RN3DCX Опубликовано 7 мая · Жалоба Схема SITE to СLIENT. Локальная сеть за микротиком - 10.0.21.0/24, pool для VPN клиентов - 10.1.22.0/24 После поднятия VPN подключения ping-шминг только до локальных адресов микротика, все локальные ресурсы что за ним не доступны для VPN клиента. Вангую, что проблема в NAT, т.к. растут ошибки в IPSec Policies Statistics: Firewall Rules: Скрытый текст /ip firewall filter add action=accept chain=icmp comment="allow echo request" icmp-options=8:0 protocol=icmp; add action=accept chain=icmp comment="echo reply" icmp-options=0:0 protocol=icmp; add action=accept chain=icmp comment="net unreachable" icmp-options=3:0 protocol=icmp; add action=accept chain=icmp comment="host unreachable" icmp-options=3:1 protocol=icmp; add action=accept chain=icmp comment="host unreachable fragmentation required" icmp-options=3:4 protocol=icmp; add action=accept chain=icmp comment="allow time exceed" icmp-options=11:0 protocol=icmp; add action=accept chain=icmp comment="allow parameter bad" icmp-options=12:0 protocol=icmp; add action=drop chain=icmp comment="deny all other types ICMP"; add action=accept chain=input comment="IPSec connection fo AH" protocol=ipsec-ah; add action=accept chain=input comment="IPSec connection fo ESP" protocol=ipsec-esp; add action=accept chain=input comment="IPsec connections_IN" ipsec-policy= in,ipsec; add action=drop chain=input comment="Drop all incoming input invalid connections" connection-state=invalid add action=drop chain=input comment="Drop all incoming packages to interface WAN" dst-port=!3122,3223,8031,8032,13389,33898,33892 in-interface-list=WAN protocol=tcp src-address-list=BOGON; add action=drop chain=input comment= "Drop all incoming packages to interface WAN_!_except_!_IPSec/IKE" dst-port=!500,4500,4510,4511 in-interface-list=WAN protocol=udp; src-address-list=BOGON; add action=drop chain=input comment="Drop input multicast connections" disabled=yes dst-address-type=multicast; add action=accept chain=input comment="Accept all incoming input established connections" connection-state=established,related; add action=accept chain=forward comment="IPsec connections_FORWARD_IN" ipsec-policy=in,ipsec; add action=accept chain=forward comment="IPsec connections_FORWARD_OUT" ipsec-policy=out,ipsec; add action=drop chain=forward comment="Drop all incoming forward (transit traffic) invalid connections" connection-state=invalid; add action=accept chain=forward comment="Accept all incoming forward (transit traffic) established connections" connection-state=established,related; FIrewall NAT: Скрытый текст /ip firewall nat add action=accept chain=srcnat ipsec-policy=out,ipsec out-interface-list=WAN; add action=masquerade chain=srcnat comment=out-interface-list=WAN src-address-list=Network_Access_to_Internet dst-address-list=!BOGON; Address List: Скрытый текст /ip firewall address-list add address=10.0.21.0/24 list=Network_Access_to_Internet add address=10.1.22.0/24 list=Network_Access_to_Internet add address=0.0.0.0/8 list=BOGON add address=10.0.0.0/8 list=BOGON add address=100.64.0.0/10 list=BOGON add address=127.0.0.0/8 list=BOGON add address=169.254.0.0/16 list=BOGON add address=172.16.0.0/12 list=BOGON add address=192.0.0.0/24 list=BOGON add address=192.0.2.0/24 list=BOGON add address=192.168.0.0/16 list=BOGON add address=198.18.0.0/15 list=BOGON add address=198.51.100.0/24 list=BOGON add address=203.0.113.0/24 list=BOGON add address=224.0.0.0/4 list=BOGON add address=240.0.0.0/4 list=BOGON Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 7 мая · Жалоба 1 час назад, RN3DCX сказал: FIrewall NAT: Вот тут в правиле нужно исключение для адресов как туннеля, так и сети за ним( проще всего через dst address list с признаком !). И для гарантии ещё выходной интерфейс указать куда в Интернет течёт. