как обойти глюк в RouterOS в IPSec Policies

Обсуждение ПО и его настройки
Ответить
makcs
Сообщения: 7
Зарегистрирован: 21 ноя 2012, 12:16

День добрый!

RouterOS 5.21
Решил подключить свой домашний комп к офисной ASA 5510. Настроил Peer, вкл. опцию Generate Policy
ip ipsec peer generate-policy=yes

Как только канал поднимается, я теряю доступ к Микротику с локалки. Стал разбираться в чем дело и выяснилось, что в момент создания динамических Policies добавляется строчка:

src 192.168.1.0/24 dst 192.168.0.0/16 ...

которая и убивает мне локалку.
Попытки отключить generate-policy=no и задать политики вручную ни к чему не привели. Даже без соединения тунеля, как только создаю политику вручную - сразу теряю доступ к микротику. Приходится через консоль ее дизаблить и только после этого могу продолжать попытки.

пришлось добавить вручную нужные мне сети и отказаться от 16ой маски.

Подскажите, как обойти эту проблему!?


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

грамотное расходование ip адресов никто не отменял

в локалке вобще можно использовать экзотическую 172.16.0.0


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
makcs
Сообщения: 7
Зарегистрирован: 21 ноя 2012, 12:16

спасибо конечно за совет.
То что нужно отказаться от стандартной адресации используемой на предприятии ради обхода глюка в микротике это я уже понял. Заодно перенастроить всю свою локалку лишь бы чтоб как-нибудь но заработало - это я тоже уже понял.


решение которое получилось у меня сейчас - это добавление всех сетей, кроме моей локальной.
т.е. вместо одной Polisy типа 192.168.1.0/24 192.168.0.0/16 мне в конфиг пришлось добавить

192.168.1.0/24 192.168.0.0/24
192.168.1.0/24 192.168.2.0/24
192.168.1.0/24 192.168.3.0/24
192.168.1.0/24 192.168.4.0/24
192.168.1.0/24 192.168.5.0/24

...
192.168.1.0/24 192.168.140.0/24

пришлось бы добавить и остальные до 254, но пока наше скромное предприятие до этого не доросло.
и все ради того, чтобы исключить одну полиси из-за которой микротик виснет. Причем я уверен, что это явно глюк, т.к. когда скажем я настраиваю просто в линухе ipsec руками, все работает. И все другие устройства от д-линков до цисок прекрасно понимают 16 маску и не теряют доступ на локальный интерфейс. Обидно, что только недавно начал разбираться с микротиком и сразу на эти грабли наступил.


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

все интегрируют микротик на разном уровне развития сети. Не знал что вам надо столько перелопачивать.

Как вариант - помотрите на mikrotik.com - там на форуме ipsec вдоль и поперек перерыт


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Ответить