Страница 1 из 2
751g-2hnd - IPSec - NAT - DLink DFL-800
Добавлено: 14 мар 2013, 14:01
slaver
Добрый день. MikroTik использую впервые, прошу помочь. Схема следующая: имеется две LAN: одна за DLink с NAT и внешним IP, вторая аналогично за MT. Поднимаю IPSec туннель, соединение устанавливается. Из сети с DLink я могу пропинговать внутренний адрес роутера MT, но не прохожу дальше в локальную сеть (очевидно, не настроена маршрутизация). Но, что интереснее, это то, что ни из сети МТ, ни с него самого я не могу пропинговать даже внутренний IP роутера DLink. Вот это мне непонятно. Раньше по этой же схеме работали в паре два DLink и всё было в порядке (у них динамически при подключении по IPSec прописываются маршруты, и только в файерволе нужно было разрешить трафик между двумя LAN). Привожу настройки своего МТ:
--- правила FW
0 chain=input action=accept src-address=192.168.0.0/22 dst-address=192.168.88.0/24
1 chain=output action=accept src-address=192.168.88.0/24 dst-address=192.168.0.0/22
2 ;;; default configuration chain=input action=accept protocol=icmp
3 ;;; default configuration chain=input action=accept connection-state=established
4 ;;; default configuration chain=input action=accept connection-state=related
5 chain=ipsec action=accept protocol=ipsec-esp
6 chain=ipsec action=accept protocol=ipsec-ah
7 chain=ipsec action=accept protocol=udp src-port=500
8 chain=ipsec action=accept protocol=udp src-port=4500
9 chain=input action=jump jump-target=ipsec in-interface=wan
10 ;;; default configuration chain=input action=drop in-interface=wan
--- правила NAT
0 ;;; default configuration chain=srcnat action=masquerade to-addresses=0.0.0.0 out-interface=wan
Если нужно, могу привести и настройки IPSec, хотя смысла не вижу, туннель поднимается и пакеты по нему бегают.
Заранее благодарен за помощь.
Re: 751g-2hnd - IPSec - NAT - DLink DFL-800
Добавлено: 14 мар 2013, 16:15
slaver
Поправил правила файервола на:
0 chain=input action=accept src-address=192.168.0.0/22 dst-address=192.168.88.1
1 chain=forward action=accept src-address=192.168.0.0/22 dst-address=192.168.88.0/24
2 chain=forward action=accept src-address=192.168.88.0/24 dst-address=192.168.0.0/22
3 ;;; default configuration chain=input action=accept protocol=icmp
4 ;;; default configuration chain=input action=accept connection-state=established
5 ;;; default configuration chain=input action=accept connection-state=related
6 chain=ipsec action=accept protocol=ipsec-esp
7 chain=ipsec action=accept protocol=ipsec-ah
8 chain=ipsec action=accept protocol=udp src-port=500
9 chain=ipsec action=accept protocol=udp src-port=4500
10 chain=input action=jump jump-target=ipsec in-interface=wan
11 ;;; default configuration chain=input action=drop in-interface=wan
1 chain=srcnat action=masquerade src-address=192.168.88.0/24 dst-address=!192.168.0.0/22
Т.е. убрал NAT между сетями LAN и теперь пингую из LAN-сети МТ сетку LAN за DLink-ом. А вот из сети LAN за DLink-ом пока не пингую сетку за МТ... Подскажите, что ещё не досмотрел?
Подозреваю, что дело в маршрутизации: DLink у себя создают динамически маршрут в сеть при поднятии IPSec, а МТ - нет. Как правильно прописать маршрут? У DLink IPSec рассматривается, как ИНТЕРФЕЙС, и там это делается просто. А у МТ всё по-другому.
Re: 751g-2hnd - IPSec - NAT - DLink DFL-800
Добавлено: 14 мар 2013, 16:37
Vladimir22
отвечу ка на загубленном форуме Dlink - скрины настроек в студию
настройки ИПСЕК. правила ип сек , ну и если по мануалу творили Dllink то корень правил .
