Проблема IPSEC dstnat через внешний IP

Обсуждение оборудования и его настройки
kharkov_max
Сообщения: 44
Зарегистрирован: 04 окт 2015, 21:38

29 янв 2019, 16:12

Подскажите пожалуйста куда посмотреть.

Есть 2 mikrotik, между ними в тунельном режиме настроен IPSEC + GRE - все работает !!!
IPSEC поднят между статичискими IP адресами.
Есть необходимость из локалки 1го микротик, ходить на устройство за 2м микротик через внешний IP адрес 2го микротик.
Устройство - это видеорегистратор.
Интересует именно схема через внешний IP.
Регистратор доступен из интернет через проброс tcp порта, т.е. работает с любого IP не учасвующего в ipsec.
На регистратор проброшен один tcp порт, другие порты не нужны.

Выключаю IPSEC - все начинает работать как нужно.
Телнетом вроде цепляется, но софт регистратора постояно переподключается (перелогинивается) с сообщением "ошибка сети".


imaoskol
Сообщения: 14
Зарегистрирован: 11 янв 2019, 14:48

29 янв 2019, 17:51

kharkov_max писал(а):
29 янв 2019, 16:12
Подскажите пожалуйста куда посмотреть.

Есть 2 mikrotik, между ними в тунельном режиме настроен IPSEC + GRE - все работает !!!
IPSEC поднят между статичискими IP адресами.
Есть необходимость из локалки 1го микротик, ходить на устройство за 2м микротик через внешний IP адрес 2го микротик.
Устройство - это видеорегистратор.
Интересует именно схема через внешний IP.
Регистратор доступен из интернет через проброс tcp порта, т.е. работает с любого IP не учасвующего в ipsec.
На регистратор проброшен один tcp порт, другие порты не нужны.

Выключаю IPSEC - все начинает работать как нужно.
Телнетом вроде цепляется, но софт регистратора постояно переподключается (перелогинивается) с сообщением "ошибка сети".
У меня таже фигня. Только устройств 3. Между ними ipsec. За каждым устройством есть регистратор. Проблем с просмотром видео с регистраторов через dst-nat не было пока не настроил туннели. После того как настроил тунели, при обращении на внешний ip по dst-nat на регистратор начались тормоза жуткие. Пришлось решить проблему временно запустив пользователя внутри туннеля, что наверное нехорошо, так как нагружает процессор. Но благо пользователей смотрит регистратор немного, вроде всё хорошо. Но надо решать вопрос. Пока сам не знаю как. Тут проблема на мой взгляд с маршрутизацией видимо.... Хотя хз. По логике сделано всё правильно. Но факт остается фактом: обращаюсь на внешний ip - тормоза. Обращаюсь на внутренний (через туннель) - всё отлично.


kharkov_max
Сообщения: 44
Зарегистрирован: 04 окт 2015, 21:38

29 янв 2019, 18:49

В туннеле все работает, но задача именно пустить на внешний IP. (телефоны, WIFI внутри конторы или 4G вне конторы один конфиг...)

С маршрутизацией - да, пакет сразу уходит в трубу ipsec, появляется на внешнем IP второго роутера dstnat и все ...

Можно поступить по другому и будет работать.
Можно поднять GRE1 потом на в нутренних адресах GRE1 поднять IPSEC, на IPSEC поднять новый GRE2, марщрутизацию в туннелях пустить через GRE2, а т.к. IPSEС не будет работать между внешними IP, нормально заработает DSTNAT. Но этот вариант как мне кажется кривоват ...


kt72ru
Сообщения: 133
Зарегистрирован: 23 июн 2017, 07:55

30 янв 2019, 07:02

для начала конфигурацию покажите.


imaoskol
Сообщения: 14
Зарегистрирован: 11 янв 2019, 14:48

30 янв 2019, 09:20

kharkov_max писал(а):
29 янв 2019, 18:49
Но этот вариант как мне кажется кривоват ...
Не то слово))


kt72ru
Сообщения: 133
Зарегистрирован: 23 июн 2017, 07:55

30 янв 2019, 12:35

При правильно настроенном IPSEC, ничего мудрить не надо. В туннель идет только интересный трафик, т.е. трафик локальных сетей, трафик внешних интерфейсов в туннель не поступает.
Внешний трафик маршрутизируется на общих основаниях, и вы его можете как угодно натить.


kharkov_max
Сообщения: 44
Зарегистрирован: 04 окт 2015, 21:38

30 янв 2019, 13:40

kt72ru писал(а):
30 янв 2019, 12:35
При правильно настроенном IPSEC, ничего мудрить не надо. В туннель идет только интересный трафик, т.е. трафик локальных сетей, трафик внешних интерфейсов в туннель не поступает.
Внешний трафик маршрутизируется на общих основаниях, и вы его можете как угодно натить.
У меня IPSEC настроен между внешними IP адресами в туннельном режиме, это правильно?


kt72ru
Сообщения: 133
Зарегистрирован: 23 июн 2017, 07:55

30 янв 2019, 13:49

kharkov_max писал(а):
30 янв 2019, 13:40
У меня IPSEC настроен между внешними IP адресами в туннельном режиме, это правильно?
Правильно. Только зачем вам в этой схеме GRE?


kharkov_max
Сообщения: 44
Зарегистрирован: 04 окт 2015, 21:38

30 янв 2019, 14:00

kt72ru писал(а):
30 янв 2019, 13:49
kharkov_max писал(а):
30 янв 2019, 13:40
У меня IPSEC настроен между внешними IP адресами в туннельном режиме, это правильно?
Правильно. Только зачем вам в этой схеме GRE?
Отслеживать статус подключения (как минимум), так правильнее...


kt72ru
Сообщения: 133
Зарегистрирован: 23 июн 2017, 07:55

30 янв 2019, 14:07

kharkov_max писал(а):
30 янв 2019, 14:00
Отслеживать статус подключения (как минимум), так правильнее...
отслеживать статус подключения можно и другими методами, и при этом не иметь лишний оверхед из-за gre.


Ответить