал по статьям из интернета.
Подскажите в какую сторону копать? что не так? сейчас вернул ису обратно - снова все работает.
Конфиг микротика прилагаю.

Код: Выделить всё

# sep/14/2020 16:09:11 by RouterOS 6.47.3
# 
# model = RB2011iL

/interface bridge
add arp=proxy-arp name=bridge-local
/interface ethernet
set [ find default-name=ether1 ] comment=WAN
set [ find default-name=ether2 ] comment=LAN
set [ find default-name=ether3 ] arp=proxy-arp
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip ipsec peer
add address=ххх.ххх.ххх.ххх/32 name=zywall
/ip ipsec profile
set [ find default=yes ] dpd-interval=3s nat-traversal=no
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=\
    aes-256-cbc,aes-192-cbc,aes-128-cbc,3des
add enc-algorithms=3des name=zyxel pfs-group=none
/interface bridge port
add bridge=bridge-local interface=ether2
add bridge=bridge-local interface=ether3
add bridge=bridge-local interface=ether4
add bridge=bridge-local interface=ether5
add bridge=bridge-local interface=ether6
add bridge=bridge-local interface=ether7
add bridge=bridge-local interface=ether8
add bridge=bridge-local interface=ether9
add bridge=bridge-local interface=ether10
/ip address
add address=yyy.yyy.yyy.yyy/28 interface=ether1 network=yyy.yyy.yyy.yyy
add address=192.168.0.244/24 interface=bridge-local network=192.168.0.0
/ip dns
set allow-remote-requests=yes servers=ccc
/ip firewall address-list
add address=xxx.xxx.xxx.xxx list=acc-input
add address=192.168.1.0/24 list=anti-nat
/ip firewall filter
add action=accept chain=forward disabled=yes dst-address=192.168.0.0/24 \
    src-address=192.168.1.0/24
add action=accept chain=input log-prefix=zyxel_input src-address-list=\
    acc-input
add action=accept chain=input log=yes log-prefix=m_ping_z protocol=icmp
add action=accept chain=input connection-state=established in-interface=\
    ether1 log-prefix=z_input
add action=accept chain=input connection-state=related in-interface=ether1
add action=drop chain=input in-interface=ether1 log-prefix=dropped_z
add action=accept chain=forward ipsec-policy=in,ipsec src-address-list=""
add action=accept chain=forward ipsec-policy=out,ipsec
add action=jump chain=forward in-interface=ether1 jump-target=customer
add action=accept chain=customer connection-state=established
add action=accept chain=customer connection-state=related
add action=drop chain=customer
/ip firewall nat
add action=accept chain=srcnat comment="To Office" dst-address=192.168.1.0/24 \
    log-prefix=working_nat out-interface=ether1 src-address=192.168.0.0/24
add action=accept chain=srcnat dst-address-list=!anti-nat
add action=accept chain=dstnat dst-address=192.168.0.0/24 log-prefix=z_x \
    src-address=192.168.1.0/24
add action=masquerade chain=srcnat disabled=yes ipsec-policy=out,none
add action=masquerade chain=srcnat log-prefix=masq_src out-interface=ether1
add action=accept chain=srcnat disabled=yes ipsec-policy=out,ipsec \
    out-interface=ether1
/ip firewall raw
add action=notrack chain=prerouting dst-address=192.168.1.0/24 log-prefix=\
    to_z src-address=192.168.0.0/24
add action=notrack chain=prerouting dst-address=192.168.0.0/24 log-prefix=\
    from_z src-address=192.168.1.0/24
/ip ipsec identity
add peer=zywall secret=aaa
/ip ipsec policy
add dst-address=192.168.1.0/24 peer=zywall sa-dst-address=[[xxx.xxx.xxx.xxx \
    sa-src-address=yyy.yyy.yyy.yyy src-address=192.168.0.0/24 tunnel=yes
/ip route
add distance=1 gateway=bbb
add disabled=yes distance=1 gateway=xxx.xxx.xxx.xxx pref-src=192.168.0.244
add disabled=yes distance=1 dst-address=192.168.1.0/24 gateway=ether1
/ip upnp interfaces
add interface=ether1 type=external
add interface=ether2 type=internal
add interface=ether3 type=internal
add interface=ether4 type=internal
add interface=ether5 type=internal
add interface=ether6 type=internal
add interface=ether7 type=internal
add interface=ether8 type=internal
add interface=ether9 type=internal
add interface=bridge-local type=internal
/system clock
set time-zone-name=Europe/Moscow

Ca6ko · 14 сен 2020, 21:05

Копайте форум вниз, раз в неделю такая тема возникает.
Я не настроил маршрутизацию через VPN, скажите где.

xvo · 14 сен 2020, 22:44

Ca6ko писал(а): ↑14 сен 2020, 21:05 Копайте форум вниз, раз в неделю такая тема возникает.
Я не настроил маршрутизацию через VPN, скажите где.

Справедливости ради, по голому ipsec'у все-таки реже.
Пусть в посте и говорится о l2tp/ipsec, но в конфиге ipsec именно в tunnel mode, без l2tp внутри.

yarvelov · 15 сен 2020, 01:02

И замечание по 2011, при таком туннеле вы на этом дохлике получите около 5-7 мегабит и загрузку цпу 100%.

smmaks · 15 сен 2020, 15:36

да у меня за микротиком 3 пользователя, рдп используется редко, 3 ip телефона да ключ 1с до которого надо достучаться.
Я форум поизучал до 18го года. Но видать чайник я. Подскажите на какую ветку внимание обратить?

smmaks · 30 янв 2021, 18:45

Товарищи, подскажите куда копать. Весь мозг сломал, кучу перечитал - не выходит каменный цветок. На всякий случай еще раз конфиг прилагаю.

проблема соединения zywall и mikrotik

Вход • Регистрация