ipsec nat

Обсуждение ПО и его настройки
Ответить
Agent Smit
Сообщения: 71
Зарегистрирован: 26 апр 2017, 13:10

есть сеть
Офис А LAN 192.168.0.0/24 192.168.1.0/24
Офис B LAN 192.168.10.0/24

Между 192.168.0.0/24 и 192.168.1.0/24 никаких запретов нет.
Между 192.168.0.0/24 и 192.168.10.0/24 настроен ipsec
Работает нормально.
Можно ли как-то из сети 192.168.1.0/24 (например через 192.168.0.0/24 ) попасть в 192.168.10.0/24 не добавляя 192.168.1.0/24 в ipsec?


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Можно!

Спрячьте 1.0/24 сетку за каким то адресом из сети 0.0/24
(проще и быстрее использовать адрес роутера - 0.хх/24).

Уточняю(повторюсь) ещё раз: сделайте NAT



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Agent Smit
Сообщения: 71
Зарегистрирован: 26 апр 2017, 13:10

192.168.0.1 адрес роутера

chain=srcnat action=src-nat to-addresses=192.168.0.1 src-address=192.168.1.0/24 log=no log-prefix=""
так не работает


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Agent Smit писал(а):192.168.0.1 адрес роутера

chain=srcnat action=src-nat to-addresses=192.168.0.1 src-address=192.168.1.0/24 log=no log-prefix=""
так не работает

добавьте ещё и Dst-address значение, чтобы НАТ был точным. И это правило должно быть выше
Вашего основного НАТа или почти вверх можно.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Agent Smit
Сообщения: 71
Зарегистрирован: 26 апр 2017, 13:10

Этого достаточно.
chain=srcnat action=src-nat to-addresses=192.168.0.1 src-address=192.168.1.0/24 log=no log-prefix=""

Все заработало, блокировал firewall.


Ответить