IPSec или объединение офисов. Задача

Обсуждение ПО и его настройки
Ответить
arcan0id
Сообщения: 4
Зарегистрирован: 28 мар 2013, 19:16

Приветствую всех. Микротик только осваиваю. Столкнулся со следующей проблемой. Есть 3 офиса. В каждом стоят RB1100. Есть локалка у каждого типа 192.168.0.0/24, 192.168.4.0/24, 192.168.8.0/24. Два офиса соединены между собой по ipsec туннелю, т.е сеть 192.168.0.0/24 видит 192.168.4.0/24 и наоборот. Это настраивали до меня. Мне нужно настроить чтобы сеть 192.168.0.0/24(внешний ип к примеру 1.1.1.1) видела 192.168.8.0/24(внешний ип к примеру 2,2,2,2). Помогите пошагово настроить это. Пробовал настроить по этой этой инструкции, ничего не получилось, пинги не ходят.


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

ну вы не останавливайтесь. расскажите что сделали. выкладывайте свои настройки тут, минимум:
ip adress print
ip firewall filter print
ip route print
с каждой из железок.
пинг не ходят откуда до куда? от клиентов до клиентов? а то от мтика до мтика в рамках тунеля? тунель вообще живой?


arcan0id
Сообщения: 4
Зарегистрирован: 28 мар 2013, 19:16

туннель у меня так и не ожил. Листинг не скину, т.к все почистил, ибо боюсь много лишнего наворотить. Делал следующее

Код: Выделить всё

/ip firewall nat add chain=srcnat src-address=192.168.8.0/24 dst-address=192.168.0.0/24 out-interface=ether1 action=masquerade 
/ip ipsec policy add src-address=192.168.8.0/24 dst-address=192.168.0.0/24 action=encrypt tunnel=yes sa-src-address=2.2.2.2 sa-dst-address=1.1.1.1
/ip ipsec peer add address=2.2.2.2 exchange-mode=aggressive secret="test"


и соответственно на другом, только айпи наоборот.


arcan0id
Сообщения: 4
Зарегистрирован: 28 мар 2013, 19:16

что я делаю не так?


arcan0id
Сообщения: 4
Зарегистрирован: 28 мар 2013, 19:16

Почему то строчка

Код: Выделить всё

/ip ipsec policy add src-address=192.168.0.0/24 dst-address=192.168.8.0/24 action=encrypt tunnel=yes sa-src-address=1.1.1.1 sa-dst-address=2.2.2.2

рушит весь инет поднятый на микротике и захлопывает 80 порт. Приходится через винбокс по маку исправлять все. Или это весь трафик заварачивает на второй микротик?


Ответить