Страница 1 из 1
ipsec и доступ к удаленной сети с самого микротика
Добавлено: 24 мар 2021, 13:27
eagla
есть mikrotik поднят ipsec до kerio сервера ( пробовал и до другого микротика ситуация идентичная )
предположим микротик 192.168.22.1 сеть за ним 192.168.8.0/24
удаленная сеть 192.168.8.0/24
из сети 192.168.22.0/24 вижу всю сеть 192.168.8.0
но с самого микротика ping 192.168.8.x не работает , работает только ping src-address=192.168.22.1 192.168.8.X это понятно, чтобы пинг уходил не с внешнего интерфейса
но мне хотелось бы в ip -> DNS прописать вторым dns сервером сервер из сети 192.168.8.0 и чтобы компы используя днс микротика передавали в случае нужды запросы на днс из 192.168.8.X сети
Вопрос: можно ли как то заставить это дело работать
пока вышел из ситуации тем , что выдаю по dhcp dns сервер из 192.168.8.X, но это не совсем корректно
Re: ipsec и доступ к удаленной сети с самого микротика
Добавлено: 24 мар 2021, 13:51
xvo
То есть подсети на двух сторонах туннеля совпадают?
Re: ipsec и доступ к удаленной сети с самого микротика
Добавлено: 18 май 2021, 11:26
LOKI
eagla писал(а): ↑24 мар 2021, 13:27
есть mikrotik поднят ipsec до kerio сервера ( пробовал и до другого микротика ситуация идентичная )
предположим микротик 192.168.22.1 сеть за ним 192.168.8.0/24
удаленная сеть 192.168.8.0/24
из сети 192.168.22.0/24 вижу всю сеть 192.168.8.0
но с самого микротика ping 192.168.8.x не работает , работает только ping src-address=192.168.22.1 192.168.8.X это понятно, чтобы пинг уходил не с внешнего интерфейса
но мне хотелось бы в ip -> DNS прописать вторым dns сервером сервер из сети 192.168.8.0 и чтобы компы используя днс микротика передавали в случае нужды запросы на днс из 192.168.8.X сети
Вопрос: можно ли как то заставить это дело работать
пока вышел из ситуации тем , что выдаю по dhcp dns сервер из 192.168.8.X, но это не совсем корректно
У меня такая же ситуация, только сети разные за Керио и Микротиком.
Микротик отправляя свои исходящие не видит Policy и шлёт через шлюз по дефолт-роуту.
У вас получилось что-то сделать?
Re: ipsec и доступ к удаленной сети с самого микротика
Добавлено: 18 май 2021, 11:38
xvo
LOKI писал(а): ↑18 май 2021, 11:26
Микротик отправляя свои исходящие не видит Policy и шлёт через шлюз по дефолт-роуту.
Так а добавить policy для самого микротика не вариант?
Re: ipsec и доступ к удаленной сети с самого микротика
Добавлено: 18 май 2021, 20:55
LOKI
xvo писал(а): ↑18 май 2021, 11:38
LOKI писал(а): ↑18 май 2021, 11:26
Микротик отправляя свои исходящие не видит Policy и шлёт через шлюз по дефолт-роуту.
Так а добавить policy для самого микротика не вариант?
А что в нём указать в качестве Src Address? Если внешний IP микротика - выходит no phase 2
Re: ipsec и доступ к удаленной сети с самого микротика
Добавлено: 18 май 2021, 21:07
xvo
Ну src - да, а dst - внутренние на том конце.
Re: ipsec и доступ к удаленной сети с самого микротика
Добавлено: 19 май 2021, 06:52
LOKI
xvo писал(а): ↑18 май 2021, 21:07
Ну src - да, а dst - внутренние на том конце.
no phase2
Не пойдёт так, с другой стороны Керио не понимает и отправляет ответ на внешку. А если там прописываю внешку в удалённую сеть, то канал падает.
Re: ipsec и доступ к удаленной сети с самого микротика
Добавлено: 19 май 2021, 09:51
xvo
LOKI писал(а): ↑19 май 2021, 06:52
no phase2
Не пойдёт так, с другой стороны Керио не понимает и отправляет ответ на внешку. А если там прописываю внешку в удалённую сеть, то канал падает.
Да, пожалуй так ничего не выйдет.
Тогда надо "заставлять" микротик слать с какого-то определенного внутреннего адреса - либо смотрящего в одну из сетей, либо лучше с loop-back'а.
По диаграмме проверка на соответствие policy идет уже после src-nat, так что должно работать:
https://wiki.mikrotik.com/wiki/Manual:P ... ng_Diagram