ipsec и доступ к удаленной сети с самого микротика

eagla · 24 мар 2021, 13:27

есть mikrotik поднят ipsec до kerio сервера ( пробовал и до другого микротика ситуация идентичная )
предположим микротик 192.168.22.1 сеть за ним 192.168.8.0/24
удаленная сеть 192.168.8.0/24
из сети 192.168.22.0/24 вижу всю сеть 192.168.8.0
но с самого микротика ping 192.168.8.x не работает , работает только ping src-address=192.168.22.1 192.168.8.X это понятно, чтобы пинг уходил не с внешнего интерфейса
но мне хотелось бы в ip -> DNS прописать вторым dns сервером сервер из сети 192.168.8.0 и чтобы компы используя днс микротика передавали в случае нужды запросы на днс из 192.168.8.X сети
Вопрос: можно ли как то заставить это дело работать

пока вышел из ситуации тем , что выдаю по dhcp dns сервер из 192.168.8.X, но это не совсем корректно

xvo · 24 мар 2021, 13:51

То есть подсети на двух сторонах туннеля совпадают?

LOKI · 18 май 2021, 11:26

eagla писал(а): ↑24 мар 2021, 13:27 есть mikrotik поднят ipsec до kerio сервера ( пробовал и до другого микротика ситуация идентичная )
предположим микротик 192.168.22.1 сеть за ним 192.168.8.0/24
удаленная сеть 192.168.8.0/24
из сети 192.168.22.0/24 вижу всю сеть 192.168.8.0
но с самого микротика ping 192.168.8.x не работает , работает только ping src-address=192.168.22.1 192.168.8.X это понятно, чтобы пинг уходил не с внешнего интерфейса
но мне хотелось бы в ip -> DNS прописать вторым dns сервером сервер из сети 192.168.8.0 и чтобы компы используя днс микротика передавали в случае нужды запросы на днс из 192.168.8.X сети
Вопрос: можно ли как то заставить это дело работать

пока вышел из ситуации тем , что выдаю по dhcp dns сервер из 192.168.8.X, но это не совсем корректно

У меня такая же ситуация, только сети разные за Керио и Микротиком.
Микротик отправляя свои исходящие не видит Policy и шлёт через шлюз по дефолт-роуту.
У вас получилось что-то сделать?

xvo · 18 май 2021, 11:38

LOKI писал(а): ↑18 май 2021, 11:26 Микротик отправляя свои исходящие не видит Policy и шлёт через шлюз по дефолт-роуту.

Так а добавить policy для самого микротика не вариант?

LOKI · 18 май 2021, 20:55

xvo писал(а): ↑18 май 2021, 11:38
LOKI писал(а): ↑18 май 2021, 11:26 Микротик отправляя свои исходящие не видит Policy и шлёт через шлюз по дефолт-роуту.
Так а добавить policy для самого микротика не вариант?

А что в нём указать в качестве Src Address? Если внешний IP микротика - выходит no phase 2

xvo · 18 май 2021, 21:07

Ну src - да, а dst - внутренние на том конце.

LOKI · 19 май 2021, 06:52

xvo писал(а): ↑18 май 2021, 21:07 Ну src - да, а dst - внутренние на том конце.

no phase2
Не пойдёт так, с другой стороны Керио не понимает и отправляет ответ на внешку. А если там прописываю внешку в удалённую сеть, то канал падает.

xvo · 19 май 2021, 09:51

LOKI писал(а): ↑19 май 2021, 06:52 no phase2
Не пойдёт так, с другой стороны Керио не понимает и отправляет ответ на внешку. А если там прописываю внешку в удалённую сеть, то канал падает.

Да, пожалуй так ничего не выйдет.

Тогда надо "заставлять" микротик слать с какого-то определенного внутреннего адреса - либо смотрящего в одну из сетей, либо лучше с loop-back'а.

По диаграмме проверка на соответствие policy идет уже после src-nat, так что должно работать:

https://wiki.mikrotik.com/wiki/Manual:P ... ng_Diagram

ipsec и доступ к удаленной сети с самого микротика

Вход • Регистрация