GRE между офисами. Не проходит трафик.

qpujaismc · 05 май 2023, 09:36

Добрый день.
Имеется 2 микротика. Поднял Тунель между ними. Тунель в статусе R.
Настроил Маршруты в другую сеть.
С Каждого из Микротиков пингуется другая сеть.
Но из сети (с компа) Пинг не проходит.

Добавил разрешающие правила Firewall Rules - Input и Forward на внешние IP, а так же на весь трафик GRE тунеля (In. Interface).
В Mangle есть правила но их я тоже отключал, не помогает.

Подскажите пожалуйста куда нужно копать

bst-botsman · 05 май 2023, 10:36

Отключите файрволы на конечных устройствах (компьютерах)

qpujaismc · 05 май 2023, 10:40

bst-botsman писал(а): ↑05 май 2023, 10:36 Отключите файрволы на конечных устройствах (компьютерах)

Вообще пинг я запускал на разные устройства. В том числе на Принтеры и Видеорегистраторы, что бы исключить Брандмауэр.
Со шлюза (с микротика) все пингуется.

xvo · 05 май 2023, 13:17

Проверьте, чтобы NAT на туннель не распространялся с обоих сторон.

qpujaismc · 05 май 2023, 13:51

xvo писал(а): ↑05 май 2023, 13:17 Проверьте, чтобы NAT на туннель не распространялся с обоих сторон.

Вообще я сделал правила:

Код: Выделить всё

/ip firewall filter
add action=accept chain=input in-interface=ether1 src-address=ххх.ххх.ххх.ххх
add action=accept chain=forward in-interface=ether1 src-address=ххх.ххх.ххх.ххх
add action=accept chain=forward ipsec-policy=in,ipsec
add action=accept chain=input in-interface=gre_interface
add action=accept chain=forward in-interface=gre_interface

Где ххх.ххх.ххх.ххх - Внешний IP разрешающий все пакеты
Ну и NAT

Код: Выделить всё

/ip firewall nat
add action=masquerade chain=srcnat comment=NAT ipsec-policy=out,none out-interface=ether1
add action=accept chain=srcnat out-interface=gre_interface

Может как то Маскарадинг надо настроить по другому?

xvo · 05 май 2023, 15:13

Маскрадинг на туннель вообще не нужен.

Покажите как заданы адреса на туннеле и маршрут в другую сеть.
С обоих сторон.

qpujaismc · 05 май 2023, 15:30

xvo писал(а): ↑05 май 2023, 15:13 Маскрадинг на туннель вообще не нужен.

Покажите как заданы адреса на туннеле и маршрут в другую сеть.
С обоих сторон.

С одной стороны:

Код: Выделить всё

/ip address
add address=172.16.100.1/30 comment="Local IP GRE" interface=gre_interface network=172.16.100.0

С другой стороны:

Код: Выделить всё

/ip address
add address=172.16.100.2/30 comment="Local IP GRE" interface=gre_interface network=172.16.100.0

Ну и маршруты, с одной стороны:

Код: Выделить всё

/ip route
add distance=1 dst-address=192.168.20.0/24 gateway=172.16.100.2

И с другой стороны:

Код: Выделить всё

/ip route
add distance=1 dst-address=192.168.10.0/24 gateway=172.16.100.1

Пробовал указываеть Pref. Source, так же в Gateway указывал Интерфейс созданный для GRE тонеля вместо IP. Разницы никакой.
GRE создавал как с галкой "Allow Faet Path" заранее создавая все необходимое в IP - IPSec
Так и без галки "Allow Fast Path" с IPSec Secret, заранее сделав в IP - IPSec одинаковое шифрование с двух сторон на Дефолтные Proposals и Profile

xvo · 05 май 2023, 17:47

Выглядит, что все должно быть в порядке.

Попробуйте traceroute с компа, и torch на обоих микротиках на туннеле - понять на каком моменте все затыкается.

Да, и на всякий случай - в обоих сетях микротики явлются единственными шлюзами?

qpujaismc · 30 май 2023, 10:33

Прошу прощения, работой завалили. Только сейчас смог добраться до этого вопроса.
Это скрин "с другой стороны". Тонельный IP из основного офиса он не видит, но видит свой тонельный IP

Этой скрин "с одной стороны". Так же видит только IP тонеля своего, но тот что за NAT не видит.

если смотреть из под Mikrotik то они и пингуют свои тонельные IP и Пингуют так же всю сеть и свою и ту что объединить хочу.

xvo · 30 май 2023, 10:38

Конфиги целиком покажите.

GRE между офисами. Не проходит трафик.

Вход • Регистрация