Russian Users MikroTik | Форум пользователей MikroTik

xvo писал(а): ↑19 окт 2018, 15:26 На микротике надо маршрут добавить до 192.168.101.0/24 указав гейтвеем туннельный адрес керио.
Соответственно и на том роутере, который держит дальний (от микротика) конец второго туннеля надо сделать примерно то же самое: добавить маршрут до 192.168.10.0/24 через второй туннельный адрес керио.

xvo писал(а): ↑19 окт 2018, 16:30 Да, именно туннельный.
На скрине у вас там интерфейс ether1 - вот туда.

xvo писал(а): ↑19 окт 2018, 16:57 Ну так а на другом конце тоже настроено?

andrey.polyakov писал(а): ↑19 окт 2018, 17:15 я тут на статью наткнулся(https://habr.com/post/216215/), вот выдержка
---------
Вдумчивое курение интернетов на тему IPseс в Mikrotik и объединения локальных сетей за разными типами роутеров дало понимание, что при такой схеме у всех проблема однотипная – невозможность объяснить Mikrotik куда именно слать пакеты. Практически на всех типах роутеров IPSec туннель – это отдельный сетевой интерфейс, что логично. Но не в Mikrotik, и поэтому определить для него маршрут прохождения пакетов в удаленную подсеть невозможно. На практике в связке с Kerio Control — Mikrotik упорно слал пакеты через последний добавленный SAs. Пакеты честно приходили в центральный офис и там отбрасывались Kerio Control. Ни в одной статье я не нашел объяснения логики поведения Mikrotik в таком случае. Я перепробовал все, кажется, возможные варианты с одинаковым результатом. С нулевым. Связь была только с одной подсетью – с последней автоматически добавленной при установке туннеля
--------

статья за 14 год, может конечно что изменилось, но судя по всему нет

xvo писал(а): ↑19 окт 2018, 18:04
Ерунда какая-то:
1) У меня гирлянда из двух туннелей между 3 микротиками работает как и положено, пробовал и L2TP + L2TP, и GRE + GRE, и GRE + L2TP (все варианты с ipsec) - все политики создаются динамически самими туннелями, и все в итоге видят всех.
2) Даже если указананое в статье и правда - что работает только одна Sa, то к вашему случаю оно вообще никак не должно быть применимо - у вас и так на микротике должна быть одна Sa - до керио, что там происходит дальше его вообще волновать не должно, оно всё равно должно паковаться в L2TP туннель и попадать под ту же самую политику между микротиком и керио.

Так что ищите на каком этапе пакеты теряются.
Может быть где-то firewall настроен не пропускать то, что нужно.
Может быть где-то NAT не корректно работает.
Но проблема должна быть решаема 100%

andrey.polyakov писал(а): ↑23 окт 2018, 17:26 проблема оказалась решаема, в ip-ipsec-polices надо руками создавать каждую подсеть и на каждом керио руками прописывать маршрут до сети за микротиком