IPSEC между двумя офисами с одинаковыми подсетями в каждом. NAT, netmap?

Обсуждение ПО и его настройки
Ответить
vladimir.fomin
Сообщения: 2
Зарегистрирован: 29 июл 2020, 12:23

Добырй день.
Есть два офиса, между которыми нужен IPSEC, но в этих офисах одинаковые подсети. Я так понимаю, нужно делать NAT на обоих сторонах.
Верно?

делаю ping src-address=192.168.5.1 172.17.214.111 и ответа нет. Но пакет заворачивается в туннель, прилетает на сервер 172.17.214.111, ответ прилетает на роутер.
Изображение

Код: Выделить всё

/ip firewall nat
add action=netmap chain=srcnat dst-address=172.17.214.111 log=yes \
    out-interface=ether1 src-address=192.168.5.0/24 to-addresses=172.16.230.65

add action=netmap chain=dstnat dst-address=172.16.230.65 dst-address-list="" \
    log=yes src-address=172.17.214.111 src-address-list="" to-addresses=\
    192.168.5.1

add action=src-nat chain=srcnat out-interface=ether1 src-address=192.168.5.0/24 \
    to-addresses=185.31.94.83


Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03



фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Все это костыли. Лучше рубануть один раз - и все переделать. Да, может и тяжело, на зато потом все будет прозрачно, легко и удобно.
Если уж до зарезу нужно сохранить подсеть, то хотя бы разделите одну подсеть маской на нужные вам сегменты.
Это намного лучше, чем через полгода вспоминать: "а нафига нам столько разных подсетей и маршрутов?"


Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

Да, всё переделать нормально это конечно лучше.


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
vladimir.fomin
Сообщения: 2
Зарегистрирован: 29 июл 2020, 12:23

Sertik писал(а): 30 июл 2020, 10:17 Да, всё переделать нормально это конечно лучше.
Да здесь у меня в большей степени профессиональный интерес. Такие задачи часто возникают. Например, партнер устанавливает с нами туннель и у них с нами пересекаются подсети. Не скажешь же партнеру — крупной компании — чтобы они меняли адресацию.


DemNZV
Сообщения: 13
Зарегистрирован: 27 июл 2020, 12:20

Есть одна статейка.... https://temofeev.ru/info/articles/osnov ... -routeros/
Пункт - "Подсети с одинаковой адресацией" ближе к концу статьи
Но на практике не пробовал. Возможно, это можно адаптировать под себя.


Ответить