Суть такова….. плохо знаю, то есть вообще не знаю Cisco, более-менее знаю Mikrotik.
Основным шлюзом стоит Циска. Через нее подключаются по VPN региональные сети и получают доступ к ресурсам головного офиса. Через нее головной офис получает Инет. Ставлю Asterisk в локальной сети головного офиса… регистрация у провайдера через Циску валится. Хочет – работает, хочет – не работает. Так и не нашел в чем проблема. Забил на Циску и поставил второй маршрутизатор – Mikrotik. На оборудовании провайдера попросил зеркало портов – дали.
Итак… схема прилагается
Cisco имеет белый IP – 178.16.10.218
Mikrotik (HQ) имеет белый IP – 178.16.10.219
Mikrotik (Regional) белый IP – 91.161.10.10
Настройки Циски не трогаем, ибо работает и никак не влияет на проблему.
Между Циской и Микротиком (регион) настроен IPSec. Между Микротом Головным и Региональным поднят IPIP туннель
Из головного офиса, через Микротик IPIP туннель, есть ping и traceroute от источника 192.168.101.13 до целевого сервера – 192.168.102.98. Обратно – нет. То есть, от 192.168.102.98 пингуется вход/выход IPIP тунеля 172.16.30.1 и 172.16.30.2. Дальше, до 192.168.101.13 идти отказывается. Где теряется маршрут?
/system identity
set name=MikroTik-Regional
# Тут настройки для IPSec которые работают с Cisco (IP:178.16.10.218)========
/ip ipsec policy group
add name=MyGroup
/ip ipsec profile
add hash-algorithm=md5 name=MyProfile
/ip ipsec peer
add address=178.16.10.218/32 name=LeoPeer profile=MyProfile
/ip ipsec identity
add peer=LeoPeer policy-template-group=MyGroup secret=*PASSWORD*
/ip ipsec proposal
add auth-algorithms=md5 enc-algorithms=3des name=MyProposal
/ip ipsec policy
set 0 proposal=MyProposal
add dst-address=192.168.101.0/24 peer=LeoPeer sa-dst-address=178.16.10.218 sa-src-address=91.191.10.10 src-address=192.168.102.0/24 tunnel=yes
# Настройки для туннеля IPIP
/interface ipip
add allow-fast-path=no ipsec-secret=*PASSWORD* name=ipip-tunnel1 remote-address=178.16.10.219
# Перечисление IP, в том числе и для IPIP туннеля
/ip address
add address=192.168.102.1/24 comment=defconf interface=bridge network=192.168.102.0
add address=91.191.10.10/30 comment="miralogic inet" interface=ether1 network=91.191.10.8
add address=172.16.30.2/30 interface=ipip-tunnel1 network=172.16.30.0
# Нужный адрес заворачиваю в туннель
/ip route
add distance=10 gateway=91.191.10.9
add distance=1 dst-address=192.168.101.13/32 gateway=ipip-tunnel1
# Маскарад для туннеля, как положенно, выше основного выхода в Инет
/ip firewall nat
add action=masquerade chain=srcnat log=yes out-interface=ipip-tunnel1
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
/ip firewall filter
Фильты настроены "по-умолчанию" – работают. Тонкой настройкой займемся позже.....
С настройками Mikrotik (HQ) еще проще – поднят IPIP туннель и все
/system identity
set name=Mikrotik-HQ
/ip address
add address=192.168.101.3/24 interface=bridge network=192.168.101.0
add address=178.16.10.219/29 interface=ether1 network=178.16.10.216
add address=172.16.30.1/30 interface=ipip-tunnel1 network=172.16.30.0
/interface ipip
add allow-fast-path=no ipsec-secret=*PASSWORD* name=ipip-tunnel1 remote-address=91.191.10.10
/ip route
add distance=1 gateway=178.16.10.217
add distance=1 dst-address=192.168.102.98/32 gateway=ipip-tunnel1
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ipip-tunnel1
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
Фильтры по-умолчанию….
По сути, задача сводится к тому, что бы два сервера работали исключительно через IPIP туннель, поднятый на микротиках. В одну сторону работает, а в другую...... Какие есть мысли?
