Тонель ipsec поднялся, но нет пинга между локальными адресами

Обсуждение ПО и его настройки
Ska
Сообщения: 12
Зарегистрирован: 14 фев 2020, 12:24

Здравствуйте. Не кидайте тапками за глупые вопросы. Я только познаю Микротики.
Ситуация следующая: поднял тонель ipsec между двумя микротами (пишет esteblished), но не могу пропинговать внутренние интерфейсы с одной локалки на другую. Запускаю пинг с микрота 1 на внутренную сеть микрота 2 - пингов нет, и наоборот тоже самое. Конфиг прилагаю. Это конфиг одного, второй настроен по аналогии.
 
interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip ipsec profile
add dh-group=modp1024 enc-algorithm=3des hash-algorithm=md5 lifetime=8h name=\
Office2
/ip ipsec peer
add address=8x.xx.xx.141/32 name=8x.xx.xx.141 profile=Office2
/ip ipsec proposal
add auth-algorithms=md5 enc-algorithms=3des lifetime=8h name=proposal_office2
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add interface=ether1 list=WAN
add list=LAN
/ip address
add address=195.xx.xxx.14/30 interface=ether1 network=195.xx.xxx.12
add address=192.168.88.1/24 interface=ether2 network=192.168.88.0
/ip dns
set servers=62.112.106.130,62.112.113.170,8.8.8.8
/ip firewall nat
add action=accept chain=srcnat dst-address=10.100.208.15 src-address=\
192.168.88.1
add action=masquerade chain=srcnat out-interface-list=WAN
/ip firewall service-port
set ftp disabled=yes
set irc disabled=yes
/ip ipsec identity
add peer=64.xx.xx.141 secret=12345
/ip ipsec policy
add dst-address=10.100.208.15/32 peer=64.xx.xx.141 sa-dst-address=64.xx.xx.141 \
sa-src-address=195.xx.xxx.14 src-address=192.168.88.1/32 tunnel=yes
/ip route
add distance=1 gateway=195.xx.xxx.13
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www port=33333
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/system clock
set time-zone-name=Europe/Moscow
/system identity
set name=MikroTik1
/system package update
set channel=development
/tool bandwidth-server
set enabled=no


Ska
Сообщения: 12
Зарегистрирован: 14 фев 2020, 12:24

Настроил маршрутизацию, пинги между внутренними интерфейсами появились, но вот доступа из одной сети в другую нет. Перепробовал разные варианты - ничего.
Неужели никто не сталкивался с подобным? Задача для опытных админов микротиков простая. Или просто в лом отвечать?


mafijs
Сообщения: 533
Зарегистрирован: 03 сен 2017, 03:08
Откуда: Marienburga

Ska писал(а): 23 окт 2020, 10:08 но вот доступа из одной сети в другую нет.
Firewall отключил на Windows ?
И что подразумевается под "доступа из одной сети в другую" ?


Ca6ko
Сообщения: 1484
Зарегистрирован: 23 ноя 2018, 11:08
Откуда: Харкiв

Ska писал(а): 23 окт 2020, 10:08 Задача для опытных админов микротиков простая
Ska писал(а): 23 окт 2020, 10:08 Перепробовал разные варианты - ничего.
Пока Вы ставите задачу для опытных экстрасенсов угадать что и как там у Вас.

Хотите помощи подробно расписывайте что и как, не хотите писать ищите в поиске, таких случаев как у Вас очень много.

Здесь на форуме задачи решают за деньги, А бесплатно помогают советом. :mi_ga_et:


1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!

Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
Ska
Сообщения: 12
Зарегистрирован: 14 фев 2020, 12:24

И что подразумевается под "доступа из одной сети в другую" ?
Из сети А в одном месте через vpn тонель нужно заходить в сеть В в другом месте. Сеть А имеет адрес вида xxx.xxx.xxx.0/24, cеть B имеет адрес вида yyy.yyy.yyy.0/24. Микротик 1 имеет внутренний адрес xxx.xxx.xxx.1, Микротик 2 имеет внутренний адрес yyy.yyy.yyy.1 Я с микротка 1 через терминал могу пинговать микротик 2 на адрес yyy.yyy.yyy.1, то есть внутренний интерфейс второго микротика. Пинги на любой другой хост сети yyy.yyy.yyy.0 с Микротика 1 не проходят. Со своего микротика каждый хост пингуется.
Файрволл виндоус тут не причем, не пингуются любые железки.ъ
Хотите помощи подробно расписывайте что и как, не хотите писать ищите в поиске, таких случаев как у Вас очень много.
Дык я и так все подробно написал. :-): Где хотя бы искать грабли? У же маршрут прописывал даже на конкретную железку...безрезультатно. чувствую что какая то мелочь не настроена, но где не врублюсь.
Последний раз редактировалось Ska 23 окт 2020, 12:22, всего редактировалось 1 раз.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

У вас policy только до самих микротиков и прописаны.


Telegram: @thexvo
Ska
Сообщения: 12
Зарегистрирован: 14 фев 2020, 12:24

xvo писал(а): 23 окт 2020, 12:21 У вас policy только до самих микротиков и прописаны.
Ну да, хост-хост


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Ska писал(а): 23 окт 2020, 12:25 Ну да, хост-хост
А что вас тогда удивляет?


Telegram: @thexvo
Ska
Сообщения: 12
Зарегистрирован: 14 фев 2020, 12:24

Потому что если ставлю сеть-сеть, то пишет noPhase 2

Переделал, теперь при сеть-сеть пишет esteblished...хм.
Но все равно пингуется ток роутер (((
Последний раз редактировалось Ska 23 окт 2020, 12:51, всего редактировалось 1 раз.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

А как вы ставите сеть-сеть?


Telegram: @thexvo
Ответить