kirezz Posted December 30, 2014 · Report post Доброго всем дня и с наступающим =) Второй час бьюсь с такой проблемой (все это происходит на MikrotikOS): Есть ipsec, который принимает только 10.156.185.0/24 сетку, на той стороне сеть 172.16.4.0/24, соответственно, сделал vlan, прилепил на него адрес 10.156.185.1 - ipsec заработал. Есть локальная сеть 10.30.200.0/24 Как перенаправлять пакеты от 10.30.200.0/24 до 172.16.4.0/24? Уже столько всего перепробовал, что запутался. Заранее большое спасибо :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SyJet Posted December 30, 2014 (edited) · Report post Наверно я слишком туп, чтобы понять связанность "соотвественно, сделал vlan" и ipsec. Edited December 30, 2014 by SyJet Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
kirezz Posted December 30, 2014 · Report post Наверно я слишком туп, чтобы понять связанность "соотвественно, сделал vlan" и ipsec. ipsec принимает пакеты с 10.156.185.0/24, локальный интерфейс 10.30.200.1. Чтобы вообще хоть как-то пакеты гонять через ipsec, сделал vlan с адресом 10.156.185.1 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SyJet Posted December 30, 2014 · Report post /ip route print (с vlan и без него) /ip addr print (так же) -- не помню как по памяти - на микротиках. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
kirezz Posted December 30, 2014 · Report post 0 ADS 0.0.0.0/0 89.223.49.XX 1 1 X S 0.0.0.0/0 89.223.49.XX 1 2 ADC 10.30.200.0/24 10.30.200.3 Lan 0 3 ADC 10.156.185.0/32 10.156.185.1 VLAN 0 4 ADC 89.223.49.XX/28 89.223.49.XX Nevalink 0 5 A S 172.16.4.0/24 VLAN 1 0 10.156.185.1/32 10.156.185.0 VLAN 1 D 89.223.49.XX/28 89.223.49.XX Nevalink 2 10.30.200.3/24 10.30.200.0 Lan Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SyJet Posted December 30, 2014 · Report post Так, как я понял ipsec на микротиках не создает интерфейс, тогда в любом случаем удалите ваш влан на который вы повесили 10.156.185.1 И что значит "10.156.185.1 - ipsec заработал"? Peer-ы в ipsec соединялись до создания этого влана, счетчики бегали? Соотвественно у вас два пути - прописать на обоих маршрутизатора route или поднять на обоих-же nat. Логика там простая local ip и remote ip local network и remote network Согласовываете шифрование и ключи На каждом добавляете (на многих роутерах автоматически создаются) маршруты до присоединенной сети - так на нормальных маршрутизаторах. На микротиках как обычно через жопу. Ща открою домашний микротик Точно через жопу. Наковырял Тынц В вашем случае читаете про тунельный режим Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted December 31, 2014 · Report post Просто нужно выкинуть умные книжки и забыть про IPSEC, который кроме проблем, ничего не приносит. На микротике есть более современные туннельные протоколы с шифрованием, например SSTP. Тут и интерфейс сразу будет, и адреса, да и маршрут сам пропишется, если OSPF включите. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NiTr0 Posted December 31, 2014 · Report post Просто нужно выкинуть микротик, который ни с чем нормально не работает, и купить нормальный роутер (б/у циску к примеру за копейки). И все внезапно заработает. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NikAlexAn Posted December 31, 2014 · Report post Просто нужно выкинуть микротик, который ни с чем нормально не работает, и купить нормальный роутер (б/у циску к примеру за копейки). И все внезапно заработает. И не просто заработает а и будет СТАБИЛЬНО работать в отличии от объектов поклонения кой кого. :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted December 31, 2014 · Report post Просто нужно выкинуть микротик, который ни с чем нормально не работает, и купить нормальный роутер (б/у циску к примеру за копейки). И все внезапно заработает. И не просто заработает а и будет СТАБИЛЬНО работать в отличии от объектов поклонения кой кого. :) Только эта б/у циска создаст гораздо больше проблем, т.к. стал бы нормальный человек продавать рабочую циску? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted December 31, 2014 · Report post Просто нужно выкинуть микротик, который ни с чем нормально не работает, и купить нормальный роутер (б/у циску к примеру за копейки). И все внезапно заработает. И не просто заработает а и будет СТАБИЛЬНО работать в отличии от объектов поклонения кой кого. :) Только эта б/у циска создаст гораздо больше проблем, т.к. стал бы нормальный человек продавать рабочую циску? продают после апгрейда по производительности, кол-ву портов и т.д., из-за необходимости новых фич, очевидно же. или вы не видели никогда сетей, которые работали больше 3-5 лет? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted December 31, 2014 · Report post Просто нужно выкинуть умные книжки и забыть про IPSEC, который кроме проблем, ничего не приносит. Особенно если вы соединяете не 2 своих офиса(где можно применять хоть чёрта лысого), а поднимаете тунель со сторонней организацией. Представляю как вы будете говорить третьим лицам "ваша циска говно, поставьте вместо неё микротик и поднимем с вами sstp". ipsec общепризнанный стандарт, плохой он или хороший сути это не меняет, всё равно приходится пользоваться им bgpv4 тоже можно подвергнуть критике, но все им пользуются ибо реальной замены просто нет Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted December 31, 2014 · Report post Особенно если вы соединяете не 2 своих офиса(где можно применять хоть чёрта лысого), а поднимаете тунель со сторонней организацией. Представляю как вы будете говорить третьим лицам "ваша циска говно, поставьте вместо неё микротик и поднимем с вами sstp". ipsec общепризнанный стандарт, плохой он или хороший сути это не меняет, всё равно приходится пользоваться им Работать со сторонними устройствами на протоколах, отличных от L2/L3, вообще очень опасное занятие. продают после апгрейда по производительности, кол-ву портов и т.д., из-за необходимости новых фич, очевидно же. Что же, не нашлось ей места на своей же сети? или вы не видели никогда сетей, которые работали больше 3-5 лет? Видел, обычно оборудование с центральных позиций постепенно переходит на решение более простых проблем. Это только 100 мегабитные коммутаторы в помойку выкидывают, а все другое оборудование так и ползает по сети, пока окончательно не сломается. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
GrandPr1de Posted January 1, 2015 · Report post Видел, обычно оборудование с центральных позиций постепенно переходит на решение более простых проблем. Это только 100 мегабитные коммутаторы в помойку выкидывают, а все другое оборудование так и ползает по сети, пока окончательно не сломается. Что-то у меня циска 1941 кроме как продать её офисным хомякам так и не нашла применение... На нее планы были в виде бжп, но не сложилось увы и ах, пришлось продать. Так что это, криминал выходит? Нужно было из нее все соки выжимать? Вместо того что бы поставить свич - свичевать этой циской? Или поставить её перед микротиком, что бы паразитный трафик порезать и на микротик не пустить, а то вдруг ещё не дай боже? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...