Дорбый день,
Такая ситуация, есть 3 роутера и 2 IPsec подключения.
1. Роутер 1 имеет IPsec с Роутер 2. Клиенты подключается с Роутер 1 на сервер что на Роутер 2. 172.22.50.0/24 -> 172.120.100.22
2. Роутер 3 имеет IPsec с Роутер 1. Клиенты подключается с Роутер 3 на сервер что на Роутер 1. 172.190.20.0/24 -> 172.22.50.200
Если Роутер 3 не имеет прямого IPsec подключения с Роутер 2, как клиенты с Роутер 3 могут достигнуть Сервер на Роутере 2 через Роутер 1 ? Какаие правила я должен создать на оба роутера чтобы 172.190.20.0/24 мог дистигнуть 172.120.100.22 ?
Сторался обяснить как могу, думаю боле менее понтятно. Пробовал несколько dstnat правил но безрезультатно. Подкажите пожалуйста как решить задачу, спасибо.
NAT и IPsec
-
- Сообщения: 26
- Зарегистрирован: 22 май 2013, 16:51
Роутер 1
/ip firewall filter add action=accept chain=forward dst-address=172.120.100.22 protocol=tcp src-address=172.190.20.0/24
/ip firewall nat add action=dst-nat chain=dstnat protocol=tcp src-address=172.190.20.0/24 to-addresses=172.120.100.22
Роутер 3
/ip firewall nat add action=accept chain=srcnat dst-address=172.120.100.22 src-address=172.190.20.0/24
Увы без результатна, не могут пользователи достигнуть сервер 172.120.100.22
Если у кого либо хоть какие то догадки?
/ip firewall filter add action=accept chain=forward dst-address=172.120.100.22 protocol=tcp src-address=172.190.20.0/24
/ip firewall nat add action=dst-nat chain=dstnat protocol=tcp src-address=172.190.20.0/24 to-addresses=172.120.100.22
Роутер 3
/ip firewall nat add action=accept chain=srcnat dst-address=172.120.100.22 src-address=172.190.20.0/24
Увы без результатна, не могут пользователи достигнуть сервер 172.120.100.22
Если у кого либо хоть какие то догадки?
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Не знаю, правильно ли я Вас понял, но я понял так:
имеем три офиса, 1й <==> 2й соединены между собой, а также соединены 3 <==> 1.
Задача сделать связку (логическую) между между 2 и 3 - через первый (так?)
Тогда при чём тут NAT?
Сделайте маршрут(ы) что сеть 3-его офиса роутер#2 искал через роутер#1, и также наоборот,
сеть 2-го офиса роутер#3 искал через роутер#1. Покажите куда идти пакетам.
P.S.
если задачу я не так понял, прощу проигнорировать мой ответ...
имеем три офиса, 1й <==> 2й соединены между собой, а также соединены 3 <==> 1.
Задача сделать связку (логическую) между между 2 и 3 - через первый (так?)
Тогда при чём тут NAT?
Сделайте маршрут(ы) что сеть 3-его офиса роутер#2 искал через роутер#1, и также наоборот,
сеть 2-го офиса роутер#3 искал через роутер#1. Покажите куда идти пакетам.
P.S.
если задачу я не так понял, прощу проигнорировать мой ответ...
-
- Сообщения: 26
- Зарегистрирован: 22 май 2013, 16:51
Vlad-2 писал(а):Не знаю, правильно ли я Вас понял, но я понял так:
имеем три офиса, 1й <==> 2й соединены между собой, а также соединены 3 <==> 1.
Задача сделать связку (логическую) между между 2 и 3 - через первый (так?)
Тогда при чём тут NAT?
Сделайте маршрут(ы) что сеть 3-его офиса роутер#2 искал через роутер#1, и также наоборот,
сеть 2-го офиса роутер#3 искал через роутер#1. Покажите куда идти пакетам.
P.S.
если задачу я не так понял, прощу проигнорировать мой ответ...
