Перенапраление ipsec через Mikrotik

Обсуждение оборудования и его настройки
pino2007
Сообщения: 5
Зарегистрирован: 29 окт 2013, 16:06

30 окт 2013, 10:20

Привет всем, помогите пожалуйста разобраться со странным поведением ipsec тонелей.
Имеем Mikrotik 951Ui-2HnD на нем два провайдера с белыми Ip, за ним прокси(режет инет и статистика) и DI-804HV, на котором висят ipsec тонели. Сразу оговорюсь, что убрать 804 пока не имеется возможности(не моя прихоть).

Задача: Перенаправить ipsec на длинк.

Решение: Я посредством ната прокинул порты 500 и 4500 с второго провайдера на длинк, первый провайдер используется для нужд офиса и когда отваливается мы используем ресурсы второго. Сделано при помощи маршрутов и доступности шлюза.
p.s. может надо использовать не NAT, а Forward?

Проблема: Вроде все работает, но через время перестают ходить пакеты через ipsec тонели, хотя сами тонели поднимаются.
один раз помогла перезагрузка длинка на стороне клиента. Есть подозрение, что в какой то момент пакеты перестают уходить на адрес назначения, может не в тот канал микротика. Эксперименты проводить не можем, т.к. люди постоянно работают, а проблема проявляется не сразу и если отвалиться ночью, то теряем много времени.
Спасибо.


vqd
Модератор
Сообщения: 4088
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

30 окт 2013, 10:29

Выложите схему сети


Есть интересная задача и бюджет? http://mikrotik.site
pino2007
Сообщения: 5
Зарегистрирован: 29 окт 2013, 16:06

30 окт 2013, 14:47

wan1 и wan2 это интерфейсы провайдера
Вложения
схема.JPG
схема.JPG (37.32 КБ) 525 просмотров


vqd
Модератор
Сообщения: 4088
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

30 окт 2013, 18:06

А для чего длинк в этой цепочке?


Есть интересная задача и бюджет? http://mikrotik.site
pino2007
Сообщения: 5
Зарегистрирован: 29 окт 2013, 16:06

31 окт 2013, 07:57

он типо vpn сервер, к немо подключаются по ipsec, убрать его пока нет возможности


vqd
Модератор
Сообщения: 4088
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

31 окт 2013, 08:09

Ну это все и микротик умеет.

Выведите этот злополучный длинг в DMZ и проблема ваша будет решена


Есть интересная задача и бюджет? http://mikrotik.site
pino2007
Сообщения: 5
Зарегистрирован: 29 окт 2013, 16:06

31 окт 2013, 08:25

в финале нашего внедрения он и будет все выполнять, но пока начальство очкует, что одна коробочка :ti_pa: заменяет все :-):

Подскажите команду для ввода в DMZ?
И не возникнет вопроса с пробросом других портов в сеть через микротик, на другие устройства?


vqd
Модератор
Сообщения: 4088
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

31 окт 2013, 08:59

В смысле команда? ))) Берете у провайдера еще один белый ип, на микротике поднимаете бридж между ВАН и микротиком куда воткнуто это несчастье админа под названием ДЛИНК. Бриджу назначаете ваш текущий ИП, несчастью второй, шлюзом пишем шлюз провайдера. Усе, длинг напрямую в инет смотрит.

А если в настройках бриджа галочку поставить то можно будет рулить трафиком в этом мосту средствами фаервола


Есть интересная задача и бюджет? http://mikrotik.site
pino2007
Сообщения: 5
Зарегистрирован: 29 окт 2013, 16:06

31 окт 2013, 11:44

т.е. банально сделать проброс портов не получиться?


vqd
Модератор
Сообщения: 4088
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

01 ноя 2013, 07:17

В теории получится но где то давно я читал что все эти тоннель должны работать напрямую, без каких либо НАТ и т.п.


Есть интересная задача и бюджет? http://mikrotik.site
Ответить