Добрый день. MikroTik использую впервые, прошу помочь. Схема следующая: имеется две LAN: одна за DLink с NAT и внешним IP, вторая аналогично за MT. Поднимаю IPSec туннель, соединение устанавливается. Из сети с DLink я могу пропинговать внутренний адрес роутера MT, но не прохожу дальше в локальную сеть (очевидно, не настроена маршрутизация). Но, что интереснее, это то, что ни из сети МТ, ни с него самого я не могу пропинговать даже внутренний IP роутера DLink. Вот это мне непонятно. Раньше по этой же схеме работали в паре два DLink и всё было в порядке (у них динамически при подключении по IPSec прописываются маршруты, и только в файерволе нужно было разрешить трафик между двумя LAN). Привожу настройки своего МТ:
--- правила FW
0 chain=input action=accept src-address=192.168.0.0/22 dst-address=192.168.88.0/24
1 chain=output action=accept src-address=192.168.88.0/24 dst-address=192.168.0.0/22
2 ;;; default configuration chain=input action=accept protocol=icmp
3 ;;; default configuration chain=input action=accept connection-state=established
4 ;;; default configuration chain=input action=accept connection-state=related
5 chain=ipsec action=accept protocol=ipsec-esp
6 chain=ipsec action=accept protocol=ipsec-ah
7 chain=ipsec action=accept protocol=udp src-port=500
8 chain=ipsec action=accept protocol=udp src-port=4500
9 chain=input action=jump jump-target=ipsec in-interface=wan
10 ;;; default configuration chain=input action=drop in-interface=wan
--- правила NAT
0 ;;; default configuration chain=srcnat action=masquerade to-addresses=0.0.0.0 out-interface=wan
Если нужно, могу привести и настройки IPSec, хотя смысла не вижу, туннель поднимается и пакеты по нему бегают.
Заранее благодарен за помощь.
751g-2hnd - IPSec - NAT - DLink DFL-800
-
slaver
- Сообщения: 25
- Зарегистрирован: 14 мар 2013, 12:39
Поправил правила файервола на:
0 chain=input action=accept src-address=192.168.0.0/22 dst-address=192.168.88.1
1 chain=forward action=accept src-address=192.168.0.0/22 dst-address=192.168.88.0/24
2 chain=forward action=accept src-address=192.168.88.0/24 dst-address=192.168.0.0/22
3 ;;; default configuration chain=input action=accept protocol=icmp
4 ;;; default configuration chain=input action=accept connection-state=established
5 ;;; default configuration chain=input action=accept connection-state=related
6 chain=ipsec action=accept protocol=ipsec-esp
7 chain=ipsec action=accept protocol=ipsec-ah
8 chain=ipsec action=accept protocol=udp src-port=500
9 chain=ipsec action=accept protocol=udp src-port=4500
10 chain=input action=jump jump-target=ipsec in-interface=wan
11 ;;; default configuration chain=input action=drop in-interface=wan
1 chain=srcnat action=masquerade src-address=192.168.88.0/24 dst-address=!192.168.0.0/22
Т.е. убрал NAT между сетями LAN и теперь пингую из LAN-сети МТ сетку LAN за DLink-ом. А вот из сети LAN за DLink-ом пока не пингую сетку за МТ... Подскажите, что ещё не досмотрел?
Подозреваю, что дело в маршрутизации: DLink у себя создают динамически маршрут в сеть при поднятии IPSec, а МТ - нет. Как правильно прописать маршрут? У DLink IPSec рассматривается, как ИНТЕРФЕЙС, и там это делается просто. А у МТ всё по-другому.
0 chain=input action=accept src-address=192.168.0.0/22 dst-address=192.168.88.1
1 chain=forward action=accept src-address=192.168.0.0/22 dst-address=192.168.88.0/24
2 chain=forward action=accept src-address=192.168.88.0/24 dst-address=192.168.0.0/22
3 ;;; default configuration chain=input action=accept protocol=icmp
4 ;;; default configuration chain=input action=accept connection-state=established
5 ;;; default configuration chain=input action=accept connection-state=related
6 chain=ipsec action=accept protocol=ipsec-esp
7 chain=ipsec action=accept protocol=ipsec-ah
8 chain=ipsec action=accept protocol=udp src-port=500
9 chain=ipsec action=accept protocol=udp src-port=4500
10 chain=input action=jump jump-target=ipsec in-interface=wan
11 ;;; default configuration chain=input action=drop in-interface=wan
1 chain=srcnat action=masquerade src-address=192.168.88.0/24 dst-address=!192.168.0.0/22
Т.е. убрал NAT между сетями LAN и теперь пингую из LAN-сети МТ сетку LAN за DLink-ом. А вот из сети LAN за DLink-ом пока не пингую сетку за МТ... Подскажите, что ещё не досмотрел?
