Добрый день.
Есть 2 офиса, объединены ipsec site to site, соединение поднимается и пишет established.
В правилах фаервола разрешены forvard из локальных сетей.
НО! пакеты не начинают ходить пока из каждой подсети не пустишь пинг друг на встречу другу, только после этого начинают ходить пакеты.
Недолго, пару часов, пока не смог засечь на какое время, после опять перестают ходить пока опять вручную не пустишь пинг.
Может кто то сталкивался с подобным поведением?
1. Офис подключен через SFP порт оптика, поднято ppoe соединение от провайдера
WAN 89.12.10.1
LAN 10.100.211.0/24
2. Офис подключен через ETH1 порт, поднято ppoe соединение от провайдера
WAN 89.22.10.1
LAN 192.168.5.0/24
Ни как не могу решить проблему и даже уже в тупике что еще проверять
Непонятное поведение firewall на IPSEC
-
konstantin.kovalchuk
- Сообщения: 3
- Зарегистрирован: 30 сен 2020, 12:17
-
yarvelov
- Сообщения: 92
- Зарегистрирован: 15 июл 2018, 02:08
не думаю, что без выложенных конфигов кто-то сможет помочь.
-
bolshe
- Сообщения: 16
- Зарегистрирован: 29 сен 2020, 16:42
Нужен конфиг, хотя-бы кусок.
Маршруты (/ip route) в две стороны 10.100.211.0/24 и 192.168.5.0/24 на маршрутизаторах установлены?
Маршруты (/ip route) в две стороны 10.100.211.0/24 и 192.168.5.0/24 на маршрутизаторах установлены?
-
yarvelov
- Сообщения: 92
- Зарегистрирован: 15 июл 2018, 02:08
Если чистый ipsec туннель в туннельном режиме, то маршруты прописывать руками обычно не надо...
Зачем кусок, для ясности лучше весь конфиг, пароли и прочую интимную инфу не сложно убрать.
-
konstantin.kovalchuk
- Сообщения: 3
- Зарегистрирован: 30 сен 2020, 12:17
add action=accept chain=forward dst-address=192.168.5.0/24 log-prefix=\
sov_fire-1 out-interface=pppoe-out1 src-address=10.100.211.0/24
add action=accept chain=forward dst-address=10.100.211.0/24 log-prefix=\
"sov fire-2" out-interface=pppoe-out1 src-address=192.168.5.0/24
/ip firewall nat
add action=accept chain=srcnat dst-address=192.168.5.0/24 log-prefix=n1 \
src-address=10.100.211.0/24
add action=accept chain=srcnat dst-address=10.100.211.0/24 log-prefix=n2 \
src-address=192.168.5.0/24
Соответственные правила на втором микротике
Единственное что я ошибся один из офисов подключен через eth1 а не SFP
sov_fire-1 out-interface=pppoe-out1 src-address=10.100.211.0/24
add action=accept chain=forward dst-address=10.100.211.0/24 log-prefix=\
"sov fire-2" out-interface=pppoe-out1 src-address=192.168.5.0/24
/ip firewall nat
add action=accept chain=srcnat dst-address=192.168.5.0/24 log-prefix=n1 \
src-address=10.100.211.0/24
add action=accept chain=srcnat dst-address=10.100.211.0/24 log-prefix=n2 \
src-address=192.168.5.0/24
Соответственные правила на втором микротике
Единственное что я ошибся один из офисов подключен через eth1 а не SFP
-
konstantin.kovalchuk
- Сообщения: 3
- Зарегистрирован: 30 сен 2020, 12:17
/ip ipsec policy
add dst-address=192.168.5.0/24 peer="sovetskoy armii" proposal=moskovskoe \
sa-dst-address=89.109.1.1 sa-src-address=89.109.2.2 src-address=\
10.100.211.0/24 tunnel=yes
[13:17, 30.09.2020] Константин: /ip ipsec peer
add address=89.109.1.1/32 local-address=89.109.2.2 name="sovetskoy armii" \
profile="sovetskoy armii" send-initial-contact=no
add dst-address=192.168.5.0/24 peer="sovetskoy armii" proposal=moskovskoe \
sa-dst-address=89.109.1.1 sa-src-address=89.109.2.2 src-address=\
10.100.211.0/24 tunnel=yes
[13:17, 30.09.2020] Константин: /ip ipsec peer
add address=89.109.1.1/32 local-address=89.109.2.2 name="sovetskoy armii" \
profile="sovetskoy armii" send-initial-contact=no