Страница 1 из 2
Тонель ipsec поднялся, но нет пинга между локальными адресами
Добавлено: 21 окт 2020, 20:18
Ska
Здравствуйте. Не кидайте тапками за глупые вопросы. Я только познаю Микротики.
Ситуация следующая: поднял тонель ipsec между двумя микротами (пишет esteblished), но не могу пропинговать внутренние интерфейсы с одной локалки на другую. Запускаю пинг с микрота 1 на внутренную сеть микрота 2 - пингов нет, и наоборот тоже самое. Конфиг прилагаю. Это конфиг одного, второй настроен по аналогии.
interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip ipsec profile
add dh-group=modp1024 enc-algorithm=3des hash-algorithm=md5 lifetime=8h name=\
Office2
/ip ipsec peer
add address=8x.xx.xx.141/32 name=8x.xx.xx.141 profile=Office2
/ip ipsec proposal
add auth-algorithms=md5 enc-algorithms=3des lifetime=8h name=proposal_office2
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add interface=ether1 list=WAN
add list=LAN
/ip address
add address=195.xx.xxx.14/30 interface=ether1 network=195.xx.xxx.12
add address=192.168.88.1/24 interface=ether2 network=192.168.88.0
/ip dns
set servers=62.112.106.130,62.112.113.170,8.8.8.8
/ip firewall nat
add action=accept chain=srcnat dst-address=10.100.208.15 src-address=\
192.168.88.1
add action=masquerade chain=srcnat out-interface-list=WAN
/ip firewall service-port
set ftp disabled=yes
set irc disabled=yes
/ip ipsec identity
add peer=64.xx.xx.141 secret=12345
/ip ipsec policy
add dst-address=10.100.208.15/32 peer=64.xx.xx.141 sa-dst-address=64.xx.xx.141 \
sa-src-address=195.xx.xxx.14 src-address=192.168.88.1/32 tunnel=yes
/ip route
add distance=1 gateway=195.xx.xxx.13
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www port=33333
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/system clock
set time-zone-name=Europe/Moscow
/system identity
set name=MikroTik1
/system package update
set channel=development
/tool bandwidth-server
set enabled=no
Re: Тонель ipsec поднялся, но нет пинга между локальными адресами
Добавлено: 23 окт 2020, 10:08
Ska
Настроил маршрутизацию, пинги между внутренними интерфейсами появились, но вот доступа из одной сети в другую нет. Перепробовал разные варианты - ничего.
Неужели никто не сталкивался с подобным? Задача для опытных админов микротиков простая. Или просто в лом отвечать?
Re: Тонель ipsec поднялся, но нет пинга между локальными адресами
Добавлено: 23 окт 2020, 10:30
mafijs
Ska писал(а): ↑23 окт 2020, 10:08
но вот доступа из одной сети в другую нет.
Firewall отключил на Windows ?
И что подразумевается под "доступа из одной сети в другую" ?
Re: Тонель ipsec поднялся, но нет пинга между локальными адресами
Добавлено: 23 окт 2020, 12:05
Ca6ko
Ska писал(а): ↑23 окт 2020, 10:08
Задача для опытных админов микротиков простая
Ska писал(а): ↑23 окт 2020, 10:08
Перепробовал разные варианты - ничего.
Пока Вы ставите задачу для опытных экстрасенсов угадать что и как там у Вас.
Хотите помощи подробно расписывайте что и как, не хотите писать ищите в поиске, таких случаев как у Вас очень много.
Здесь на форуме задачи решают за деньги, А бесплатно помогают советом.
Re: Тонель ipsec поднялся, но нет пинга между локальными адресами
Добавлено: 23 окт 2020, 12:17
Ska
И что подразумевается под "доступа из одной сети в другую" ?
Из сети А в одном месте через vpn тонель нужно заходить в сеть В в другом месте. Сеть А имеет адрес вида xxx.xxx.xxx.0/24, cеть B имеет адрес вида yyy.yyy.yyy.0/24. Микротик 1 имеет внутренний адрес xxx.xxx.xxx.1, Микротик 2 имеет внутренний адрес yyy.yyy.yyy.1 Я с микротка 1 через терминал могу пинговать микротик 2 на адрес yyy.yyy.yyy.1, то есть внутренний интерфейс второго микротика. Пинги на любой другой хост сети yyy.yyy.yyy.0 с Микротика 1 не проходят. Со своего микротика каждый хост пингуется.
Файрволл виндоус тут не причем, не пингуются любые железки.ъ
Хотите помощи подробно расписывайте что и как, не хотите писать ищите в поиске, таких случаев как у Вас очень много.
Дык я и так все подробно написал.
Где хотя бы искать грабли? У же маршрут прописывал даже на конкретную железку...безрезультатно. чувствую что какая то мелочь не настроена, но где не врублюсь.
Re: Тонель ipsec поднялся, но нет пинга между локальными адресами
Добавлено: 23 окт 2020, 12:21
xvo
У вас policy только до самих микротиков и прописаны.
Re: Тонель ipsec поднялся, но нет пинга между локальными адресами
Добавлено: 23 окт 2020, 12:25
Ska
xvo писал(а): ↑23 окт 2020, 12:21
У вас policy только до самих микротиков и прописаны.
Ну да, хост-хост
Re: Тонель ipsec поднялся, но нет пинга между локальными адресами
Добавлено: 23 окт 2020, 12:31
xvo
Ska писал(а): ↑23 окт 2020, 12:25
Ну да, хост-хост
А что вас тогда удивляет?
Re: Тонель ipsec поднялся, но нет пинга между локальными адресами
Добавлено: 23 окт 2020, 12:42
Ska
Потому что если ставлю сеть-сеть, то пишет noPhase 2
Переделал, теперь при сеть-сеть пишет esteblished...хм.
Но все равно пингуется ток роутер (((
Re: Тонель ipsec поднялся, но нет пинга между локальными адресами
Добавлено: 23 окт 2020, 12:47
xvo
А как вы ставите сеть-сеть?