Перейти к содержимому
Калькуляторы

Mikrotik IPsec Нужна помощь

Здравствуйте, нужна помощь. Создал ipsec туннель, пинги идут, сам туннель работает. Но перестал пинговаться внутренний ip mikrotik(a), хотя со стороны второй сети он пингуется, а из внутренней сети на него можно попасть только по внешнему адресу.

 

Адреса внутренней сети 172.20.150.0/24 удаленной 172.20.0.0/16

Print policy

 

0 ;;; IPsec

src-address=172.20.150.0/24 src-port=any dst-address=172.20.0.0/16

dst-port=any protocol=all action=encrypt level=require

ipsec-protocols=esp tunnel=yes sa-src-address=91.211.52.71

sa-dst-address=194.87.255.157 proposal=default priority=0

 

Ptint Правила Nat

 

0 ;;;

chain=srcnat action=accept src-address=172.20.150.0/24

dst-address=172.20.0.0/16

Изменено пользователем Psyho88

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А вам нужен именно ipsec? Или просто что бы данные шифровались? Попробуйте туннель SSTP.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Попробуйте настроить IpSEC с интерфейсами, чтото типа этого:

os

interface gre add name=myGre remote-address=109.195.XX.XX local-address=188.235.XX.XX

ip address add address=172.16.1.1/30 interface=myGre

ip route add dst-address=192.168.5.0/24 gateway=172.16.1.2

 

 

ip ipsec peer add address=172.16.1.2/32 port=500 auth-method=pre-shared-key secret="XXXXXX"

ip ipsec policy add src-address=192.168.100.0/23 src-port=any dst-address=192.168.5.0/24 dst-port=any sa-src-address=172.16.1.1 sa-dst-address=172.16.1.2 tunnel=yes action=encrypt proposal=default

ip firewall nat add chain=srcnat action=accept place-before=0 src-address=192.168.100.0/23 dst-address=192.168.5.0/24

 

astr

interface gre add name=myGre remote-address=188.235.XX.XX local-address=109.195.XX.XX

ip address add address=172.16.1.2/30 interface=myGre

ip route add dst-address=192.168.100.0/23 gateway=172.16.1.1

 

 

ip ipsec peer add address=172.16.1.1/32 port=500 auth-method=pre-shared-key secret="XXXXX"

ip ipsec policy add src-address=192.168.5.0/24 src-port=any dst-address=192.168.100.0/23 dst-port=any sa-src-address=172.16.1.2 sa-dst-address=172.16.1.1 tunnel=yes action=encrypt proposal=default

ip firewall nat add chain=srcnat action=accept place-before=0 src-address=192.168.5.0/24 dst-address=192.168.100.0/23

 

 

данный вариант работает достаточно стабильно

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сам туннель и у меня работает стабильно и не падает, тут вопрос в другом. Пакеты из внутренней сети бегают в инет, и через туннель в другую сеть, но вот сам Mikrotik не пингуется, но из другой сети его видно. Возможности создать не ipsec туннель нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну так постройте IPSEC по моему примеру, и будет работать

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну так постройте IPSEC по моему примеру, и будет работать

 

Был бы доступ, на удаленную машину, я бы настроил. Но доступа нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Такова логика работы ipsec. Когда вы пробуете достучаться из 172.20.150.0/24 до адреса 172.20.150.X на роутере с этой политикой, траф попадает в правило для 172.20.150.0/24 -> 172.20.0.0/16

Если бы это была обычна linux-система, следовало бы сделать политику с меньшим приоритетом, src 172.20.150.0/24 dst адрес_маршрутизатора и level use. На мт создайте политику ниже существующей, описанную так:

src-address=172.20.150.0/24 dst-address=172.20.150.0/24 action=none level=use place-before=номер

Изменено пользователем anesth

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Такова логика работы ipsec. Когда вы пробуете достучаться из 172.20.150.0/24 до адреса 172.20.150.X на роутере с этой политикой, траф попадает в правило для 172.20.150.0/24 -> 172.20.0.0/16

Если бы это была обычна linux-система, следовало бы сделать политику с меньшим приоритетом, src 172.20.150.0/24 dst адрес_маршрутизатора и level use. На мт создайте политику ниже существующей, описанную так:

src-address=172.20.150.0/24 dst-address=172.20.150.0/24 action=none level=use place-before=номер

 

Вы просто великолепны, спасибо вам!!! Всё ЗАРАБОТАЛО.

Изменено пользователем Psyho88

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.