kirezz Опубликовано 30 декабря, 2014 · Жалоба Доброго всем дня и с наступающим =) Второй час бьюсь с такой проблемой (все это происходит на MikrotikOS): Есть ipsec, который принимает только 10.156.185.0/24 сетку, на той стороне сеть 172.16.4.0/24, соответственно, сделал vlan, прилепил на него адрес 10.156.185.1 - ipsec заработал. Есть локальная сеть 10.30.200.0/24 Как перенаправлять пакеты от 10.30.200.0/24 до 172.16.4.0/24? Уже столько всего перепробовал, что запутался. Заранее большое спасибо :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SyJet Опубликовано 30 декабря, 2014 (изменено) · Жалоба Наверно я слишком туп, чтобы понять связанность "соотвественно, сделал vlan" и ipsec. Изменено 30 декабря, 2014 пользователем SyJet Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kirezz Опубликовано 30 декабря, 2014 · Жалоба Наверно я слишком туп, чтобы понять связанность "соотвественно, сделал vlan" и ipsec. ipsec принимает пакеты с 10.156.185.0/24, локальный интерфейс 10.30.200.1. Чтобы вообще хоть как-то пакеты гонять через ipsec, сделал vlan с адресом 10.156.185.1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SyJet Опубликовано 30 декабря, 2014 · Жалоба /ip route print (с vlan и без него) /ip addr print (так же) -- не помню как по памяти - на микротиках. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kirezz Опубликовано 30 декабря, 2014 · Жалоба 0 ADS 0.0.0.0/0 89.223.49.XX 1 1 X S 0.0.0.0/0 89.223.49.XX 1 2 ADC 10.30.200.0/24 10.30.200.3 Lan 0 3 ADC 10.156.185.0/32 10.156.185.1 VLAN 0 4 ADC 89.223.49.XX/28 89.223.49.XX Nevalink 0 5 A S 172.16.4.0/24 VLAN 1 0 10.156.185.1/32 10.156.185.0 VLAN 1 D 89.223.49.XX/28 89.223.49.XX Nevalink 2 10.30.200.3/24 10.30.200.0 Lan Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SyJet Опубликовано 30 декабря, 2014 · Жалоба Так, как я понял ipsec на микротиках не создает интерфейс, тогда в любом случаем удалите ваш влан на который вы повесили 10.156.185.1 И что значит "10.156.185.1 - ipsec заработал"? Peer-ы в ipsec соединялись до создания этого влана, счетчики бегали? Соотвественно у вас два пути - прописать на обоих маршрутизатора route или поднять на обоих-же nat. Логика там простая local ip и remote ip local network и remote network Согласовываете шифрование и ключи На каждом добавляете (на многих роутерах автоматически создаются) маршруты до присоединенной сети - так на нормальных маршрутизаторах. На микротиках как обычно через жопу. Ща открою домашний микротик Точно через жопу. Наковырял Тынц В вашем случае читаете про тунельный режим Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 31 декабря, 2014 · Жалоба Просто нужно выкинуть умные книжки и забыть про IPSEC, который кроме проблем, ничего не приносит. На микротике есть более современные туннельные протоколы с шифрованием, например SSTP. Тут и интерфейс сразу будет, и адреса, да и маршрут сам пропишется, если OSPF включите. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 31 декабря, 2014 · Жалоба Просто нужно выкинуть микротик, который ни с чем нормально не работает, и купить нормальный роутер (б/у циску к примеру за копейки). И все внезапно заработает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikAlexAn Опубликовано 31 декабря, 2014 · Жалоба Просто нужно выкинуть микротик, который ни с чем нормально не работает, и купить нормальный роутер (б/у циску к примеру за копейки). И все внезапно заработает. И не просто заработает а и будет СТАБИЛЬНО работать в отличии от объектов поклонения кой кого. :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 31 декабря, 2014 · Жалоба Просто нужно выкинуть микротик, который ни с чем нормально не работает, и купить нормальный роутер (б/у циску к примеру за копейки). И все внезапно заработает. И не просто заработает а и будет СТАБИЛЬНО работать в отличии от объектов поклонения кой кого. :) Только эта б/у циска создаст гораздо больше проблем, т.к. стал бы нормальный человек продавать рабочую циску? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 31 декабря, 2014 · Жалоба Просто нужно выкинуть микротик, который ни с чем нормально не работает, и купить нормальный роутер (б/у циску к примеру за копейки). И все внезапно заработает. И не просто заработает а и будет СТАБИЛЬНО работать в отличии от объектов поклонения кой кого. :) Только эта б/у циска создаст гораздо больше проблем, т.к. стал бы нормальный человек продавать рабочую циску? продают после апгрейда по производительности, кол-ву портов и т.д., из-за необходимости новых фич, очевидно же. или вы не видели никогда сетей, которые работали больше 3-5 лет? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 31 декабря, 2014 · Жалоба Просто нужно выкинуть умные книжки и забыть про IPSEC, который кроме проблем, ничего не приносит. Особенно если вы соединяете не 2 своих офиса(где можно применять хоть чёрта лысого), а поднимаете тунель со сторонней организацией. Представляю как вы будете говорить третьим лицам "ваша циска говно, поставьте вместо неё микротик и поднимем с вами sstp". ipsec общепризнанный стандарт, плохой он или хороший сути это не меняет, всё равно приходится пользоваться им bgpv4 тоже можно подвергнуть критике, но все им пользуются ибо реальной замены просто нет Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 31 декабря, 2014 · Жалоба Особенно если вы соединяете не 2 своих офиса(где можно применять хоть чёрта лысого), а поднимаете тунель со сторонней организацией. Представляю как вы будете говорить третьим лицам "ваша циска говно, поставьте вместо неё микротик и поднимем с вами sstp". ipsec общепризнанный стандарт, плохой он или хороший сути это не меняет, всё равно приходится пользоваться им Работать со сторонними устройствами на протоколах, отличных от L2/L3, вообще очень опасное занятие. продают после апгрейда по производительности, кол-ву портов и т.д., из-за необходимости новых фич, очевидно же. Что же, не нашлось ей места на своей же сети? или вы не видели никогда сетей, которые работали больше 3-5 лет? Видел, обычно оборудование с центральных позиций постепенно переходит на решение более простых проблем. Это только 100 мегабитные коммутаторы в помойку выкидывают, а все другое оборудование так и ползает по сети, пока окончательно не сломается. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GrandPr1de Опубликовано 1 января, 2015 · Жалоба Видел, обычно оборудование с центральных позиций постепенно переходит на решение более простых проблем. Это только 100 мегабитные коммутаторы в помойку выкидывают, а все другое оборудование так и ползает по сети, пока окончательно не сломается. Что-то у меня циска 1941 кроме как продать её офисным хомякам так и не нашла применение... На нее планы были в виде бжп, но не сложилось увы и ах, пришлось продать. Так что это, криминал выходит? Нужно было из нее все соки выжимать? Вместо того что бы поставить свич - свичевать этой циской? Или поставить её перед микротиком, что бы паразитный трафик порезать и на микротик не пустить, а то вдруг ещё не дай боже? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...