Маршруты между микротиками?

Обсуждение ПО и его настройки
Erik_U
Сообщения: 1754
Зарегистрирован: 09 июл 2014, 12:33

Если сделано по статье из ссылки, там маршрутизацию пакетов через нат настраивают.
У вас так же сделано?

Если из каждого филиала микротик центрального офиса пингуется, то его адрес использовать в качестве Pref. Source в настройках маршрута.
Маршруты прописывать с двух сторон (в каждом филиале).
В А на сеть Б, в Б - на сеть А.

Должно работать.

В ЦО в Firewall проверьте, что форвард пакетов не запрещен.


dima1208
Сообщения: 41
Зарегистрирован: 18 ноя 2016, 11:18

Erik_U писал(а): 19 июл 2018, 07:53 Если сделано по статье из ссылки, там маршрутизацию пакетов через нат настраивают.
У вас так же сделано?

Если из каждого филиала микротик центрального офиса пингуется, то его адрес использовать в качестве Pref. Source в настройках маршрута.
Маршруты прописывать с двух сторон (в каждом филиале).
В А на сеть Б, в Б - на сеть А.

Должно работать.

В ЦО в Firewall проверьте, что форвард пакетов не запрещен.
Да, у меня в ЦО в нате верхнее правило srcnat из локальной сети ЦО на сети филиалов, в филиалах наоборот.
ЦО пингуется с обоих.
Маршруты на обоих прописал с pref.source 192.168.0.1 (адрес микротика ЦО), они появляются не активные.
Форвард не запрещен, создал правило на форвард всего из А в Б. Счетчик на нуле.
Может нужно на ЦО еще маршрут делать?


Erik_U
Сообщения: 1754
Зарегистрирован: 09 июл 2014, 12:33

Сделайте. Оба маршрута (и в А и в Б)


dima1208
Сообщения: 41
Зарегистрирован: 18 ноя 2016, 11:18

Erik_U писал(а): 19 июл 2018, 11:09 Сделайте. Оба маршрута (и в А и в Б)
Не работает(


Erik_U
Сообщения: 1754
Зарегистрирован: 09 июл 2014, 12:33

Маршруты есть и в А и в ЦО и в Б?
Пинги между А и ЦО ходят в обе стороны?
Пинги между Б и ЦО ходят в обе стороны?


Erik_U
Сообщения: 1754
Зарегистрирован: 09 июл 2014, 12:33

Как вариант, попробовать поднять IP туннели поверх работающих IPSEC между адресами 192.168.0.1 и 192.168.7.1, а также между 192.168.0.1 и 192.168.8.1.

Эти туннели уже появятся в списке интерфейсов, и маршрутизацию настроить с их указанием.

Еще я бы попробовал в ЦО в НАТ добавить трансляцию А в Б и Б в А.


dima1208
Сообщения: 41
Зарегистрирован: 18 ноя 2016, 11:18

Erik_U писал(а): 19 июл 2018, 12:49 Маршруты есть и в А и в ЦО и в Б?
Пинги между А и ЦО ходят в обе стороны?
Пинги между Б и ЦО ходят в обе стороны?
Да, маршруты есть везде. пинги есть везде и в обе стороны.
Но в правильности маршрутов я не уверен уже


Erik_U
Сообщения: 1754
Зарегистрирован: 09 июл 2014, 12:33

А трейсы ничего не показывают?

Там где-то логика разорвана.
Например, если IPSEC отказывается шифровать отсылку в сеть, которая не указана в конфигурации, то трейс остановится на микротике в своем филиале. Если таки шифрует - на микротике в ЦО.


dima1208
Сообщения: 41
Зарегистрирован: 18 ноя 2016, 11:18

Erik_U писал(а): 19 июл 2018, 14:11 А трейсы ничего не показывают?

Там где-то логика разорвана.
Например, если IPSEC отказывается шифровать отсылку в сеть, которая не указана в конфигурации, то трейс остановится на микротике в своем филиале. Если таки шифрует - на микротике в ЦО.
Прошу прощения, отсутствовал на работе.
Трассировка до устройств в сети ЦО проходит успешно, трассировка до второго филиала - на втором шаге заданный узел недоступен.


Erik_U
Сообщения: 1754
Зарегистрирован: 09 июл 2014, 12:33

Значит попробуйте на микротике А добавить IPSEC Policy с dst-address сети Б
А на микротике Б - наоборот, с dst-address сети А.
Сейчас там вероятно только сеть ЦА фигурирует?
sa-dst-address и sa-src-address остаьте такими же, как в имеющихся политиках (чтобы пакеты в сеть Б на микротике А шифровались, но направлялись в ЦА).


Ответить