Подозреваю, что дело в маршрутизации: DLink у себя создают динамически маршрут в сеть при поднятии IPSec, а МТ - нет. Как правильно прописать маршрут? У DLink IPSec рассматривается, как ИНТЕРФЕЙС, и там это делается просто. А у МТ всё по-другому.
-
Vladimir22
- Сообщения: 561
- Зарегистрирован: 09 дек 2012, 17:12
отвечу ка на загубленном форуме Dlink - скрины настроек в студию
настройки ИПСЕК. правила ип сек , ну и если по мануалу творили Dllink то корень правил .
сам вязал Dlink 210-й с тем же микротиком только по PPTP но у меня схема другая
настройки ИПСЕК. правила ип сек , ну и если по мануалу творили Dllink то корень правил .
сам вязал Dlink 210-й с тем же микротиком только по PPTP но у меня схема другая
-
slaver
- Сообщения: 25
- Зарегистрирован: 14 мар 2013, 12:39
Сейчас поеду домой и продолжу ковыряния 
Настройки DLink-а выложить могу, но есть ли смысл? IPSec работает корректно. Маршруты там все прописываются автоматом, правила файервола также корректные - иначе я не смог бы из сети МТ пинговать сетку за DLink. Грешу всё-таки на настройки МТ, как показал второй день ковыряний, все мои неправильные действия связаны именно с ними. Но постепенно, всё разруливается. Осталось заставить видеть LAN за микротиком
Вот скриншоты настроек:
Настройки DLink-а выложить могу, но есть ли смысл? IPSec работает корректно. Маршруты там все прописываются автоматом, правила файервола также корректные - иначе я не смог бы из сети МТ пинговать сетку за DLink. Грешу всё-таки на настройки МТ, как показал второй день ковыряний, все мои неправильные действия связаны именно с ними. Но постепенно, всё разруливается. Осталось заставить видеть LAN за микротиком Вот скриншоты настроек:
- 2.jpg (26.4 КБ) 3249 просмотров
- 3.jpg (38.75 КБ) 3249 просмотров
- 4.jpg (19.31 КБ) 3249 просмотров
- 5.jpg (21 КБ) 3249 просмотров
Последний раз редактировалось slaver 14 мар 2013, 17:03, всего редактировалось 1 раз.
-
slaver
- Сообщения: 25
- Зарегистрирован: 14 мар 2013, 12:39
- 8.jpg (22.58 КБ) 3249 просмотров
- 9.jpg (37.47 КБ) 3249 просмотров
На последнем скриншоте часть таблицы маршрутизации на DLink, где виден АВТОМАТИЧЕСКИ созданный маршрут в сеть за микротиком.
Вроде бы ничего не забыл
-
slaver
- Сообщения: 25
- Зарегистрирован: 14 мар 2013, 12:39
Всё. Готово. Всё работает Настройки, приведённые на скриншотах, вполне работоспособные. Никаких настроек маршрутизации делать не нужно. Проблема с доступом в LAN за МТ была тривиальной - меня отсекал файервол Windows на ноутбуке, который я пытался пинговать 
Так что, сам создал тему, сам всё и решил. Надеюсь, кому-нибудь из таких же начинающих, как я, мои настройки пригодятся.
Настройки, приведённые на скриншотах, вполне работоспособные. Никаких настроек маршрутизации делать не нужно. Проблема с доступом в LAN за МТ была тривиальной - меня отсекал файервол Windows на ноутбуке, который я пытался пинговать Так что, сам создал тему, сам всё и решил. Надеюсь, кому-нибудь из таких же начинающих, как я, мои настройки пригодятся.
-
Vladimir22
- Сообщения: 561
- Зарегистрирован: 09 дек 2012, 17:12
вот только не понятно зачем вы делаете динамический маршрут на DFL ?!
и нужно ли пользователям из сети микротика ходить в другие туннели ?!
и нужно ли пользователям из сети микротика ходить в другие туннели ?!
