День добрый!
RouterOS 5.21
Решил подключить свой домашний комп к офисной ASA 5510. Настроил Peer, вкл. опцию Generate Policy
ip ipsec peer generate-policy=yes
Как только канал поднимается, я теряю доступ к Микротику с локалки. Стал разбираться в чем дело и выяснилось, что в момент создания динамических Policies добавляется строчка:
src 192.168.1.0/24 dst 192.168.0.0/16 ...
которая и убивает мне локалку.
Попытки отключить generate-policy=no и задать политики вручную ни к чему не привели. Даже без соединения тунеля, как только создаю политику вручную - сразу теряю доступ к микротику. Приходится через консоль ее дизаблить и только после этого могу продолжать попытки.
пришлось добавить вручную нужные мне сети и отказаться от 16ой маски.
Подскажите, как обойти эту проблему!?
как обойти глюк в RouterOS в IPSec Policies
-
iSupport
- Сообщения: 2360
- Зарегистрирован: 06 фев 2011, 20:44
грамотное расходование ip адресов никто не отменял
в локалке вобще можно использовать экзотическую 172.16.0.0
в локалке вобще можно использовать экзотическую 172.16.0.0
Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
-
makcs
- Сообщения: 7
- Зарегистрирован: 21 ноя 2012, 12:16
спасибо конечно за совет.
То что нужно отказаться от стандартной адресации используемой на предприятии ради обхода глюка в микротике это я уже понял. Заодно перенастроить всю свою локалку лишь бы чтоб как-нибудь но заработало - это я тоже уже понял.
решение которое получилось у меня сейчас - это добавление всех сетей, кроме моей локальной.
т.е. вместо одной Polisy типа 192.168.1.0/24 192.168.0.0/16 мне в конфиг пришлось добавить
192.168.1.0/24 192.168.0.0/24
192.168.1.0/24 192.168.2.0/24
192.168.1.0/24 192.168.3.0/24
192.168.1.0/24 192.168.4.0/24
192.168.1.0/24 192.168.5.0/24
...
192.168.1.0/24 192.168.140.0/24
пришлось бы добавить и остальные до 254, но пока наше скромное предприятие до этого не доросло.
и все ради того, чтобы исключить одну полиси из-за которой микротик виснет. Причем я уверен, что это явно глюк, т.к. когда скажем я настраиваю просто в линухе ipsec руками, все работает. И все другие устройства от д-линков до цисок прекрасно понимают 16 маску и не теряют доступ на локальный интерфейс. Обидно, что только недавно начал разбираться с микротиком и сразу на эти грабли наступил.
То что нужно отказаться от стандартной адресации используемой на предприятии ради обхода глюка в микротике это я уже понял. Заодно перенастроить всю свою локалку лишь бы чтоб как-нибудь но заработало - это я тоже уже понял.
решение которое получилось у меня сейчас - это добавление всех сетей, кроме моей локальной.
т.е. вместо одной Polisy типа 192.168.1.0/24 192.168.0.0/16 мне в конфиг пришлось добавить
192.168.1.0/24 192.168.0.0/24
192.168.1.0/24 192.168.2.0/24
192.168.1.0/24 192.168.3.0/24
192.168.1.0/24 192.168.4.0/24
192.168.1.0/24 192.168.5.0/24
...
192.168.1.0/24 192.168.140.0/24
пришлось бы добавить и остальные до 254, но пока наше скромное предприятие до этого не доросло.
и все ради того, чтобы исключить одну полиси из-за которой микротик виснет. Причем я уверен, что это явно глюк, т.к. когда скажем я настраиваю просто в линухе ipsec руками, все работает. И все другие устройства от д-линков до цисок прекрасно понимают 16 маску и не теряют доступ на локальный интерфейс. Обидно, что только недавно начал разбираться с микротиком и сразу на эти грабли наступил.
-
iSupport
- Сообщения: 2360
- Зарегистрирован: 06 фев 2011, 20:44
все интегрируют микротик на разном уровне развития сети. Не знал что вам надо столько перелопачивать.
Как вариант - помотрите на mikrotik.com - там на форуме ipsec вдоль и поперек перерыт
Как вариант - помотрите на mikrotik.com - там на форуме ipsec вдоль и поперек перерыт
Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
