Rb750R2 + SiteToSite: нет пинга с самого роутера

Обсуждение оборудования и его настройки
Ответить
StealeR
Сообщения: 2
Зарегистрирован: 04 ноя 2016, 14:25

Доброго времени суток!
Собственно, то, нам чем я бьюсь - описал в названии темы...есть центральный офис (ЦО), есть филиал с микротиком. Между нами поднят IPSec-туннель. Между подсетями все работает отлично, без вопросов. Но мне для мониторинга жизнеспособности микротика хочется настроить его логирование на мой syslog-сервер в ЦО. И тут я обнаруживаю (да-да, когда я всё это настраивал, этот момент не проверял), что с самого роутера я не могу пропинговать IP-адреса ЦО. Из локальной сети за роутером все пингуется на ура и вообще работает отлично. Ни торчем не могу отловить причину, ни в логах ничего. Со стороны ЦО tcpdump тоже ничего не ловит.

WAN - ether1
LAN - brigde1(ether2-ether5)

Вся фильтрация ACLей настроена со стороны ЦО, на микротике же в нате стоит только одно правило для туннелей - акцептить весь трафик до сети ЦО:
/ip firewall nat add action=accept chain=srcnat dst-address-list=CO.local

прошивка и OS после покупки обновлены до последней версии.

Подскажите, в какую сторону копнуть?


StealeR
Сообщения: 2
Зарегистрирован: 04 ноя 2016, 14:25

Заработало! Не знаю только, насколько это верное решение в рамках возможностей RouterOS, но помогло следующее: предположив, что роутер банально не знает маршрута, прописал /ip route add distance=1 dst-address=192.168.0.0/24 gateway=eth3, где 192.168.0.0/24 - это подсеть ЦО, а eth3 - интерфейс, куда подключена локальная сеть филиала.

Не знаю всех тонкостей RouterOS, поэтому буду рад, если кто-нибудь предложит иной путь решения.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

StealeR писал(а):Подскажите, в какую сторону копнуть?

Так как Вы дали мало данных, то вряд ли можно что-либо посоветовать.
В любом случаи напомню общие правила:
для связи/организации/подружить/объединить две сети надо использовать:
а) либо обычную маршрутизацию и прописать сети между собой (маршруты) и т.д.
б) либо получать доступ к одной сети через функционал [NAT/PAT/MASQUERADE] путём подмены исходящих адресов,
на адрес пограничного шлюза нужной нам сети.

У каждого решения есть и + и -, Вы сделали судя по всему по варианту А)



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Ответить