-
slaver
- Сообщения: 25
- Зарегистрирован: 14 мар 2013, 12:39
Динамический маршрут делал просто по инструкции на сайте DLink-а. Вот таблица маршрутизации микротика:
0 ADS 0.0.0.0/0 xxx.xxx.xxx.1 1
1 ADC xxx.xxx.xxx.0/28 xxx.xxx.xxx.10 wan 0
2 ADC 192.168.88.0/24 192.168.88.1 bridge-local 0
Я, видимо, чего-то недопонимаю, но не вижу, как роутер "знает" путь в сетку за DLink-ом, если после поднятия туннеля никаких дополнительных маршрутов в таблице маршрутизации не наблюдается.
На самом DLink-е, как вы видите, есть маршрут в LAN за микротиком, всё очевидно. А вот как сам микротик определяет путь в сетку за DLink-ом? Буду благодарен, если поясните.
А что вы имели ввиду под "и нужно ли пользователям из сети микротика ходить в другие туннели" ? Имеются ввиду другие туннели, созданные на DLink-е? Так из сети микротика они не видны. Он не знает маршруты туда, т.к. они не прописаны на микротике.
0 ADS 0.0.0.0/0 xxx.xxx.xxx.1 1
1 ADC xxx.xxx.xxx.0/28 xxx.xxx.xxx.10 wan 0
2 ADC 192.168.88.0/24 192.168.88.1 bridge-local 0
Я, видимо, чего-то недопонимаю, но не вижу, как роутер "знает" путь в сетку за DLink-ом, если после поднятия туннеля никаких дополнительных маршрутов в таблице маршрутизации не наблюдается.
На самом DLink-е, как вы видите, есть маршрут в LAN за микротиком, всё очевидно. А вот как сам микротик определяет путь в сетку за DLink-ом? Буду благодарен, если поясните.
А что вы имели ввиду под "и нужно ли пользователям из сети микротика ходить в другие туннели" ? Имеются ввиду другие туннели, созданные на DLink-е? Так из сети микротика они не видны. Он не знает маршруты туда, т.к. они не прописаны на микротике.
-
Vladimir22
- Сообщения: 561
- Зарегистрирован: 09 дек 2012, 17:12
slaver писал(а):Я, видимо, чего-то недопонимаю, но не вижу, как роутер "знает" путь в сетку за DLink-ом, если после поднятия туннеля никаких дополнительных маршрутов в таблице маршрутизации не наблюдается.
На самом DLink-е, как вы видите, есть маршрут в LAN за микротиком, всё очевидно. А вот как сам микротик определяет путь в сетку за DLink-ом? Буду благодарен, если поясните.
вот тут не появню - птому что не знаю - я прописывал руками , возможно что то появляется при вашей динамической маршрутизации от длинк.
slaver писал(а):А что вы имели ввиду под "и нужно ли пользователям из сети микротика ходить в другие туннели" ? Имеются ввиду другие туннели, созданные на DLink-е? Так из сети микротика они не видны. Он не знает маршруты туда, т.к. они не прописаны на микротике.
ну если вам нужна сеть только длинк микротик - то да все по инструкции и работать будет .
-
slaver
- Сообщения: 25
- Зарегистрирован: 14 мар 2013, 12:39
При подключении IPSec, как я и писал, ничего не появляется в маршрутах на микротике, в том то и дело (вы видели мою таблицу маршрутизации) По поводу DLink-а - если мне не изменяет память, то, когда настраивал IPSec между двумя одинаковыми DFL-800, то, если не ставить галку на добавление динамического маршрута, сетка за роутерами не видна, DLink-и только видят внутренние интерфейсы другу друга соответственно, но дальше в LAN-ы не проходят. На DLink-е есть в настройках "Advanced" галка "Add route FOR remote network", но, как вы видите на скриншоте, она у меня не проставлена. Хотя значение этой опции я и не понял.
По поводу DLink-а - если мне не изменяет память, то, когда настраивал IPSec между двумя одинаковыми DFL-800, то, если не ставить галку на добавление динамического маршрута, сетка за роутерами не видна, DLink-и только видят внутренние интерфейсы другу друга соответственно, но дальше в LAN-ы не проходят. На DLink-е есть в настройках "Advanced" галка "Add route FOR remote network", но, как вы видите на скриншоте, она у меня не проставлена. Хотя значение этой опции я и не понял.