Спасибо за отклик. Все правельно поняли. Но разве в IPsec используется маршруты? из моего опыта и те IPsec подключения которые у меня уже есть никакие маршруты нет, только Filter и NAT правила!
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
В Вашем посте был вопрос: как клиенты могут достичь удалённую сеть со своей сети:
ОТВЕТ тут только один: прописать маршруты на нужные сети и проверить что они работают со всех узлов.
в вопросе не было уточнений о том, что ещё всё это должно шифроваться, хотя это итак будет,
так как пакеты пойдут уже по установленным каналам между офисами, а они (каналы) уже на IPsec.
Сети связывают маршрутами, а IPsec лишь для защиты данных в канале(ах).
ОТВЕТ тут только один: прописать маршруты на нужные сети и проверить что они работают со всех узлов.
в вопросе не было уточнений о том, что ещё всё это должно шифроваться, хотя это итак будет,
так как пакеты пойдут уже по установленным каналам между офисами, а они (каналы) уже на IPsec.
Сети связывают маршрутами, а IPsec лишь для защиты данных в канале(ах).
-
- Сообщения: 26
- Зарегистрирован: 22 май 2013, 16:51
Vlad-2 писал(а):Сети связывают маршрутами, а IPsec лишь для защиты данных в канале(ах).
Не могу согласится, в случае IPsec не использывается маршруты. Вы подняли хотябы один IPsec и создали правила маршрутизации? Хотел бы увидеть правила.
Вот между роутерами 1 и 2 нет никаких маршутов а все работает, только Filter и NAT.
Вот например я создал правила и что это дало? Ровно ничего.
Код: Выделить всё
[admin@MikroTik] > ip route print detail
2 A S dst-address=172.120.100.22/32 pref-src=172.190.20.0/24 gateway=ether1-gateway gateway-status=ether1-gateway reachable distance=1 scope=30 target-scope=10
[admin@MikroTik] >
Код: Выделить всё
C:\Users\Administrator>tracert 172.120.100.22
Tracing route to 172.120.100.22 over a maximum of 30 hops
1 31 ms 3 ms 3 ms 172.190.20.1
2 172.190.20.1 reports: Destination host unreachable.
Trace complete.
C:\Users\Administrator>
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
EugenX писал(а):Не могу согласится, в случае IPsec не использывается маршруты. Вы подняли хотябы один IPsec и создали правила маршрутизации? Хотел бы увидеть правила.
Не соглашаться Ваше право, я всё же считаю что сети объединяют/связывают маршрутами.
Вы сначала свои IPsec покажите, а маршрутов у меня много, и они касаются больше частных (Private) сетей,
и вывод их тут мало что даст в итоге!
EugenX писал(а):Вот между роутерами 1 и 2 нет никаких маршутов а все работает, только Filter и NAT.
Ещё раз, IP-сети можно связать двумя вариантами:
а) маршрутизацией
маршрутизацию надо описывать с двух сторон,
то есть на роутера А надо показать где ему искать сеть Б, а на роутере Б показать где ему искать сеть А.
б) NAT
с NAT'ом чуть проще, но и ряд функциональности снижается: за счёт НАТа Вы прячете одну сеть, за 1-им адресом
основной сети. Пример - домашние сети в квартире, вся сеть выходит в мир от одного айпи адреса выданного провайдером.
EugenX писал(а):Вот например я создал правила и что это дало? Ровно ничего.Код: Выделить всё
[admin@MikroTik] > ip route print detail
2 A S dst-address=172.120.100.22/32 pref-src=172.190.20.0/24 gateway=ether1-gateway gateway-status=ether1-gateway reachable distance=1 scope=30 target-scope=10
[admin@MikroTik] >
А тут вообще ужас. Если Вы хотите маршрут прописать, то это уровень L3, так и работайте в L3-уровне(не смешивайте),
перевожу: при прописывании маршрута на сеть, указывается в качестве шлюза - только IP, а не порт/интерфейс устройства.
Укажите IP адрес удалённого роутера и маршрут заработает.