парни, подскажите а роутинг в l2tp/ipsec канале работать будет?
есть ipsеc тоннель между микротиком и керио контролом(софтовый роутер)
сеть за микротиком 192.168.10.0/24
сеть за керио 192.168.100.0/24
так же за керио есть еще один тоннель и сетка за ним 192.168.101.0/24
как верно прописать роутинг? не могу завести 101 сеть, чтобы она была видна за микротиком
Маршрутизация в тоннеле L2TP/IPsec
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
На микротике надо маршрут добавить до 192.168.101.0/24 указав гейтвеем туннельный адрес керио.
Соответственно и на том роутере, который держит дальний (от микротика) конец второго туннеля надо сделать примерно то же самое: добавить маршрут до 192.168.10.0/24 через второй туннельный адрес керио.
Соответственно и на том роутере, который держит дальний (от микротика) конец второго туннеля надо сделать примерно то же самое: добавить маршрут до 192.168.10.0/24 через второй туннельный адрес керио.
Telegram: @thexvo
-
- Сообщения: 10
- Зарегистрирован: 19 окт 2018, 15:01
добавляем в "роут листе"? под туннельным адресом я верно понимаю именно тунельный? так керио 100.1 а тунельный адрес 10.10.0.1, то и указываю 10.10.0.1?xvo писал(а): ↑19 окт 2018, 15:26 На микротике надо маршрут добавить до 192.168.101.0/24 указав гейтвеем туннельный адрес керио.
Соответственно и на том роутере, который держит дальний (от микротика) конец второго туннеля надо сделать примерно то же самое: добавить маршрут до 192.168.10.0/24 через второй туннельный адрес керио.
как на скрине?
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Да, именно туннельный.
На скрине у вас там интерфейс ether1 - вот туда.
На скрине у вас там интерфейс ether1 - вот туда.
Telegram: @thexvo
-
- Сообщения: 10
- Зарегистрирован: 19 окт 2018, 15:01
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Ну так а на другом конце тоже настроено?
Telegram: @thexvo
-
- Сообщения: 10
- Зарегистрирован: 19 окт 2018, 15:01
конечно........
я тут на статью наткнулся(https://habr.com/post/216215/), вот выдержка
---------
Вдумчивое курение интернетов на тему IPseс в Mikrotik и объединения локальных сетей за разными типами роутеров дало понимание, что при такой схеме у всех проблема однотипная – невозможность объяснить Mikrotik куда именно слать пакеты. Практически на всех типах роутеров IPSec туннель – это отдельный сетевой интерфейс, что логично. Но не в Mikrotik, и поэтому определить для него маршрут прохождения пакетов в удаленную подсеть невозможно. На практике в связке с Kerio Control — Mikrotik упорно слал пакеты через последний добавленный SAs. Пакеты честно приходили в центральный офис и там отбрасывались Kerio Control. Ни в одной статье я не нашел объяснения логики поведения Mikrotik в таком случае. Я перепробовал все, кажется, возможные варианты с одинаковым результатом. С нулевым. Связь была только с одной подсетью – с последней автоматически добавленной при установке туннеля
--------
статья за 14 год, может конечно что изменилось, но судя по всему нет
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Ерунда какая-то:andrey.polyakov писал(а): ↑19 окт 2018, 17:15 я тут на статью наткнулся(https://habr.com/post/216215/), вот выдержка
---------
Вдумчивое курение интернетов на тему IPseс в Mikrotik и объединения локальных сетей за разными типами роутеров дало понимание, что при такой схеме у всех проблема однотипная – невозможность объяснить Mikrotik куда именно слать пакеты. Практически на всех типах роутеров IPSec туннель – это отдельный сетевой интерфейс, что логично. Но не в Mikrotik, и поэтому определить для него маршрут прохождения пакетов в удаленную подсеть невозможно. На практике в связке с Kerio Control — Mikrotik упорно слал пакеты через последний добавленный SAs. Пакеты честно приходили в центральный офис и там отбрасывались Kerio Control. Ни в одной статье я не нашел объяснения логики поведения Mikrotik в таком случае. Я перепробовал все, кажется, возможные варианты с одинаковым результатом. С нулевым. Связь была только с одной подсетью – с последней автоматически добавленной при установке туннеля
--------
статья за 14 год, может конечно что изменилось, но судя по всему нет
1) У меня гирлянда из двух туннелей между 3 микротиками работает как и положено, пробовал и L2TP + L2TP, и GRE + GRE, и GRE + L2TP (все варианты с ipsec) - все политики создаются динамически самими туннелями, и все в итоге видят всех.
2) Даже если указананое в статье и правда - что работает только одна Sa, то к вашему случаю оно вообще никак не должно быть применимо - у вас и так на микротике должна быть одна Sa - до керио, что там происходит дальше его вообще волновать не должно, оно всё равно должно паковаться в L2TP туннель и попадать под ту же самую политику между микротиком и керио.
Так что ищите на каком этапе пакеты теряются.
Может быть где-то firewall настроен не пропускать то, что нужно.
Может быть где-то NAT не корректно работает.
Но проблема должна быть решаема 100%
Telegram: @thexvo
-
- Сообщения: 10
- Зарегистрирован: 19 окт 2018, 15:01
проблема оказалась решаема, в ip-ipsec-polices надо руками создавать каждую подсеть и на каждом керио руками прописывать маршрут до сети за микротикомxvo писал(а): ↑19 окт 2018, 18:04
Ерунда какая-то:
1) У меня гирлянда из двух туннелей между 3 микротиками работает как и положено, пробовал и L2TP + L2TP, и GRE + GRE, и GRE + L2TP (все варианты с ipsec) - все политики создаются динамически самими туннелями, и все в итоге видят всех.
2) Даже если указананое в статье и правда - что работает только одна Sa, то к вашему случаю оно вообще никак не должно быть применимо - у вас и так на микротике должна быть одна Sa - до керио, что там происходит дальше его вообще волновать не должно, оно всё равно должно паковаться в L2TP туннель и попадать под ту же самую политику между микротиком и керио.
Так что ищите на каком этапе пакеты теряются.
Может быть где-то firewall настроен не пропускать то, что нужно.
Может быть где-то NAT не корректно работает.
Но проблема должна быть решаема 100%
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Если я все правильно понял, то вот тут https://blog.bravi.org/?p=1209 пишут, что критичным моментом является то, что у policy level должен быть unique, а не require.andrey.polyakov писал(а): ↑23 окт 2018, 17:26 проблема оказалась решаема, в ip-ipsec-polices надо руками создавать каждую подсеть и на каждом керио руками прописывать маршрут до сети за микротиком
Telegram: @thexvo