Страница 1 из 1
IPSC + NAT
Добавлено: 18 авг 2021, 10:28
aleksandr.rusin
коллеги подскажите как написать правила ната для отправки пакетов в ipsec
есть две локальные сети на микротике
192.168.81.0\24 vlan1
192.168.123.0\24 vlan10
есть ipsec тоннель с правилом
192.178.81.0\24 <-> 10.129.106.0\24
необходимо создать правило NAT чтобы из сети 192.168.123.0/24 трафик натился в а адрес 192.168.81.1 (или любой дрогой из 192.168.81.0/24) и соответственно трафик уходил в тоннель от этих адресов
Re: IPSC + NAT
Добавлено: 18 авг 2021, 10:56
xvo
/ip firewall nat chain=srcnat action=src-nat dst-address=10.129.106.0/24 src-address=192.168.123.0/24 to-addresses=192.168.81.1
Re: IPSC + NAT
Добавлено: 18 авг 2021, 11:04
aleksandr.rusin
Так я вчера и написал, видно что правило отрабает и трафик под него попадает. а вот такое ощущение, что в тоннель трафик не уходит
Re: IPSC + NAT
Добавлено: 18 авг 2021, 11:34
xvo
А политика точно такая есть?
А то IPSec отбирает свои пакеты уже после src-nat'а, должно бы уходить в туннель.
На той стороне этих пакетов точно нет?
Re: IPSC + NAT
Добавлено: 18 авг 2021, 12:02
aleksandr.rusin
политика точно работает
счетчики не отрабатывают , но правда я проверял трассировкой с самого роутера - может затык в этом
сейчас жду ответ тестировщиков которые проверят непосредственно с хостов из сети 192,168,123
Re: IPSC + NAT
Добавлено: 18 авг 2021, 13:05
aleksandr.rusin
Да отписались, все ОК
видно это трассировка с самого маршрутира криво работает
спасибо
Re: IPSC + NAT
Добавлено: 18 авг 2021, 13:09
xvo
aleksandr.rusin писал(а): ↑18 авг 2021, 13:05
видно это трассировка с самого маршрутира криво работает
спасибо
Он при создании пакета вполне может какой-то "не тот" адрес в качестве источника выбирать.
Если ping или traceroute используете - пробуйте жестко задавать src-address с которого все это пойдет.