Вопрос по маршрутизации направить трафик через IPSec туннель

Обсуждение ПО и его настройки
Ответить
Gungster
Сообщения: 6
Зарегистрирован: 12 фев 2018, 09:13

Вопрос в следующем: Есть центральный офис с микротаном 192.168.0.254 R1 (два провайдера с выделенными IP адресами: ISP1 1.1.1.1, ISP2 2.2.2.2) и есть филиал с микротаном 192.168.38.254 R2 (один провайдер с выделенным IP адресом: ISP3 3.3.3.3). ЦО и филиал соединены через IPSec. Нужно при работе в ЦО на хосте 192.168.0.100 нужно в тырнет выходить с адреса провайдера филиала т.е. ISP3 (3.3.3.3). Собственно как реализовать ??? Сильно не пинать только разбираюсь. :du_ma_et:


naps
Сообщения: 7
Зарегистрирован: 12 фев 2018, 11:14

ну видимо нужно маршрут для 0.0.0.0 делать через внутренний адрес девайса с филиала
только тогда тонель не будет работать, а значит для адреса подключения тонеля нужно оставить маршрут инетный.


Gungster
Сообщения: 6
Зарегистрирован: 12 фев 2018, 09:13

naps писал(а): 12 фев 2018, 11:54 ну видимо нужно маршрут для 0.0.0.0 делать через внутренний адрес девайса с филиала
только тогда тонель не будет работать, а значит для адреса подключения тонеля нужно оставить маршрут инетный.
А если поподробней ?


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

naps писал(а): 12 фев 2018, 11:54 ну видимо нужно маршрут для 0.0.0.0 делать через внутренний адрес девайса с филиала
только тогда тонель не будет работать, а значит для адреса подключения тонеля нужно оставить маршрут инетный.
Плохой совет.

Мало что и туннель и IPSec "упадёт", вопрос как будет ещё и Интернет работать в ЦО?
Задача у ТС не сложная:
отловить нужного клиента, завернуть в туннель, и уже на нужном роутере с нужным
подключённым провайдером и внешним нужным IP выловить клиента,
и выпускать клиента в Интернет, сделав(разрешив) ему (НАТ) на выходе.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Gungster
Сообщения: 6
Зарегистрирован: 12 фев 2018, 09:13

Vlad-2 писал(а): 12 фев 2018, 12:09
naps писал(а): 12 фев 2018, 11:54 ну видимо нужно маршрут для 0.0.0.0 делать через внутренний адрес девайса с филиала
только тогда тонель не будет работать, а значит для адреса подключения тонеля нужно оставить маршрут инетный.
Плохой совет.

Мало что и туннель и IPSec "упадёт", вопрос как будет ещё и Интернет работать в ЦО?
Задача у ТС не сложная:
отловить нужного клиента, завернуть в туннель, и уже на нужном роутере с нужным
подключённым провайдером и внешним нужным IP выловить клиента,
и выпускать клиента в Интернет, сделав(разрешив) ему (НАТ) на выходе.
Ну так если есть решение, то в студию его.


kt72ru
Сообщения: 141
Зарегистрирован: 23 июн 2017, 07:55

Gungster писал(а): 12 фев 2018, 09:27 Собственно как реализовать ???
1.Создать отдельное полиси на обоих микротиках. С одной стороны в интересном трафике источником указать адрес нужного хоста, назначением 0.0.0.0/0.
На другой стороне наоборот.
2.Настроить NAT для адреса хоста на микротике в филиале.


Gungster
Сообщения: 6
Зарегистрирован: 12 фев 2018, 09:13

kt72ru писал(а): 12 фев 2018, 13:40
Gungster писал(а): 12 фев 2018, 09:27 Собственно как реализовать ???
1.Создать отдельное полиси на обоих микротиках. С одной стороны в интересном трафике источником указать адрес нужного хоста, назначением 0.0.0.0/0.
На другой стороне наоборот.
2.Настроить NAT для адреса хоста на микротике в филиале.
Пример настройки можно с моими адресами из вопроса. Пока ещё только пытаюсь всё понять. :du_ma_et:


enzain
Сообщения: 291
Зарегистрирован: 26 дек 2017, 22:30

С IPSEC - никакк в щдравом уме и без извратов.

IPIP делайте, его тоже можно обернуть в IPSec но гораздо управляемее будет.

И можно сдлелать так, что если тоннель упал, инет ходит на прямую.. но если тоннель есть - через него.


kt72ru
Сообщения: 141
Зарегистрирован: 23 июн 2017, 07:55

Gungster писал(а): 12 фев 2018, 14:08 Пример настройки можно с моими адресами из вопроса.
R1:

Код: Выделить всё

/ip ipsec policy add dst-address=0.0.0.0/0 sa-dst-address=3.3.3.3 sa-src-address=1.1.1.1 src-address=192.168.0.100 tunnel=yes level=unique
R2:

Код: Выделить всё

/ip ipsec policy add dst-address=192.168.0.100 sa-dst-address=1.1.1.1 sa-src-address=3.3.3.3 src-address=0.0.0.0/0 tunnel=yes level=unique
/ip firewall nat add action=masquerade chain=srcnat out-interface=WAN src-address=192.168.0.100


Ответить