[fedorIT]

Добрый день коллеги!

Давно не юзал микротик - просто не подходит под мои задачи. Так вот завелся у меня один офис в котом как раз не к стати стоит 750G... По сути мне нужно перенаправить весь трафик из их подсети в мою подсеть.

Тунель настроен IP -> IPSec

в политиках сеть офиса смотрит на подсеть 0.0.0.0/0

тунель поднимается нормально мою подсеть видно для этого был создан интерфейс IP Tunnel

и роут в нее. При попытке в роуте указать интрефейс IP Tunnel с 0.0.0.0/0 он то поднимается то падает.

Если же все таки есть роут в мою подсеть и в дополнительном роуте 0.0.0.0/0 я указываю шлюз из своей подсети то он недоступен.

 

Вопрос к знатокам Микротик вообще умеет роутить весь трафик в тунели IPSec?

[fhntv_smart]

Вообще, не умеет.

Что поверх чего поднято?

IP поверх IPSec?

 

Или как?

Если просто IPSec туннель, который в IP/IPSec живет настроен, то влиять на рего роутингом нельзя. Он живет отдельно от роутинга.

Ты в Polices настраиваешь правило, которое "перехватывает" пакеты и запихивает их в туннель.

 

Если нужно роутинг (а реально нужно ли?), то поверх IPSec поднимаешь ip-tunnel и в нем уже поднимаешь маршрутизацию.

[fedorIT]

Вот в чем дело.

"перехватывает" пакеты и запихивает их в туннель.

 

Роутинг нужно. т.к. мое железо умеет мониторить трафик. Мне поставили задачу разобраться с использованием сети в этом офисе. Офис как бы наш и не наш )))

По поводу ip-tunnel. Не совсем понял у меня же есть такой интерфейс он смотрит на адреса провайдеров. Но через него вот такая проблема.

 

Поднято вот так https://habrahabr.ru/post/151951/

[fhntv_smart]

Ну, как-то так. У вас есть IPSec. Он работает просто так, как сервис.

Я такое настраивал. То есть просто IPSec туннель между офисами, между микротиком и циской. Этот туннель работает вне роутинга. То есть IP/Rourte на него не влияют, и поднять что-то типа OSFP на нем не получится.

Поверх него вы поднимаете IpIP туннель, с которым уже что-то можно делать. В него уже можно роутить трафик.

[fedorIT]

Я так понимаю

interface ipip add

этот интерфейс? Вот я в первом сообщении писал, что именно в него та и не получается роутить ничего кроме локалок. Весь трафик не заворачивается.

[fhntv_smart]

При попытке в роуте указать интрефейс IP Tunnel с 0.0.0.0/0 он то поднимается то падает.

ааа, ну так нужен роут до айпи, к которому поднят IPSec.

А после этого добавить роут с нулями для всего трафика.

И приоритет там как-то задается, метрика/дистанс? лениво смотреть. Надо что-бы у роута с одним айпи он был выше, чем у пяти нулей.

[nkusnetsov]

fhntv_smart, приоритет у роута на /32 всегда выше, чем у /0 и чем /24. И метрики тут непричем.

 

fedorIT, Вам нужно создать из удаленного офиса роут на IP головной конторы с маской /32 через шлюз провайдера офиса. Тогда туннель не будет падать. А уже потом создавать дефолтный маршрут через IPIP-туннель.

 

P.S. Изучайте свойства маршрутизации IP в базовых системах. Очень удивитесь поначалу.

Edited July 21, 2016 by nkusnetsov

[fedorIT]

Так подождите. Роуты у меня правильно настроенны, если бы так я настроил меня бы отбросило от управления...

Есть роут ШЛЮЗ_ПРОВАЙДЕРА с маской 32 смотрит в мою сторону...

Это все выглядит так:

DST-ADDRESS     PREF-SRC        GATEWAY            DISTANCE
0.0.0.0/0                       ISP_GW                  5
0.0.0.0/0                       IPIP_GW                 1
LOCAL_NET/24    LOCAL_IP        LAN                     0
OFFICE_NET/24                   IPIP_INTERFACE          1
OFFICE_IP/32                    ISP_GW                  1

При любых раскладах не ходит трафик внутри интерфейса ipip.

Я так понял Микротик в этом смысле оригинальная вещь.

