[sudya]

Добрый день, уважаемые.

 

Уже мозг отключается что-то придумать с проблемой.

Помогите решить ее.

 

Есть сеть на микротиках, соединенных на nanobridge, таких точек 5. Есть клиент в конце цепи пролетов, у клиента стоит циска. Ему выдаю белый ip.

Он пытается строить VPN нифига не получается((( что делать?

я вижу что ко мне приходит запрос по 500 порту udp, он транслируется дальше, но первый микротик почему-то транслирует любой другой порт, иногда может и 500, но канал не строится, канал поднимается только если клиент начнет пинговать из своей сети удаленный офис, тогда поднимается.

Причем есть еще один VPN с другим офисом, так второй может подняться по пингам, а может и нет, а вот самостоятельно никак(((

 

куда копать?

 

добавил схему

Edited November 23, 2012 by sudya

[Night_Snake]

Вы бы для начала схему нарисовали, что ли. Настройки выложили. Опять же, какой канал до клиента - L2/L3? Какие сервисы крутятся на микротиках?

[sudya]

Добавил схему

[Night_Snake]

Прокинье EoIP от Mikrotik1 до Mikrotik5 и заворачивайте туда клиента. Потерь на таком количестве линков нет?

[sudya]

Построил VLAN от Микротик1 br0 до Микротик5 br0. vlan1 повесил на br0, на 5 микротике создал еще один бридж, туда загнал VirtualAP самого клиента по wds и vlan1

Инет есть, все хорошо, но VPN не строится((( вижу что внешний ip долбит ipsec-esp , но в ответ тишина, смотрю уже на самом WDS к клиенту, что ему идут эти пакеты ipsec-esp(50) а в ответ тихо.

Есть подозрение, что в этих пакетах микротики уже чета добавили и циска просто не принимает эти пакеты.

 

Подскажите какие правила нужно писать

в фильтрах прописал forward udp port 500,4500 accept / forward ipsec-esp accept это на 1 и на 5 микротиках