Перейти к содержимому
Калькуляторы

Дилемма с роутингом на MiktorikOS nat vlan'a?

Доброго всем дня и с наступающим =)

 

Второй час бьюсь с такой проблемой (все это происходит на MikrotikOS):

 

Есть ipsec, который принимает только 10.156.185.0/24 сетку, на той стороне сеть 172.16.4.0/24, соответственно, сделал vlan, прилепил на него адрес 10.156.185.1 - ipsec заработал.

 

Есть локальная сеть 10.30.200.0/24

 

Как перенаправлять пакеты от 10.30.200.0/24 до 172.16.4.0/24? Уже столько всего перепробовал, что запутался.

 

Заранее большое спасибо :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Наверно я слишком туп, чтобы понять связанность "соотвественно, сделал vlan" и ipsec.

Изменено пользователем SyJet

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Наверно я слишком туп, чтобы понять связанность "соотвественно, сделал vlan" и ipsec.

 

ipsec принимает пакеты с 10.156.185.0/24, локальный интерфейс 10.30.200.1. Чтобы вообще хоть как-то пакеты гонять через ipsec, сделал vlan с адресом 10.156.185.1

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

/ip route print (с vlan и без него)

/ip addr print (так же)

--

не помню как по памяти - на микротиках.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

0 ADS 0.0.0.0/0 89.223.49.XX 1

1 X S 0.0.0.0/0 89.223.49.XX 1

2 ADC 10.30.200.0/24 10.30.200.3 Lan 0

3 ADC 10.156.185.0/32 10.156.185.1 VLAN 0

4 ADC 89.223.49.XX/28 89.223.49.XX Nevalink 0

5 A S 172.16.4.0/24 VLAN 1

 

 

0 10.156.185.1/32 10.156.185.0 VLAN

1 D 89.223.49.XX/28 89.223.49.XX Nevalink

2 10.30.200.3/24 10.30.200.0 Lan

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Так, как я понял ipsec на микротиках не создает интерфейс, тогда в любом случаем удалите ваш влан на который вы повесили 10.156.185.1

И что значит "10.156.185.1 - ipsec заработал"? Peer-ы в ipsec соединялись до создания этого влана, счетчики бегали?

Соотвественно у вас два пути - прописать на обоих маршрутизатора route или поднять на обоих-же nat.

 

Логика там простая

local ip и remote ip

local network и remote network

Согласовываете шифрование и ключи

На каждом добавляете (на многих роутерах автоматически создаются) маршруты до присоединенной сети - так на нормальных маршрутизаторах. На микротиках как обычно через жопу. Ща открою домашний микротик

 

Точно через жопу.

Наковырял Тынц

 

В вашем случае читаете про тунельный режим

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Просто нужно выкинуть умные книжки и забыть про IPSEC, который кроме проблем, ничего не приносит. На микротике есть более современные туннельные протоколы с шифрованием, например SSTP. Тут и интерфейс сразу будет, и адреса, да и маршрут сам пропишется, если OSPF включите.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Просто нужно выкинуть микротик, который ни с чем нормально не работает, и купить нормальный роутер (б/у циску к примеру за копейки). И все внезапно заработает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Просто нужно выкинуть микротик, который ни с чем нормально не работает, и купить нормальный роутер (б/у циску к примеру за копейки). И все внезапно заработает.

И не просто заработает а и будет СТАБИЛЬНО работать в отличии от объектов поклонения кой кого. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Просто нужно выкинуть микротик, который ни с чем нормально не работает, и купить нормальный роутер (б/у циску к примеру за копейки). И все внезапно заработает.

И не просто заработает а и будет СТАБИЛЬНО работать в отличии от объектов поклонения кой кого. :)

 

Только эта б/у циска создаст гораздо больше проблем, т.к. стал бы нормальный человек продавать рабочую циску?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Просто нужно выкинуть микротик, который ни с чем нормально не работает, и купить нормальный роутер (б/у циску к примеру за копейки). И все внезапно заработает.

И не просто заработает а и будет СТАБИЛЬНО работать в отличии от объектов поклонения кой кого. :)

 

Только эта б/у циска создаст гораздо больше проблем, т.к. стал бы нормальный человек продавать рабочую циску?

 

продают после апгрейда по производительности, кол-ву портов и т.д., из-за необходимости новых фич, очевидно же.

 

или вы не видели никогда сетей, которые работали больше 3-5 лет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Просто нужно выкинуть умные книжки и забыть про IPSEC, который кроме проблем, ничего не приносит.

 

Особенно если вы соединяете не 2 своих офиса(где можно применять хоть чёрта лысого), а поднимаете тунель со сторонней организацией. Представляю как вы будете говорить третьим лицам "ваша циска говно, поставьте вместо неё микротик и поднимем с вами sstp". ipsec общепризнанный стандарт, плохой он или хороший сути это не меняет, всё равно приходится пользоваться им

 

bgpv4 тоже можно подвергнуть критике, но все им пользуются ибо реальной замены просто нет

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Особенно если вы соединяете не 2 своих офиса(где можно применять хоть чёрта лысого), а поднимаете тунель со сторонней организацией. Представляю как вы будете говорить третьим лицам "ваша циска говно, поставьте вместо неё микротик и поднимем с вами sstp". ipsec общепризнанный стандарт, плохой он или хороший сути это не меняет, всё равно приходится пользоваться им

 

Работать со сторонними устройствами на протоколах, отличных от L2/L3, вообще очень опасное занятие.

 

продают после апгрейда по производительности, кол-ву портов и т.д., из-за необходимости новых фич, очевидно же.

 

Что же, не нашлось ей места на своей же сети?

 

 

или вы не видели никогда сетей, которые работали больше 3-5 лет?

 

Видел, обычно оборудование с центральных позиций постепенно переходит на решение более простых проблем. Это только 100 мегабитные коммутаторы в помойку выкидывают, а все другое оборудование так и ползает по сети, пока окончательно не сломается.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Видел, обычно оборудование с центральных позиций постепенно переходит на решение более простых проблем. Это только 100 мегабитные коммутаторы в помойку выкидывают, а все другое оборудование так и ползает по сети, пока окончательно не сломается.

Что-то у меня циска 1941 кроме как продать её офисным хомякам так и не нашла применение...

На нее планы были в виде бжп, но не сложилось увы и ах, пришлось продать. Так что это, криминал выходит?

Нужно было из нее все соки выжимать? Вместо того что бы поставить свич - свичевать этой циской? Или поставить её перед микротиком, что бы паразитный трафик порезать и на микротик не пустить, а то вдруг ещё не дай боже?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.