 

В принципе мне ничего не мешает поднять в тунеле IPSecVPN внутри второй фазы тунель GRE и уже потом роутить...

Жаль что на форуме первое время есть ограничение по колличеству сообщений, написал бы раньше.

За советы спасибо! Но не то ))) Завтра опишу ситуацию с GRE. Если все получиться опишу настройку.

[nkusnetsov]

fedorIT, туннельный IP-адрес противоположной стороны IPIP_GW пингуется из локалки? А с микротика?

Edited July 23, 2016 by nkusnetsov

[fedorIT]

В том то и дело что сети внутри тунеля друг друга видят, т.е. и пинг проходит и все остальное.

 

На микротике ситуация с GRE еще более непонятная.

 

У меня на FortiGate создан:

config system gre-tunnel
   edit "RemoteGRE"
       set interface "RemoteVPN"
       set remote-gw REMOTE_LOCAL_IP
       set local-gw LOCAL_IP
   next
end

config system interface
   edit "RemoteGRE"
       set vdom "root"
       set ip 10.0.0.3 255.255.255.255
       set allowaccess ping
       set type tunnel
       set remote-ip 10.0.0.4
       set snmp-index 25
       set interface "RemoteVPN"
   next
end

 

Конфигурация Микротика:

 

[admin@MikroTik] > ip address print
ADDRESS            NETWORK         INTERFACE                                                                    
10.0.0.4/32        10.0.0.3        gre-tunnel

[admin@MikroTik] > ip route print
DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
0.0.0.0/0                          10.0.0.3             1
OFFICE_ISP_IP/32                   ISP_GW               1
OFFICE_LOCAL/24                    ipip-tunnel          1

 

При этом у меня поднимается IPSecVPN я с микротика пингую локальную сеть офиса а так же мир через GRE

Из LAN интерфейса микротика я пингую подсеть офиса, но не пингую мир.

 

Пробовал промаркировать маршрут в GRE для удаленной сети - бесполезно.

Пакеты из локального интерфейса не уходят в GRE.

 

Что ему, блин, надо?

[nkusnetsov]

При этом у меня поднимается IPSecVPN я с микротика пингую локальную сеть офиса а так же мир через GRE

Из LAN интерфейса микротика я пингую подсеть офиса, но не пингую мир.

Впечатление такое, что FortiGate в головном, не натит LAN за микротиком в мир.

Или не форвардит в мир.

Уточняющий вопрос: из сети офиса пингуется ли LAN за микротиком?

Покажите tracert/traceroute из каждой из подсетей: 1) в мир 2) друг к другу.

Edited July 23, 2016 by nkusnetsov

[fedorIT]

Трасировкой не посмотрю т.к. выходные.

Я взял один микротик поюзать... Проблема в том, что он не знает куда направлять ответы.

Пускай дома роутер HOME в офисе OFFICE.

дома есть простой PPTP-Client на офисе сервер. Дома IP 12.10.0.2 офис 12.10.0.1.

Далее маршрут к сети 192.168.1.0/24 через 12.10.0.1 а там наоборот к сети 192.168.0.0/24 через 12.10.0.2.

При этом если пинговать с микротика 192.168.1.1 видно что пакеты приходят но нет ответа. Как объяснить этой железяке как и на какой интерфейс это слать?

Вот допустим мне эту подсеть через удаленный микротик в 0.0.0.0/0 как я ему объясню что нужно именно в интерфейс pptp отвечать?

[nkusnetsov]

Пускай дома роутер HOME в офисе OFFICE.

дома есть простой PPTP-Client на офисе сервер. Дома IP 12.10.0.2 офис 12.10.0.1.

Далее маршрут к сети 192.168.1.0/24 через 12.10.0.1 а там наоборот к сети 192.168.0.0/24 через 12.10.0.2.

При этом если пинговать с микротика 192.168.1.1 видно что пакеты приходят но нет ответа.

 

Давайте конкретно. Где именно видно, что пакеты приходят?

На микротике? Тогда приходят откуда?

Или на 12.10.0.1 ? Видно, что запросы приходят? 192.168.1.1 (он же 12.10.0.1) отвечает? Ответы видно? Куда уходят ответы если они есть?

Вы уверены, что фаервол на сервере пакеты точно не дропает?

Edited July 24, 2016 by nkusnetsov