Интернет через IPSEC

[DevilX]

Всем добрый день!

Уже вторые сутки бьюсь с микротиком и все никак, нужна ваша помощь
Есть Филиал с RB750GL (192.168.50.0/24)
Есть ЦО с x86 Микротиком (192.168.0.0/24)
Шлюз с интернетом в ЦО 192.168.0.4

Филиал с ЦО соединены через ipsec в туннельном режиме. Все прекрасно работает, никаких проблем нет.
Появилась задача на филиале получать интернет через офис и здесь возникла проблема, какие бы маршруты и правила не писал, интернета нет.
Что я делаю не так?

 ЦО

#
DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S 0.0.0.0/0 192.168.0.4 1
1 ADC 10.5.5.0/24 10.5.5.2 WAN 0
2 ADC 192.168.0.0/24 192.168.0.220 LAN 0
3 A S 192.168.50.0/24 WAN 1
/ip firewall filter> print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=input action=accept

1 chain=forward action=accept

2 chain=output action=accept
[admin@MikroTik] /ip firewall nat> print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat action=accept src-address=192.168.0.0/24 dst-address=192.168.50.0/24
[admin@MikroTik] > ip ipsec policy print
Flags: X - disabled, D - dynamic, I - inactive
0 src-address=192.168.0.0/24 src-port=any dst-address=192.168.50.0/24 dst-port=any protocol=all actio
sa-src-address=10.5.5.2 sa-dst-address=10.5.5.3 proposal=default priority=0
[admin@MikroTik] > ip ipsec peer print
Flags: X - disabled
0 address=10.5.5.3/32 port=500 auth-method=pre-shared-key secret="1327" generate-policy=no exchange-m
my-id-user-fqdn="" proposal-check=obey hash-algorithm=md5 enc-algorithm=3des dh-group=modp1024 life
dpd-maximum-failures=5

 Филиал

[admin@MikroTik] > ip route print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S 0.0.0.0/0 10.5.5.2 1
1 ADC 10.5.5.0/24 10.5.5.3 WAN 0
2 A S 192.168.0.0/24 WAN 1
3 ADC 192.168.50.0/24 192.168.50.1 LAN 0
[admin@MikroTik] > ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=input action=accept

1 chain=forward action=accept

2 chain=output action=accept
[admin@MikroTik] > ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat action=accept src-address=192.168.50.0/24
dst-address=192.168.0.0/24
[admin@MikroTik] > ip ipsec policy print
Flags: X - disabled, D - dynamic, I - inactive
0 src-address=192.168.50.0/24 src-port=any dst-address=192.168.0.0/24 dst-port=any proto
action=encrypt level=require ipsec-protocols=esp tunnel=yes sa-src-address=10.5.5.3
sa-dst-address=10.5.5.2 proposal=default priority=0
[admin@MikroTik] > ip ipsec peer print
Flags: X - disabled
0 address=10.5.5.2/32 port=500 auth-method=pre-shared-key secret="1327" generate-policy=
exchange-mode=main send-initial-contact=yes nat-traversal=no my-id-user-fqdn=""
proposal-check=obey hash-algorithm=md5 enc-algorithm=3des dh-group=modp1024 lifetime=1
lifebytes=0 dpd-interval=2m dpd-maximum-failures=5

[vqd]

а с чего он будет то? У вас я так понял девольтный маршрут смотрит в сторону провайдера. И нет ни одного правила которые бы говорили микроту заруливать трафик филиала в ЦО

[DevilX]

На филиале есть такая строчка 0 A S 0.0.0.0/0 10.5.5.2 1 (10.5.5.2 - внешний ip микротика в офисе) Вроде она заруливает весь трафик в офис

[vqd]

Тогда делайте диагностику.
Могу предположить что пакеты у вас доходят но обратно не возвращаются ибо у вас есть некая транспортная сеть 10.5.5.2 1 (о ней вы инфу не дали)

В цо же пакеты в сеть филиала непонятно куда отправляется.

В общем рекомендую нарисовать схему и дать больше информации и терпеливо относится к просьбам сделать трассировки. правила логирования и т.п.

[DevilX]

Добавил схему для наглядности
Нужно с компьютера 192.168.50.2 получить интернет от 192.168.0.4

[vqd]

Я так понимаю что пинги у вас проходят и сети друг друга видят.

Далее на 750м
Прописываем дефольтный маршрут на 10.5.5.2 и отключаем маскарадинг
Это в случае если у вас микротики напрямую связанны. Если же ИПсек поднимается через промежуточную сеть то создайте маркированный маршрут и в манагл пропишите правило которое завернет на прероутинге ваши ПК через маркированный маршрут

На х86
Прописываем маршрут в сеть за 750м
192.168.50.0/24 шлюз 10.5.5.3
Ну и настраиваем НАТ соответствующим образом

[DevilX]

УРА! Заработало. Все дело было в настройке NAT на x86, создал правило
0 chain=srcnat action=src-nat to-addresses=192.168.0.220 to-ports=0-65535 protocol=tcp src-address=192.168.50.0/24

[DevilX]

Только что заметил, что интернет трафик идет не через тунель, как его завернуть в туннель?

[DevilX]

опять бьюсь несколько дней и никак не могу завернуть интернет трафик в vpn туннель, наставьте на путь истинный