Jump to content
Калькуляторы

Mikrotik IPsec Нужна помощь

Здравствуйте, нужна помощь. Создал ipsec туннель, пинги идут, сам туннель работает. Но перестал пинговаться внутренний ip mikrotik(a), хотя со стороны второй сети он пингуется, а из внутренней сети на него можно попасть только по внешнему адресу.

 

Адреса внутренней сети 172.20.150.0/24 удаленной 172.20.0.0/16

Print policy

 

0 ;;; IPsec

src-address=172.20.150.0/24 src-port=any dst-address=172.20.0.0/16

dst-port=any protocol=all action=encrypt level=require

ipsec-protocols=esp tunnel=yes sa-src-address=91.211.52.71

sa-dst-address=194.87.255.157 proposal=default priority=0

 

Ptint Правила Nat

 

0 ;;;

chain=srcnat action=accept src-address=172.20.150.0/24

dst-address=172.20.0.0/16

Edited by Psyho88

Share this post


Link to post
Share on other sites

А вам нужен именно ipsec? Или просто что бы данные шифровались? Попробуйте туннель SSTP.

Share this post


Link to post
Share on other sites

Попробуйте настроить IpSEC с интерфейсами, чтото типа этого:

os

interface gre add name=myGre remote-address=109.195.XX.XX local-address=188.235.XX.XX

ip address add address=172.16.1.1/30 interface=myGre

ip route add dst-address=192.168.5.0/24 gateway=172.16.1.2

 

 

ip ipsec peer add address=172.16.1.2/32 port=500 auth-method=pre-shared-key secret="XXXXXX"

ip ipsec policy add src-address=192.168.100.0/23 src-port=any dst-address=192.168.5.0/24 dst-port=any sa-src-address=172.16.1.1 sa-dst-address=172.16.1.2 tunnel=yes action=encrypt proposal=default

ip firewall nat add chain=srcnat action=accept place-before=0 src-address=192.168.100.0/23 dst-address=192.168.5.0/24

 

astr

interface gre add name=myGre remote-address=188.235.XX.XX local-address=109.195.XX.XX

ip address add address=172.16.1.2/30 interface=myGre

ip route add dst-address=192.168.100.0/23 gateway=172.16.1.1

 

 

ip ipsec peer add address=172.16.1.1/32 port=500 auth-method=pre-shared-key secret="XXXXX"

ip ipsec policy add src-address=192.168.5.0/24 src-port=any dst-address=192.168.100.0/23 dst-port=any sa-src-address=172.16.1.2 sa-dst-address=172.16.1.1 tunnel=yes action=encrypt proposal=default

ip firewall nat add chain=srcnat action=accept place-before=0 src-address=192.168.5.0/24 dst-address=192.168.100.0/23

 

 

данный вариант работает достаточно стабильно

Share this post


Link to post
Share on other sites

Сам туннель и у меня работает стабильно и не падает, тут вопрос в другом. Пакеты из внутренней сети бегают в инет, и через туннель в другую сеть, но вот сам Mikrotik не пингуется, но из другой сети его видно. Возможности создать не ipsec туннель нет.

Share this post


Link to post
Share on other sites

Ну так постройте IPSEC по моему примеру, и будет работать

Share this post


Link to post
Share on other sites

Ну так постройте IPSEC по моему примеру, и будет работать

 

Был бы доступ, на удаленную машину, я бы настроил. Но доступа нет.

Share this post


Link to post
Share on other sites

Такова логика работы ipsec. Когда вы пробуете достучаться из 172.20.150.0/24 до адреса 172.20.150.X на роутере с этой политикой, траф попадает в правило для 172.20.150.0/24 -> 172.20.0.0/16

Если бы это была обычна linux-система, следовало бы сделать политику с меньшим приоритетом, src 172.20.150.0/24 dst адрес_маршрутизатора и level use. На мт создайте политику ниже существующей, описанную так:

src-address=172.20.150.0/24 dst-address=172.20.150.0/24 action=none level=use place-before=номер

Edited by anesth

Share this post


Link to post
Share on other sites

Такова логика работы ipsec. Когда вы пробуете достучаться из 172.20.150.0/24 до адреса 172.20.150.X на роутере с этой политикой, траф попадает в правило для 172.20.150.0/24 -> 172.20.0.0/16

Если бы это была обычна linux-система, следовало бы сделать политику с меньшим приоритетом, src 172.20.150.0/24 dst адрес_маршрутизатора и level use. На мт создайте политику ниже существующей, описанную так:

src-address=172.20.150.0/24 dst-address=172.20.150.0/24 action=none level=use place-before=номер

 

Вы просто великолепны, спасибо вам!!! Всё ЗАРАБОТАЛО.

Edited by Psyho88

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this