RouterOS 7, L2TP/IPSec, маршрутизация

[Train223]

Добрый день. Помогите, пожалуйста, разобраться с маршрутизацией в ROS7

Между микротиками (ROS6) поднят тоннель IPSec, прописаны полиси и маршрут типа:
add distance=1 dst-address=192.168.0.0/24 gateway=bridge pref-src=192.168.13.1
всё хорошо и великолепно работает.

Один маршрутизатор поменял, ROS7 из коробки. Настроил всё по образу и подобию (кроме Route) - подсети замечательно видят друг друга в обе стороны. А вот сам микротик с ROS7 не хочет отправлять пакеты в подсеть за IPSec, они улетают в WAN. При попытке прописать маршрут так же как в ROS6, вообще чехарда начинается: подсеть и сам микротик с ROS7 видят другой конец тоннеля, а пинги из подсети за ROS6 пропадают.

Как правильно научить микротик с ROS7 отправлять пакеты в нужный тоннель ? Спасибо )

Edited April 16, 2025 by Train223

[jffulcrum]

1. Для выхода в интернет использовать src-nat, а не masquerade

2. Диапазоны адресов туннеля и сетей за ним вписать в Firewall - Access list и исключить этот dst-address list из правила NAT (указать с признаком !)

[weedman]

В 19.04.2025 в 22:16, jffulcrum сказал:

1. Для выхода в интернет использовать src-nat, а не masquerade

2. Диапазоны адресов туннеля и сетей за ним вписать в Firewall - Access list и исключить этот dst-address list из правила NAT (указать с признаком !)

Здравствуйте. Чем плох masquerade, чем хорош dst-nat?

[jffulcrum]

masquerade - это древность из ядра Linux, придуманная для диал-апа, грязный хак из времён, когда еще считали циклы CPU. Любая проблема с L2/L3, вроде флапа интерфейса - и наружу вывалит "сырой" трафик внутрянки, плюс работа всяких политик и ALG непредсказуема. Его ниша - хомячки с динамическим внешним IP.

[Saab95]

16 часов назад, weedman сказал:

Здравствуйте. Чем плох masquerade, чем хорош dst-nat?

Разницы никакой нет. Реализовано все одинаково разница только в названии.

 

Вот src-nat да, отличается.

[naves]

про обновление до 7 версии и IPSec