Jump to content
Калькуляторы

Дилемма с роутингом на MiktorikOS nat vlan'a?

Доброго всем дня и с наступающим =)

 

Второй час бьюсь с такой проблемой (все это происходит на MikrotikOS):

 

Есть ipsec, который принимает только 10.156.185.0/24 сетку, на той стороне сеть 172.16.4.0/24, соответственно, сделал vlan, прилепил на него адрес 10.156.185.1 - ipsec заработал.

 

Есть локальная сеть 10.30.200.0/24

 

Как перенаправлять пакеты от 10.30.200.0/24 до 172.16.4.0/24? Уже столько всего перепробовал, что запутался.

 

Заранее большое спасибо :)

Share this post


Link to post
Share on other sites

Наверно я слишком туп, чтобы понять связанность "соотвественно, сделал vlan" и ipsec.

Edited by SyJet

Share this post


Link to post
Share on other sites

Наверно я слишком туп, чтобы понять связанность "соотвественно, сделал vlan" и ipsec.

 

ipsec принимает пакеты с 10.156.185.0/24, локальный интерфейс 10.30.200.1. Чтобы вообще хоть как-то пакеты гонять через ipsec, сделал vlan с адресом 10.156.185.1

Share this post


Link to post
Share on other sites

/ip route print (с vlan и без него)

/ip addr print (так же)

--

не помню как по памяти - на микротиках.

Share this post


Link to post
Share on other sites

0 ADS 0.0.0.0/0 89.223.49.XX 1

1 X S 0.0.0.0/0 89.223.49.XX 1

2 ADC 10.30.200.0/24 10.30.200.3 Lan 0

3 ADC 10.156.185.0/32 10.156.185.1 VLAN 0

4 ADC 89.223.49.XX/28 89.223.49.XX Nevalink 0

5 A S 172.16.4.0/24 VLAN 1

 

 

0 10.156.185.1/32 10.156.185.0 VLAN

1 D 89.223.49.XX/28 89.223.49.XX Nevalink

2 10.30.200.3/24 10.30.200.0 Lan

Share this post


Link to post
Share on other sites

Так, как я понял ipsec на микротиках не создает интерфейс, тогда в любом случаем удалите ваш влан на который вы повесили 10.156.185.1

И что значит "10.156.185.1 - ipsec заработал"? Peer-ы в ipsec соединялись до создания этого влана, счетчики бегали?

Соотвественно у вас два пути - прописать на обоих маршрутизатора route или поднять на обоих-же nat.

 

Логика там простая

local ip и remote ip

local network и remote network

Согласовываете шифрование и ключи

На каждом добавляете (на многих роутерах автоматически создаются) маршруты до присоединенной сети - так на нормальных маршрутизаторах. На микротиках как обычно через жопу. Ща открою домашний микротик

 

Точно через жопу.

Наковырял Тынц

 

В вашем случае читаете про тунельный режим

Share this post


Link to post
Share on other sites

Просто нужно выкинуть умные книжки и забыть про IPSEC, который кроме проблем, ничего не приносит. На микротике есть более современные туннельные протоколы с шифрованием, например SSTP. Тут и интерфейс сразу будет, и адреса, да и маршрут сам пропишется, если OSPF включите.

Share this post


Link to post
Share on other sites

Просто нужно выкинуть микротик, который ни с чем нормально не работает, и купить нормальный роутер (б/у циску к примеру за копейки). И все внезапно заработает.

Share this post


Link to post
Share on other sites

Просто нужно выкинуть микротик, который ни с чем нормально не работает, и купить нормальный роутер (б/у циску к примеру за копейки). И все внезапно заработает.

И не просто заработает а и будет СТАБИЛЬНО работать в отличии от объектов поклонения кой кого. :)

Share this post


Link to post
Share on other sites

Просто нужно выкинуть микротик, который ни с чем нормально не работает, и купить нормальный роутер (б/у циску к примеру за копейки). И все внезапно заработает.

И не просто заработает а и будет СТАБИЛЬНО работать в отличии от объектов поклонения кой кого. :)

 

Только эта б/у циска создаст гораздо больше проблем, т.к. стал бы нормальный человек продавать рабочую циску?

Share this post


Link to post
Share on other sites

Просто нужно выкинуть микротик, который ни с чем нормально не работает, и купить нормальный роутер (б/у циску к примеру за копейки). И все внезапно заработает.

И не просто заработает а и будет СТАБИЛЬНО работать в отличии от объектов поклонения кой кого. :)

 

Только эта б/у циска создаст гораздо больше проблем, т.к. стал бы нормальный человек продавать рабочую циску?

 

продают после апгрейда по производительности, кол-ву портов и т.д., из-за необходимости новых фич, очевидно же.

 

или вы не видели никогда сетей, которые работали больше 3-5 лет?

Share this post


Link to post
Share on other sites

Просто нужно выкинуть умные книжки и забыть про IPSEC, который кроме проблем, ничего не приносит.

 

Особенно если вы соединяете не 2 своих офиса(где можно применять хоть чёрта лысого), а поднимаете тунель со сторонней организацией. Представляю как вы будете говорить третьим лицам "ваша циска говно, поставьте вместо неё микротик и поднимем с вами sstp". ipsec общепризнанный стандарт, плохой он или хороший сути это не меняет, всё равно приходится пользоваться им

 

bgpv4 тоже можно подвергнуть критике, но все им пользуются ибо реальной замены просто нет

Share this post


Link to post
Share on other sites

Особенно если вы соединяете не 2 своих офиса(где можно применять хоть чёрта лысого), а поднимаете тунель со сторонней организацией. Представляю как вы будете говорить третьим лицам "ваша циска говно, поставьте вместо неё микротик и поднимем с вами sstp". ipsec общепризнанный стандарт, плохой он или хороший сути это не меняет, всё равно приходится пользоваться им

 

Работать со сторонними устройствами на протоколах, отличных от L2/L3, вообще очень опасное занятие.

 

продают после апгрейда по производительности, кол-ву портов и т.д., из-за необходимости новых фич, очевидно же.

 

Что же, не нашлось ей места на своей же сети?

 

 

или вы не видели никогда сетей, которые работали больше 3-5 лет?

 

Видел, обычно оборудование с центральных позиций постепенно переходит на решение более простых проблем. Это только 100 мегабитные коммутаторы в помойку выкидывают, а все другое оборудование так и ползает по сети, пока окончательно не сломается.

Share this post


Link to post
Share on other sites

Видел, обычно оборудование с центральных позиций постепенно переходит на решение более простых проблем. Это только 100 мегабитные коммутаторы в помойку выкидывают, а все другое оборудование так и ползает по сети, пока окончательно не сломается.

Что-то у меня циска 1941 кроме как продать её офисным хомякам так и не нашла применение...

На нее планы были в виде бжп, но не сложилось увы и ах, пришлось продать. Так что это, криминал выходит?

Нужно было из нее все соки выжимать? Вместо того что бы поставить свич - свичевать этой циской? Или поставить её перед микротиком, что бы паразитный трафик порезать и на микротик не пустить, а то вдруг ещё не дай боже?

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this