Проблема в маршрутизации через IPsec

Обсуждение оборудования и его настройки
Ответить
aleksey
Сообщения: 2
Зарегистрирован: 04 июл 2015, 20:45

Изображение
Добрый день, помогите с настройкой маршрутизации между офисами через туннель ipsec. офис A-192.168.0.0/24 B-192.168.16.0/24

Сейчас если в настройках туннеля стоит
/ip ipsec proposal
set [ find default=yes ] lifetime=5m
/ip ipsec peer
add address=10.0.0.2 enc-algorithm=aes-128 nat-traversal=no secret=\
Pa$$w0rd
/ip ipsec policy
add dst-address=192.168.31.0/24 sa-dst-address=10.0.0.2 sa-src-address=\
10.0.0.1 src-address=192.168.15.0/24 tunnel=yes
то сертификаты создаются и трафик ходит между данными сетями, если я указываю
/ip ipsec policy
add dst-address=192.168.16.0/24 sa-dst-address=10.0.0.2 sa-src-address=\
10.0.0.1 src-address=192.168.0.0/24 tunnel=yes
Настройки микротика

/ip route
add distance=1 gateway=10.0.0.10 routing-mark=" ISP1-rt"
add comment=GW1 distance=1 gateway=10.0.0.10
add distance=1 dst-address=192.168.0.0/24 gateway=192.168.15.251
/ip route rule
add disabled=yes src-address=10.0.0.1/32 table=1
add disabled=yes dst-address=10.0.0.10/32 table=1
add disabled=yes routing-mark=1 table=1
На другом микротике аналогичные настройки.

На проксе и DFL860 стоят соответствующие настройки отправлять трафик предназначенный для противоположных сетей на локальные адреса микротиков, микротики взяты для теста RB750. Сейчас стоят длинки вместо микротиков и по аналогичной схеме работают.
На время тестов отключал Firewall.


EdkiyGluk
Сообщения: 241
Зарегистрирован: 21 сен 2014, 08:34
Откуда: 34
Контактная информация:

Что-то я вообще, если честно, не понял вопроса)))) Это вопрос или тех-задание? Или всё уже настроено и работает? Топикстрартер, отзовись...


aleksey
Сообщения: 2
Зарегистрирован: 04 июл 2015, 20:45

Поставленную задачу я решил, но возник другой еще вопрос.
Так как имеется 2 провайдера и ipsec тунели, каким образом осуществить проброс портов в локальную сеть.
Дело в том что если я маркирую пакеты от каждого провайдера в цепочке input и output это помогает только для ответа микротика по разным провайдерам, если же начинаю маркировать пакеты в цепочке prerouting то в таком случает удаленные сети(ipsec tunnel)перестают нормально отзываться. Подскажите какой способ маркировки трафика мне подойдет?


Ответить