Подскажите пожалуйста куда посмотреть.
Есть 2 mikrotik, между ними в тунельном режиме настроен IPSEC + GRE - все работает !!!
IPSEC поднят между статичискими IP адресами.
Есть необходимость из локалки 1го микротик, ходить на устройство за 2м микротик через внешний IP адрес 2го микротик.
Устройство - это видеорегистратор.
Интересует именно схема через внешний IP.
Регистратор доступен из интернет через проброс tcp порта, т.е. работает с любого IP не учасвующего в ipsec.
На регистратор проброшен один tcp порт, другие порты не нужны.
Выключаю IPSEC - все начинает работать как нужно.
Телнетом вроде цепляется, но софт регистратора постояно переподключается (перелогинивается) с сообщением "ошибка сети".
Проблема IPSEC dstnat через внешний IP
-
- Сообщения: 132
- Зарегистрирован: 11 янв 2019, 14:48
У меня таже фигня. Только устройств 3. Между ними ipsec. За каждым устройством есть регистратор. Проблем с просмотром видео с регистраторов через dst-nat не было пока не настроил туннели. После того как настроил тунели, при обращении на внешний ip по dst-nat на регистратор начались тормоза жуткие. Пришлось решить проблему временно запустив пользователя внутри туннеля, что наверное нехорошо, так как нагружает процессор. Но благо пользователей смотрит регистратор немного, вроде всё хорошо. Но надо решать вопрос. Пока сам не знаю как. Тут проблема на мой взгляд с маршрутизацией видимо.... Хотя хз. По логике сделано всё правильно. Но факт остается фактом: обращаюсь на внешний ip - тормоза. Обращаюсь на внутренний (через туннель) - всё отлично.kharkov_max писал(а): ↑29 янв 2019, 16:12 Подскажите пожалуйста куда посмотреть.
Есть 2 mikrotik, между ними в тунельном режиме настроен IPSEC + GRE - все работает !!!
IPSEC поднят между статичискими IP адресами.
Есть необходимость из локалки 1го микротик, ходить на устройство за 2м микротик через внешний IP адрес 2го микротик.
Устройство - это видеорегистратор.
Интересует именно схема через внешний IP.
Регистратор доступен из интернет через проброс tcp порта, т.е. работает с любого IP не учасвующего в ipsec.
На регистратор проброшен один tcp порт, другие порты не нужны.
Выключаю IPSEC - все начинает работать как нужно.
Телнетом вроде цепляется, но софт регистратора постояно переподключается (перелогинивается) с сообщением "ошибка сети".
-
- Сообщения: 104
- Зарегистрирован: 04 окт 2015, 21:38
В туннеле все работает, но задача именно пустить на внешний IP. (телефоны, WIFI внутри конторы или 4G вне конторы один конфиг...)
С маршрутизацией - да, пакет сразу уходит в трубу ipsec, появляется на внешнем IP второго роутера dstnat и все ...
Можно поступить по другому и будет работать.
Можно поднять GRE1 потом на в нутренних адресах GRE1 поднять IPSEC, на IPSEC поднять новый GRE2, марщрутизацию в туннелях пустить через GRE2, а т.к. IPSEС не будет работать между внешними IP, нормально заработает DSTNAT. Но этот вариант как мне кажется кривоват ...
С маршрутизацией - да, пакет сразу уходит в трубу ipsec, появляется на внешнем IP второго роутера dstnat и все ...
Можно поступить по другому и будет работать.
Можно поднять GRE1 потом на в нутренних адресах GRE1 поднять IPSEC, на IPSEC поднять новый GRE2, марщрутизацию в туннелях пустить через GRE2, а т.к. IPSEС не будет работать между внешними IP, нормально заработает DSTNAT. Но этот вариант как мне кажется кривоват ...
-
- Сообщения: 141
- Зарегистрирован: 23 июн 2017, 07:55
для начала конфигурацию покажите.
-
- Сообщения: 132
- Зарегистрирован: 11 янв 2019, 14:48
Не то слово))
-
- Сообщения: 141
- Зарегистрирован: 23 июн 2017, 07:55
При правильно настроенном IPSEC, ничего мудрить не надо. В туннель идет только интересный трафик, т.е. трафик локальных сетей, трафик внешних интерфейсов в туннель не поступает.
Внешний трафик маршрутизируется на общих основаниях, и вы его можете как угодно натить.
Внешний трафик маршрутизируется на общих основаниях, и вы его можете как угодно натить.
-
- Сообщения: 104
- Зарегистрирован: 04 окт 2015, 21:38
У меня IPSEC настроен между внешними IP адресами в туннельном режиме, это правильно?kt72ru писал(а): ↑30 янв 2019, 12:35 При правильно настроенном IPSEC, ничего мудрить не надо. В туннель идет только интересный трафик, т.е. трафик локальных сетей, трафик внешних интерфейсов в туннель не поступает.
Внешний трафик маршрутизируется на общих основаниях, и вы его можете как угодно натить.
-
- Сообщения: 141
- Зарегистрирован: 23 июн 2017, 07:55
Правильно. Только зачем вам в этой схеме GRE?kharkov_max писал(а): ↑30 янв 2019, 13:40 У меня IPSEC настроен между внешними IP адресами в туннельном режиме, это правильно?
-
- Сообщения: 104
- Зарегистрирован: 04 окт 2015, 21:38
Отслеживать статус подключения (как минимум), так правильнее...kt72ru писал(а): ↑30 янв 2019, 13:49Правильно. Только зачем вам в этой схеме GRE?kharkov_max писал(а): ↑30 янв 2019, 13:40 У меня IPSEC настроен между внешними IP адресами в туннельном режиме, это правильно?
-
- Сообщения: 141
- Зарегистрирован: 23 июн 2017, 07:55
отслеживать статус подключения можно и другими методами, и при этом не иметь лишний оверхед из-за gre.kharkov_max писал(а): ↑30 янв 2019, 14:00 Отслеживать статус подключения (как минимум), так правильнее...