Вопрос по маршрутизации направить трафик через IPSec туннель
-
- Сообщения: 6
- Зарегистрирован: 12 фев 2018, 09:13
Вопрос в следующем: Есть центральный офис с микротаном 192.168.0.254 R1 (два провайдера с выделенными IP адресами: ISP1 1.1.1.1, ISP2 2.2.2.2) и есть филиал с микротаном 192.168.38.254 R2 (один провайдер с выделенным IP адресом: ISP3 3.3.3.3). ЦО и филиал соединены через IPSec. Нужно при работе в ЦО на хосте 192.168.0.100 нужно в тырнет выходить с адреса провайдера филиала т.е. ISP3 (3.3.3.3). Собственно как реализовать ??? Сильно не пинать только разбираюсь.
-
- Сообщения: 7
- Зарегистрирован: 12 фев 2018, 11:14
ну видимо нужно маршрут для 0.0.0.0 делать через внутренний адрес девайса с филиала
только тогда тонель не будет работать, а значит для адреса подключения тонеля нужно оставить маршрут инетный.
только тогда тонель не будет работать, а значит для адреса подключения тонеля нужно оставить маршрут инетный.
-
- Сообщения: 6
- Зарегистрирован: 12 фев 2018, 09:13
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Плохой совет.
Мало что и туннель и IPSec "упадёт", вопрос как будет ещё и Интернет работать в ЦО?
Задача у ТС не сложная:
отловить нужного клиента, завернуть в туннель, и уже на нужном роутере с нужным
подключённым провайдером и внешним нужным IP выловить клиента,
и выпускать клиента в Интернет, сделав(разрешив) ему (НАТ) на выходе.
-
- Сообщения: 6
- Зарегистрирован: 12 фев 2018, 09:13
Ну так если есть решение, то в студию его.Vlad-2 писал(а): ↑12 фев 2018, 12:09Плохой совет.
Мало что и туннель и IPSec "упадёт", вопрос как будет ещё и Интернет работать в ЦО?
Задача у ТС не сложная:
отловить нужного клиента, завернуть в туннель, и уже на нужном роутере с нужным
подключённым провайдером и внешним нужным IP выловить клиента,
и выпускать клиента в Интернет, сделав(разрешив) ему (НАТ) на выходе.
-
- Сообщения: 141
- Зарегистрирован: 23 июн 2017, 07:55
1.Создать отдельное полиси на обоих микротиках. С одной стороны в интересном трафике источником указать адрес нужного хоста, назначением 0.0.0.0/0.
На другой стороне наоборот.
2.Настроить NAT для адреса хоста на микротике в филиале.
-
- Сообщения: 6
- Зарегистрирован: 12 фев 2018, 09:13
Пример настройки можно с моими адресами из вопроса. Пока ещё только пытаюсь всё понять.
-
- Сообщения: 291
- Зарегистрирован: 26 дек 2017, 22:30
С IPSEC - никакк в щдравом уме и без извратов.
IPIP делайте, его тоже можно обернуть в IPSec но гораздо управляемее будет.
И можно сдлелать так, что если тоннель упал, инет ходит на прямую.. но если тоннель есть - через него.
IPIP делайте, его тоже можно обернуть в IPSec но гораздо управляемее будет.
И можно сдлелать так, что если тоннель упал, инет ходит на прямую.. но если тоннель есть - через него.
-
- Сообщения: 141
- Зарегистрирован: 23 июн 2017, 07:55
R1:
Код: Выделить всё
/ip ipsec policy add dst-address=0.0.0.0/0 sa-dst-address=3.3.3.3 sa-src-address=1.1.1.1 src-address=192.168.0.100 tunnel=yes level=unique
Код: Выделить всё
/ip ipsec policy add dst-address=192.168.0.100 sa-dst-address=1.1.1.1 sa-src-address=3.3.3.3 src-address=0.0.0.0/0 tunnel=yes level=unique
/ip firewall nat add action=masquerade chain=srcnat out-interface=WAN src-address=192.168.0.100