IPSEC Site-to-Site работает, но нет пингов с микротика

Обсуждение ПО и его настройки
Ответить
dima1208
Сообщения: 41
Зарегистрирован: 18 ноя 2016, 11:18

Всем доброго дня.
Есть не большая проблема: имеется 4 ipsec туннеля с филиалами, все работает, с компа удаленные подсети пингуются, все отлично.
Решил замутить netwatch, чтобы мониторить доступность филиалов и выяснилось, что с главного микротика филиалы не пингуются.
Собственно вопрос - почему?...

 FIREWALL

Код: Выделить всё

add action=accept chain=input comment="Allow IKE" dst-port=500 in-interface=eth1-WAN protocol=udp
add action=accept chain=input comment="ACCEPT ICMP" protocol=icmp
add action=accept chain=forward comment="ACCEPT ICMP" disabled=yes protocol=icmp
add action=accept chain=output comment="ACCEPT ICMP" disabled=yes protocol=icmp


 NAT

Код: Выделить всё

add action=accept chain=srcnat comment="IPSEC1" dst-address=192.168.2.0/24 out-interface=eth1-WAN src-address=192.168.0.0/24
add action=accept chain=srcnat comment="IPSEC2" dst-address=192.168.5.0/24 out-interface=eth1-WAN src-address=192.168.0.0/24
add action=accept chain=srcnat comment="IPSEC3" dst-address=192.168.10.0/24 out-interface=eth1-WAN src-address=192.168.0.0/24
add action=accept chain=srcnat comment="IPSEC4" dst-address=192.168.3.0/24 out-interface=eth1-WAN src-address=192.168.0.0/24


 IPSEC POLICIES

Код: Выделить всё

add dst-address=192.168.2.0/24 sa-dst-address=REMOTE_WAN sa-src-address=OFFICE_WAN src-address=192.168.0.0/24 tunnel=yes
add dst-address=192.168.3.0/24 sa-dst-address=REMOTE_WAN sa-src-address=OFFICE_WAN src-address=192.168.0.0/24 tunnel=yes
add dst-address=192.168.5.0/24 sa-dst-address=REMOTE_WAN sa-src-address=OFFICE_WAN src-address=192.168.0.0/24 tunnel=yes
add dst-address=192.168.10.0/24 sa-dst-address=REMOTE_WAN sa-src-address=OFFICE_WAN src-address=192.168.0.0/24 tunnel=yes


 IPSEC PEERS

Код: Выделить всё

add address=REMOTE_WAN/32 dpd-interval=3m enc-algorithm=des hash-algorithm=md5 lifetime=8h nat-traversal=no secret=password
add address=REMOTE_WAN/32 dpd-interval=3m enc-algorithm=des hash-algorithm=md5 lifetime=8h nat-traversal=no secret=password
add address=REMOTE_WAN/32 dpd-interval=3m enc-algorithm=des hash-algorithm=md5 lifetime=8h nat-traversal=no secret=password
add address=REMOTE_WAN/32 dpd-interval=3m enc-algorithm=des hash-algorithm=md5 lifetime=8h nat-traversal=no secret=password


dima1208
Сообщения: 41
Зарегистрирован: 18 ноя 2016, 11:18

Разобрался, маршруты прописал, пинги пошли.


Ответить