NAT и IPsec

Обсуждение ПО и его настройки
Ответить
EugenX
Сообщения: 26
Зарегистрирован: 22 май 2013, 16:51

Дорбый день,

Такая ситуация, есть 3 роутера и 2 IPsec подключения.

1. Роутер 1 имеет IPsec с Роутер 2. Клиенты подключается с Роутер 1 на сервер что на Роутер 2. 172.22.50.0/24 -> 172.120.100.22
2. Роутер 3 имеет IPsec с Роутер 1. Клиенты подключается с Роутер 3 на сервер что на Роутер 1. 172.190.20.0/24 -> 172.22.50.200

Если Роутер 3 не имеет прямого IPsec подключения с Роутер 2, как клиенты с Роутер 3 могут достигнуть Сервер на Роутере 2 через Роутер 1 ? Какаие правила я должен создать на оба роутера чтобы 172.190.20.0/24 мог дистигнуть 172.120.100.22 ?

Сторался обяснить как могу, думаю боле менее понтятно. Пробовал несколько dstnat правил но безрезультатно. Подкажите пожалуйста как решить задачу, спасибо.


EugenX
Сообщения: 26
Зарегистрирован: 22 май 2013, 16:51

Роутер 1
/ip firewall filter add action=accept chain=forward dst-address=172.120.100.22 protocol=tcp src-address=172.190.20.0/24
/ip firewall nat add action=dst-nat chain=dstnat protocol=tcp src-address=172.190.20.0/24 to-addresses=172.120.100.22

Роутер 3

/ip firewall nat add action=accept chain=srcnat dst-address=172.120.100.22 src-address=172.190.20.0/24

Увы без результатна, не могут пользователи достигнуть сервер 172.120.100.22

Если у кого либо хоть какие то догадки?


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Не знаю, правильно ли я Вас понял, но я понял так:
имеем три офиса, 1й <==> 2й соединены между собой, а также соединены 3 <==> 1.
Задача сделать связку (логическую) между между 2 и 3 - через первый (так?)

Тогда при чём тут NAT?
Сделайте маршрут(ы) что сеть 3-его офиса роутер#2 искал через роутер#1, и также наоборот,
сеть 2-го офиса роутер#3 искал через роутер#1. Покажите куда идти пакетам.

P.S.
если задачу я не так понял, прощу проигнорировать мой ответ...



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
EugenX
Сообщения: 26
Зарегистрирован: 22 май 2013, 16:51

Vlad-2 писал(а):Не знаю, правильно ли я Вас понял, но я понял так:
имеем три офиса, 1й <==> 2й соединены между собой, а также соединены 3 <==> 1.
Задача сделать связку (логическую) между между 2 и 3 - через первый (так?)

Тогда при чём тут NAT?
Сделайте маршрут(ы) что сеть 3-его офиса роутер#2 искал через роутер#1, и также наоборот,
сеть 2-го офиса роутер#3 искал через роутер#1. Покажите куда идти пакетам.

P.S.
если задачу я не так понял, прощу проигнорировать мой ответ...


Спасибо за отклик. Все правельно поняли. Но разве в IPsec используется маршруты? из моего опыта и те IPsec подключения которые у меня уже есть никакие маршруты нет, только Filter и NAT правила!


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

В Вашем посте был вопрос: как клиенты могут достичь удалённую сеть со своей сети:
ОТВЕТ тут только один: прописать маршруты на нужные сети и проверить что они работают со всех узлов.

в вопросе не было уточнений о том, что ещё всё это должно шифроваться, хотя это итак будет,
так как пакеты пойдут уже по установленным каналам между офисами, а они (каналы) уже на IPsec.

Сети связывают маршрутами, а IPsec лишь для защиты данных в канале(ах).



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
EugenX
Сообщения: 26
Зарегистрирован: 22 май 2013, 16:51

Vlad-2 писал(а):Сети связывают маршрутами, а IPsec лишь для защиты данных в канале(ах).



Не могу согласится, в случае IPsec не использывается маршруты. Вы подняли хотябы один IPsec и создали правила маршрутизации? Хотел бы увидеть правила.

Вот между роутерами 1 и 2 нет никаких маршутов а все работает, только Filter и NAT.

Вот например я создал правила и что это дало? Ровно ничего.

Код: Выделить всё

[admin@MikroTik] > ip route print detail
 2 A S  dst-address=172.120.100.22/32 pref-src=172.190.20.0/24 gateway=ether1-gateway gateway-status=ether1-gateway reachable distance=1 scope=30 target-scope=10
[admin@MikroTik] >


Код: Выделить всё

C:\Users\Administrator>tracert 172.120.100.22

Tracing route to 172.120.100.22 over a maximum of 30 hops

  1    31 ms     3 ms     3 ms  172.190.20.1
  2  172.190.20.1  reports: Destination host unreachable.

Trace complete.

C:\Users\Administrator>


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

EugenX писал(а):Не могу согласится, в случае IPsec не использывается маршруты. Вы подняли хотябы один IPsec и создали правила маршрутизации? Хотел бы увидеть правила.

Не соглашаться Ваше право, я всё же считаю что сети объединяют/связывают маршрутами.
Вы сначала свои IPsec покажите, а маршрутов у меня много, и они касаются больше частных (Private) сетей,
и вывод их тут мало что даст в итоге!

EugenX писал(а):Вот между роутерами 1 и 2 нет никаких маршутов а все работает, только Filter и NAT.

Ещё раз, IP-сети можно связать двумя вариантами:
а) маршрутизацией
маршрутизацию надо описывать с двух сторон,
то есть на роутера А надо показать где ему искать сеть Б, а на роутере Б показать где ему искать сеть А.
б) NAT
с NAT'ом чуть проще, но и ряд функциональности снижается: за счёт НАТа Вы прячете одну сеть, за 1-им адресом
основной сети. Пример - домашние сети в квартире, вся сеть выходит в мир от одного айпи адреса выданного провайдером.

EugenX писал(а):Вот например я создал правила и что это дало? Ровно ничего.

Код: Выделить всё

[admin@MikroTik] > ip route print detail
 2 A S  dst-address=172.120.100.22/32 pref-src=172.190.20.0/24 gateway=ether1-gateway gateway-status=ether1-gateway reachable distance=1 scope=30 target-scope=10
[admin@MikroTik] >


А тут вообще ужас. Если Вы хотите маршрут прописать, то это уровень L3, так и работайте в L3-уровне(не смешивайте),
перевожу: при прописывании маршрута на сеть, указывается в качестве шлюза - только IP, а не порт/интерфейс устройства.
Укажите IP адрес удалённого роутера и маршрут заработает.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Ответить