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 7 мая · Жалоба В 07.05.2024 в 14:01, jffulcrum сказал: исключение для адресов как туннеля туннель не использую, юзаю транспорт. Авторизация по сертификату, примером служила вот эта статья: https://bozza.ru/art-351.html В 07.05.2024 в 14:01, jffulcrum сказал: проще всего через dst address list с признаком ! Оставил одно правило в NAT: /ip firewall nat add action=src-nat chain=srcnat dst-address=!10.1.22.0/24 ipsec-policy=out,none out-interface-list=WAN src-address-list=Network_Access_to_Internet to-addresses=133.232.XXX.254 Удалил из address-list подсеть для VPN клиентов - 10.1.22.0/24: /ip firewall address-list add address=10.0.21.0/24 list=Network_Access_to_Internet Но без успешно.... Требуется помощь телепатов / ясновидящих. 100500 тем на эту проблему, но решения пока не нашел: https://www.google.com/search?q=mikrotik+ipsec+not+access+to+network+site:forum.mikrotik.com&sca_esv=7978873cf7ff4aec&sca_upv=1&sa=X&ved=2ahUKEwjx_rKN8fuFAxWWFRAIHcK8AC8QrQIoBHoECBEQBQ#ip=1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 7 мая · Жалоба Дело было не в бабине.... Вывод с микротика: > tool/traceroute 10.1.22.199 Columns: ADDRESS, LOSS, SENT, LAST, AVG, BEST, WORST, STD-DEV # ADDRESS LOSS SENT LAST AVG BEST WORST STD-DEV 1 10.20.1.30 0% 1 0.5ms 0.5 0.5 0.5 0 2 87.245.170.101 0% 1 6ms 6 6 6 0 3 213.171.50.133 0% 1 4.7ms 4.7 4.7 4.7 0 На все серые/локальные адреса отвечает шлюз оператора. Приплыли. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 7 мая · Жалоба 7 часов назад, RN3DCX сказал: туннель не использую, юзаю транспорт Мда, я уж думал, такой вариант IPSec практически вымер, а смотри-ка, есть еще желающие. Сейчас только за большим экраном разглядел ваши скрины. Байпас сделан, конечно, столь широко, что туда что угодно попадает. Посмотрите как надо в Manual:IP/IPsec - MikroTik Wiki 2 минуты назад, RN3DCX сказал: На все серые/локальные адреса отвечает шлюз оператора. Приплыли. Покажите таблицу маршрутизации. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 7 мая · Жалоба В 07.05.2024 в 22:24, jffulcrum сказал: Покажите таблицу маршрутизации. [@MikroTik] /ip/route> print Flags: D - DYNAMIC; A - ACTIVE; c - CONNECT, s - STATIC Columns: DST-ADDRESS, GATEWAY, DISTANCE # DST-ADDRESS GATEWAY DISTANCE 0 As 0.0.0.0/0 133.232.XXX.113 1 DAc 10.0.21.0/24 Bridge_in_LAN 0 DAc 133.232.XXX.112/30 Bridge_in_WAN 0 В 07.05.2024 в 22:24, jffulcrum сказал: Мда, я уж думал, такой вариант IPSec практически вымер, а смотри-ка, есть еще желающие. Я мож отстал от трэнда, но логин и пароль - сложно помнить, а вот с сертификатом как-то по приятнее. В 07.05.2024 в 22:24, jffulcrum сказал: Байпас сделан, конечно, столь широко, что туда что угодно попадает. Посмотрите как надо в Manual:IP/IPsec - MikroTik Wiki Благодарю за ссылку! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 7 мая · Жалоба 40 минут назад, RN3DCX сказал: # DST-ADDRESS GATEWAY DISTANCE 0 As 0.0.0.0/0 133.232.XXX.113 1 DAc 10.0.21.0/24 Bridge_in_LAN 0 DAc 133.232.XXX.112/30 Bridge_in_WAN 0 Вот в том числе поэтому в ROS7 наконец-то появился Loopback. В ROS6 можно создать пустой мост без интерфейсов для этих же целей. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 7 мая · Жалоба 5 минут назад, jffulcrum сказал: Вот в том числе поэтому в ROS7 наконец-то появился Loopback. В ROS6 можно создать пустой мост без интерфейсов для этих же целей. А какова цель в данном случае? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 13 мая · Жалоба В 07.05.2024 в 22:30, RN3DCX сказал: # DST-ADDRESS GATEWAY DISTANCE 0 As 0.0.0.0/0 133.232.XXX.113 1 DAc 10.0.21.0/24 Bridge_in_LAN 0 DAc 133.232.XXX.112/30 Bridge_in_WAN 0 Это при успешном подключении? Или подключение до конца не доходит? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано Вторник в 08:06 · Жалоба Это вся известная роутеру таблица маршрутизации. Интернет и локальная сеть закрытая NAT'ом - вот собственно и вся схема. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...