Добрый день!
Есть задача - настроить VPN-соединение между офисами. В удаленном - Kerio Control. В основном - Mikrotik.
настраивал по этому мануалу:
https://habr.com/post/216215/
Туннель поднялся. Но сетка за керио недоступна. Не понимаю, в какую сторону смотреть? Маршрутизация? Или что-то еще пропустил?
Какие нужны дополнительные сведения?
Настройка site-to-site VPN между Kerio и Mikrotik
-
- Сообщения: 6
- Зарегистрирован: 27 июл 2018, 16:58
Добавил файл настроек микротика. Может, так будет понятнее, чего не хватает.
- Вложения
-
- mikrotik.zip
- (2.22 КБ) 221 скачивание
-
- Сообщения: 24
- Зарегистрирован: 29 янв 2018, 15:59
вам нужно разрешающее правило добавить из одной сетки в другую. в firewall вкладке. выше маскарда
-
- Сообщения: 6
- Зарегистрирован: 27 июл 2018, 16:58
Да вроде добавлял.
/ip firewall nat
add action=accept chain=srcnat dst-address=192.168.122.0/24 src-address=\
192.168.0.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface=\
ether1
Но доступа в 122ю подсеть нет.
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
1) между роутерами/шлюзами пинг есть (по внутреннему туннелю) ?
2) с компа одной сети до противоположного шлюза - есть доступ?
3) увы, но часто я видел и тут на форуме было: при настройки роутера микротик
поверх текущих заводских настроек - глюки могут быть чуть ли не всегда.
4) в закладке НАТ да, надо сделать так,чтобы сети при работе между двумя офисами естественно не заНАТивались,
но лучше не делать правило-исключение, а делать точное явное правило НАТ, что если пришёл пакет от
локальной "своей" сети и хочет идти наружу (в Интернет), только этот пакет и проНАТить....остальные
пакеты не трогать.
2) с компа одной сети до противоположного шлюза - есть доступ?
3) увы, но часто я видел и тут на форуме было: при настройки роутера микротик
поверх текущих заводских настроек - глюки могут быть чуть ли не всегда.
4) в закладке НАТ да, надо сделать так,чтобы сети при работе между двумя офисами естественно не заНАТивались,
но лучше не делать правило-исключение, а делать точное явное правило НАТ, что если пришёл пакет от
локальной "своей" сети и хочет идти наружу (в Интернет), только этот пакет и проНАТить....остальные
пакеты не трогать.