Russian Users MikroTik | Форум пользователей MikroTik

Доброго времени суток!
Собственно, то, нам чем я бьюсь - описал в названии темы...есть центральный офис (ЦО), есть филиал с микротиком. Между нами поднят IPSec-туннель. Между подсетями все работает отлично, без вопросов. Но мне для мониторинга жизнеспособности микротика хочется настроить его логирование на мой syslog-сервер в ЦО. И тут я обнаруживаю (да-да, когда я всё это настраивал, этот момент не проверял), что с самого роутера я не могу пропинговать IP-адреса ЦО. Из локальной сети за роутером все пингуется на ура и вообще работает отлично. Ни торчем не могу отловить причину, ни в логах ничего. Со стороны ЦО tcpdump тоже ничего не ловит.

WAN - ether1
LAN - brigde1(ether2-ether5)

Вся фильтрация ACLей настроена со стороны ЦО, на микротике же в нате стоит только одно правило для туннелей - акцептить весь трафик до сети ЦО:
/ip firewall nat add action=accept chain=srcnat dst-address-list=CO.local

прошивка и OS после покупки обновлены до последней версии.

Подскажите, в какую сторону копнуть?

Заработало! Не знаю только, насколько это верное решение в рамках возможностей RouterOS, но помогло следующее: предположив, что роутер банально не знает маршрута, прописал /ip route add distance=1 dst-address=192.168.0.0/24 gateway=eth3, где 192.168.0.0/24 - это подсеть ЦО, а eth3 - интерфейс, куда подключена локальная сеть филиала.

Не знаю всех тонкостей RouterOS, поэтому буду рад, если кто-нибудь предложит иной путь решения.

StealeR писал(а):Подскажите, в какую сторону копнуть?

Так как Вы дали мало данных, то вряд ли можно что-либо посоветовать.
В любом случаи напомню общие правила:
для связи/организации/подружить/объединить две сети надо использовать:
а) либо обычную маршрутизацию и прописать сети между собой (маршруты) и т.д.
б) либо получать доступ к одной сети через функционал [NAT/PAT/MASQUERADE] путём подмены исходящих адресов,
на адрес пограничного шлюза нужной нам сети.

У каждого решения есть и + и -, Вы сделали судя по всему по варианту А)