Не могу пробросить сеть

Обсуждение оборудования и его настройки
BratWolfa
Сообщения: 6
Зарегистрирован: 26 ноя 2014, 20:53

Всем привет
Моделирую ситуацию:
Две железки ROUTERBOARD 2011UIAS-IN
Между ними gre tunnel с ipsec шифрованием и виртуальными адресами 172.16.31.1/24 и 172.16.31.2/24
За роутером 1 сети 192.168.200-205.0 и 192.168.207-208.0 с маской 16
За роутером 2 сеть 192.168.206.0 с маской 24

router1:
wan: eth1 10.10.1.1/24
lan: eth2 192.168.200.100/16
gret1: 172.16.31.1/24
маршруты: сеть 192.168.206.0 бросаю в туннель.

router2:
wan: eth1 10.10.1.2/24
lan: eth2 192.168.206.1/24
gret1: 172.16.31.2/24
маршруты: сети 192.168.200-205.0 и 192.168.207-208.0 бросаю в туннель

На хосте за роутером 2 стоит ip 192.168.206.12/24
На хосте за роутером 1 стоит ip 192.168.200.12/16

Результат: Пакты между оконечными хостами не ходят
Но если на роутере 1 eth2 и на хосте за ним сменить маску на 24 то все прекрасно бегает .... в чем косяк?

Заранее благодарен!


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:



Есть интересная задача и бюджет? http://mikrotik.site
vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Полагаю если вы IPsec отключите то оно начнет работать


Есть интересная задача и бюджет? http://mikrotik.site
BratWolfa
Сообщения: 6
Зарегистрирован: 26 ноя 2014, 20:53

А как же быть в моем варианте? Как защитить туннель?


vviz
Сообщения: 75
Зарегистрирован: 09 окт 2014, 16:46

Думается, проблемка в том, что сеть 192.168.206.0/24 попадает в пул 192.168.0.0/16 и поэтому является локальной для хоста - он не будет пересылать пакеты на роутер.
Далее, ты отдаешь себе отчет, что маска 16 это диапазон от 192.168.0.0 до 192.168.255.255? Т.е это одна сеть, а не несколько... Роутеры это очень хорошо понимают :)


BratWolfa
Сообщения: 6
Зарегистрирован: 26 ноя 2014, 20:53

Я тоже думаю в сторону, что сеть 192.168.206.0/24 попадает в пул 192.168.0.0/16
Но как бы у другого производителя роутеров (не буду называть) такие настройки не вызывают проблем. Я именно по-этому написал на этом форуме. Может это особенность mikrotik?
п.с. завтра попробую совет выше ... про отключение ipsec...


vviz
Сообщения: 75
Зарегистрирован: 09 окт 2014, 16:46

BratWolfa писал(а):Я тоже думаю в сторону, что сеть 192.168.206.0/24 попадает в пул 192.168.0.0/16
Но как бы у другого производителя роутеров (не буду называть) такие настройки не вызывают проблем. Я именно по-этому написал на этом форуме. Может это особенность mikrotik?
п.с. завтра попробую совет выше ... про отключение ipsec...


Охохох, уважаемый, тебе не зря послали ссылку на описание стека сетевой модели - тебе как бэ намекают - ерунда у тебя в сетевой инфраструктуре. А то, что у других производителей работает - так не факт, что информация достоверна - конфиги то не представлены. Я тоже задавал вопрос по подобной проблеме - но ответа не получил никакого, и понимаю почему - нужно придерживаться стандартов.
Как говорят пацаны - нужно делать по понятиям.


BratWolfa
Сообщения: 6
Зарегистрирован: 26 ноя 2014, 20:53

ipsec отключил

router1:
lan: eth2 192.168.200.100/24

На хосте за роутером 1 стоит ip 192.168.200.12/16
Результат: Пакты между оконечными хостами не ходят

На хосте за роутером 1 стоит ip 192.168.200.12/24
Результат: Пакты между оконечными хостами Ходят!

Сейчас то чего не так?


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Вам же уже написали


Есть интересная задача и бюджет? http://mikrotik.site
Vladimir22
Сообщения: 561
Зарегистрирован: 09 дек 2012, 17:12

прочтите теорию про маску сети , и маршрутизацию . это постулаты .


Ответить