Если сделано по статье из ссылки, там маршрутизацию пакетов через нат настраивают.
У вас так же сделано?
Если из каждого филиала микротик центрального офиса пингуется, то его адрес использовать в качестве Pref. Source в настройках маршрута.
Маршруты прописывать с двух сторон (в каждом филиале).
В А на сеть Б, в Б - на сеть А.
Должно работать.
В ЦО в Firewall проверьте, что форвард пакетов не запрещен.
Маршруты между микротиками?
-
- Сообщения: 41
- Зарегистрирован: 18 ноя 2016, 11:18
Да, у меня в ЦО в нате верхнее правило srcnat из локальной сети ЦО на сети филиалов, в филиалах наоборот.Erik_U писал(а): ↑19 июл 2018, 07:53 Если сделано по статье из ссылки, там маршрутизацию пакетов через нат настраивают.
У вас так же сделано?
Если из каждого филиала микротик центрального офиса пингуется, то его адрес использовать в качестве Pref. Source в настройках маршрута.
Маршруты прописывать с двух сторон (в каждом филиале).
В А на сеть Б, в Б - на сеть А.
Должно работать.
В ЦО в Firewall проверьте, что форвард пакетов не запрещен.
ЦО пингуется с обоих.
Маршруты на обоих прописал с pref.source 192.168.0.1 (адрес микротика ЦО), они появляются не активные.
Форвард не запрещен, создал правило на форвард всего из А в Б. Счетчик на нуле.
Может нужно на ЦО еще маршрут делать?
-
- Сообщения: 1770
- Зарегистрирован: 09 июл 2014, 12:33
Сделайте. Оба маршрута (и в А и в Б)
-
- Сообщения: 41
- Зарегистрирован: 18 ноя 2016, 11:18
-
- Сообщения: 1770
- Зарегистрирован: 09 июл 2014, 12:33
Маршруты есть и в А и в ЦО и в Б?
Пинги между А и ЦО ходят в обе стороны?
Пинги между Б и ЦО ходят в обе стороны?
Пинги между А и ЦО ходят в обе стороны?
Пинги между Б и ЦО ходят в обе стороны?
-
- Сообщения: 1770
- Зарегистрирован: 09 июл 2014, 12:33
Как вариант, попробовать поднять IP туннели поверх работающих IPSEC между адресами 192.168.0.1 и 192.168.7.1, а также между 192.168.0.1 и 192.168.8.1.
Эти туннели уже появятся в списке интерфейсов, и маршрутизацию настроить с их указанием.
Еще я бы попробовал в ЦО в НАТ добавить трансляцию А в Б и Б в А.
Эти туннели уже появятся в списке интерфейсов, и маршрутизацию настроить с их указанием.
Еще я бы попробовал в ЦО в НАТ добавить трансляцию А в Б и Б в А.
-
- Сообщения: 41
- Зарегистрирован: 18 ноя 2016, 11:18
-
- Сообщения: 1770
- Зарегистрирован: 09 июл 2014, 12:33
А трейсы ничего не показывают?
Там где-то логика разорвана.
Например, если IPSEC отказывается шифровать отсылку в сеть, которая не указана в конфигурации, то трейс остановится на микротике в своем филиале. Если таки шифрует - на микротике в ЦО.
Там где-то логика разорвана.
Например, если IPSEC отказывается шифровать отсылку в сеть, которая не указана в конфигурации, то трейс остановится на микротике в своем филиале. Если таки шифрует - на микротике в ЦО.
-
- Сообщения: 41
- Зарегистрирован: 18 ноя 2016, 11:18
Прошу прощения, отсутствовал на работе.
Трассировка до устройств в сети ЦО проходит успешно, трассировка до второго филиала - на втором шаге заданный узел недоступен.
-
- Сообщения: 1770
- Зарегистрирован: 09 июл 2014, 12:33
Значит попробуйте на микротике А добавить IPSEC Policy с dst-address сети Б
А на микротике Б - наоборот, с dst-address сети А.
Сейчас там вероятно только сеть ЦА фигурирует?
sa-dst-address и sa-src-address остаьте такими же, как в имеющихся политиках (чтобы пакеты в сеть Б на микротике А шифровались, но направлялись в ЦА).
А на микротике Б - наоборот, с dst-address сети А.
Сейчас там вероятно только сеть ЦА фигурирует?
sa-dst-address и sa-src-address остаьте такими же, как в имеющихся политиках (чтобы пакеты в сеть Б на микротике А шифровались, но направлялись в ЦА).