Страница 2 из 3
Re: Маршруты между микротиками?
Добавлено: 19 июл 2018, 07:53
Erik_U
Если сделано по статье из ссылки, там маршрутизацию пакетов через нат настраивают.
У вас так же сделано?
Если из каждого филиала микротик центрального офиса пингуется, то его адрес использовать в качестве Pref. Source в настройках маршрута.
Маршруты прописывать с двух сторон (в каждом филиале).
В А на сеть Б, в Б - на сеть А.
Должно работать.
В ЦО в Firewall проверьте, что форвард пакетов не запрещен.
Re: Маршруты между микротиками?
Добавлено: 19 июл 2018, 10:29
dima1208
Erik_U писал(а): ↑19 июл 2018, 07:53
Если сделано по статье из ссылки, там маршрутизацию пакетов через нат настраивают.
У вас так же сделано?
Если из каждого филиала микротик центрального офиса пингуется, то его адрес использовать в качестве Pref. Source в настройках маршрута.
Маршруты прописывать с двух сторон (в каждом филиале).
В А на сеть Б, в Б - на сеть А.
Должно работать.
В ЦО в Firewall проверьте, что форвард пакетов не запрещен.
Да, у меня в ЦО в нате верхнее правило srcnat из локальной сети ЦО на сети филиалов, в филиалах наоборот.
ЦО пингуется с обоих.
Маршруты на обоих прописал с pref.source 192.168.0.1 (адрес микротика ЦО), они появляются не активные.
Форвард не запрещен, создал правило на форвард всего из А в Б. Счетчик на нуле.
Может нужно на ЦО еще маршрут делать?
Re: Маршруты между микротиками?
Добавлено: 19 июл 2018, 11:09
Erik_U
Сделайте. Оба маршрута (и в А и в Б)
Re: Маршруты между микротиками?
Добавлено: 19 июл 2018, 12:23
dima1208
Erik_U писал(а): ↑19 июл 2018, 11:09
Сделайте. Оба маршрута (и в А и в Б)
Не работает(
Re: Маршруты между микротиками?
Добавлено: 19 июл 2018, 12:49
Erik_U
Маршруты есть и в А и в ЦО и в Б?
Пинги между А и ЦО ходят в обе стороны?
Пинги между Б и ЦО ходят в обе стороны?
Re: Маршруты между микротиками?
Добавлено: 19 июл 2018, 13:22
Erik_U
Как вариант, попробовать поднять IP туннели поверх работающих IPSEC между адресами 192.168.0.1 и 192.168.7.1, а также между 192.168.0.1 и 192.168.8.1.
Эти туннели уже появятся в списке интерфейсов, и маршрутизацию настроить с их указанием.
Еще я бы попробовал в ЦО в НАТ добавить трансляцию А в Б и Б в А.
Re: Маршруты между микротиками?
Добавлено: 19 июл 2018, 14:05
dima1208
Erik_U писал(а): ↑19 июл 2018, 12:49
Маршруты есть и в А и в ЦО и в Б?
Пинги между А и ЦО ходят в обе стороны?
Пинги между Б и ЦО ходят в обе стороны?
Да, маршруты есть везде. пинги есть везде и в обе стороны.
Но в правильности маршрутов я не уверен уже
Re: Маршруты между микротиками?
Добавлено: 19 июл 2018, 14:11
Erik_U
А трейсы ничего не показывают?
Там где-то логика разорвана.
Например, если IPSEC отказывается шифровать отсылку в сеть, которая не указана в конфигурации, то трейс остановится на микротике в своем филиале. Если таки шифрует - на микротике в ЦО.
Re: Маршруты между микротиками?
Добавлено: 23 июл 2018, 05:25
dima1208
Erik_U писал(а): ↑19 июл 2018, 14:11
А трейсы ничего не показывают?
Там где-то логика разорвана.
Например, если IPSEC отказывается шифровать отсылку в сеть, которая не указана в конфигурации, то трейс остановится на микротике в своем филиале. Если таки шифрует - на микротике в ЦО.
Прошу прощения, отсутствовал на работе.
Трассировка до устройств в сети ЦО проходит успешно, трассировка до второго филиала - на втором шаге заданный узел недоступен.
Re: Маршруты между микротиками?
Добавлено: 23 июл 2018, 09:39
Erik_U
Значит попробуйте на микротике А добавить IPSEC Policy с dst-address сети Б
А на микротике Б - наоборот, с dst-address сети А.
Сейчас там вероятно только сеть ЦА фигурирует?
sa-dst-address и sa-src-address остаьте такими же, как в имеющихся политиках (чтобы пакеты в сеть Б на микротике А шифровались, но направлялись в ЦА).