сам вязал Dlink 210-й с тем же микротиком только по PPTP но у меня схема другая
Re: 751g-2hnd - IPSec - NAT - DLink DFL-800
Добавлено: 14 мар 2013, 16:59
slaver
Re: 751g-2hnd - IPSec - NAT - DLink DFL-800
Добавлено: 14 мар 2013, 17:01
slaver
- 6.jpg
- (68.09 КБ) 61 скачивание
- 7.jpg
- (27.38 КБ) 61 скачивание
- 8.jpg (22.58 КБ) 3667 просмотров
- 9.jpg (37.47 КБ) 3667 просмотров
- 10.jpg
- (10.64 КБ) 61 скачивание
На последнем скриншоте часть таблицы маршрутизации на DLink, где виден АВТОМАТИЧЕСКИ созданный маршрут в сеть за микротиком.
Вроде бы ничего не забыл
Re: 751g-2hnd - IPSec - NAT - DLink DFL-800 (РЕШЕНО)
Добавлено: 14 мар 2013, 18:23
slaver
Всё. Готово. Всё работает
Настройки, приведённые на скриншотах, вполне работоспособные. Никаких настроек маршрутизации делать не нужно. Проблема с доступом в LAN за МТ была тривиальной - меня отсекал файервол Windows на ноутбуке, который я пытался пинговать
Так что, сам создал тему, сам всё и решил. Надеюсь, кому-нибудь из таких же начинающих, как я, мои настройки пригодятся.
Re: 751g-2hnd - IPSec - NAT - DLink DFL-800
Добавлено: 15 мар 2013, 08:38
Vladimir22
вот только не понятно зачем вы делаете динамический маршрут на DFL ?!
и нужно ли пользователям из сети микротика ходить в другие туннели ?!
Re: 751g-2hnd - IPSec - NAT - DLink DFL-800
Добавлено: 15 мар 2013, 09:03
slaver
Динамический маршрут делал просто по инструкции на сайте DLink-а. Вот таблица маршрутизации микротика:
0 ADS 0.0.0.0/0 xxx.xxx.xxx.1 1
1 ADC xxx.xxx.xxx.0/28 xxx.xxx.xxx.10 wan 0
2 ADC 192.168.88.0/24 192.168.88.1 bridge-local 0
Я, видимо, чего-то недопонимаю, но не вижу, как роутер "знает" путь в сетку за DLink-ом, если после поднятия туннеля никаких дополнительных маршрутов в таблице маршрутизации не наблюдается.
На самом DLink-е, как вы видите, есть маршрут в LAN за микротиком, всё очевидно. А вот как сам микротик определяет путь в сетку за DLink-ом? Буду благодарен, если поясните.
А что вы имели ввиду под "и нужно ли пользователям из сети микротика ходить в другие туннели" ? Имеются ввиду другие туннели, созданные на DLink-е? Так из сети микротика они не видны. Он не знает маршруты туда, т.к. они не прописаны на микротике.
Re: 751g-2hnd - IPSec - NAT - DLink DFL-800
Добавлено: 15 мар 2013, 12:14
Vladimir22
slaver писал(а):Я, видимо, чего-то недопонимаю, но не вижу, как роутер "знает" путь в сетку за DLink-ом, если после поднятия туннеля никаких дополнительных маршрутов в таблице маршрутизации не наблюдается.
На самом DLink-е, как вы видите, есть маршрут в LAN за микротиком, всё очевидно. А вот как сам микротик определяет путь в сетку за DLink-ом? Буду благодарен, если поясните.
вот тут не появню - птому что не знаю - я прописывал руками , возможно что то появляется при вашей динамической маршрутизации от длинк.
slaver писал(а):А что вы имели ввиду под "и нужно ли пользователям из сети микротика ходить в другие туннели" ? Имеются ввиду другие туннели, созданные на DLink-е? Так из сети микротика они не видны. Он не знает маршруты туда, т.к. они не прописаны на микротике.
ну если вам нужна сеть только длинк микротик - то да все по инструкции и работать будет .
Re: 751g-2hnd - IPSec - NAT - DLink DFL-800
Добавлено: 15 мар 2013, 12:28
slaver
При подключении IPSec, как я и писал, ничего не появляется в маршрутах на микротике, в том то и дело (вы видели мою таблицу маршрутизации)
По поводу DLink-а - если мне не изменяет память, то, когда настраивал IPSec между двумя одинаковыми DFL-800, то, если не ставить галку на добавление динамического маршрута, сетка за роутерами не видна, DLink-и только видят внутренние интерфейсы другу друга соответственно, но дальше в LAN-ы не проходят. На DLink-е есть в настройках "Advanced" галка "Add route FOR remote network", но, как вы видите на скриншоте, она у меня не проставлена. Хотя значение этой опции я и не понял.