IPSC + NAT

[aleksandr.rusin]

коллеги подскажите как написать правила ната для отправки пакетов в ipsec
есть две локальные сети на микротике
192.168.81.0\24 vlan1
192.168.123.0\24 vlan10

есть ipsec тоннель с правилом
192.178.81.0\24 <-> 10.129.106.0\24

необходимо создать правило NAT чтобы из сети 192.168.123.0/24 трафик натился в а адрес 192.168.81.1 (или любой дрогой из 192.168.81.0/24) и соответственно трафик уходил в тоннель от этих адресов

[xvo]

/ip firewall nat chain=srcnat action=src-nat dst-address=10.129.106.0/24 src-address=192.168.123.0/24 to-addresses=192.168.81.1

[aleksandr.rusin]

Так я вчера и написал, видно что правило отрабает и трафик под него попадает. а вот такое ощущение, что в тоннель трафик не уходит

[xvo]

А политика точно такая есть?
А то IPSec отбирает свои пакеты уже после src-nat'а, должно бы уходить в туннель.

На той стороне этих пакетов точно нет?

[aleksandr.rusin]

политика точно работает
счетчики не отрабатывают , но правда я проверял трассировкой с самого роутера - может затык в этом
сейчас жду ответ тестировщиков которые проверят непосредственно с хостов из сети 192,168,123

[aleksandr.rusin]

Да отписались, все ОК
видно это трассировка с самого маршрутира криво работает
спасибо

[xvo]

видно это трассировка с самого маршрутира криво работает
спасибо

Он при создании пакета вполне может какой-то "не тот" адрес в качестве источника выбирать.
Если ping или traceroute используете - пробуйте жестко задавать src-address с которого все это пойдет.