Psyho88 Опубликовано 12 ноября, 2013 (изменено) · Жалоба Здравствуйте, нужна помощь. Создал ipsec туннель, пинги идут, сам туннель работает. Но перестал пинговаться внутренний ip mikrotik(a), хотя со стороны второй сети он пингуется, а из внутренней сети на него можно попасть только по внешнему адресу. Адреса внутренней сети 172.20.150.0/24 удаленной 172.20.0.0/16 Print policy 0 ;;; IPsec src-address=172.20.150.0/24 src-port=any dst-address=172.20.0.0/16 dst-port=any protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes sa-src-address=91.211.52.71 sa-dst-address=194.87.255.157 proposal=default priority=0 Ptint Правила Nat 0 ;;; chain=srcnat action=accept src-address=172.20.150.0/24 dst-address=172.20.0.0/16 Изменено 12 ноября, 2013 пользователем Psyho88 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 12 ноября, 2013 · Жалоба А вам нужен именно ipsec? Или просто что бы данные шифровались? Попробуйте туннель SSTP. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Psyho88 Опубликовано 12 ноября, 2013 · Жалоба Именно ipsec. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
chipoza Опубликовано 13 ноября, 2013 · Жалоба Попробуйте настроить IpSEC с интерфейсами, чтото типа этого: os interface gre add name=myGre remote-address=109.195.XX.XX local-address=188.235.XX.XX ip address add address=172.16.1.1/30 interface=myGre ip route add dst-address=192.168.5.0/24 gateway=172.16.1.2 ip ipsec peer add address=172.16.1.2/32 port=500 auth-method=pre-shared-key secret="XXXXXX" ip ipsec policy add src-address=192.168.100.0/23 src-port=any dst-address=192.168.5.0/24 dst-port=any sa-src-address=172.16.1.1 sa-dst-address=172.16.1.2 tunnel=yes action=encrypt proposal=default ip firewall nat add chain=srcnat action=accept place-before=0 src-address=192.168.100.0/23 dst-address=192.168.5.0/24 astr interface gre add name=myGre remote-address=188.235.XX.XX local-address=109.195.XX.XX ip address add address=172.16.1.2/30 interface=myGre ip route add dst-address=192.168.100.0/23 gateway=172.16.1.1 ip ipsec peer add address=172.16.1.1/32 port=500 auth-method=pre-shared-key secret="XXXXX" ip ipsec policy add src-address=192.168.5.0/24 src-port=any dst-address=192.168.100.0/23 dst-port=any sa-src-address=172.16.1.2 sa-dst-address=172.16.1.1 tunnel=yes action=encrypt proposal=default ip firewall nat add chain=srcnat action=accept place-before=0 src-address=192.168.5.0/24 dst-address=192.168.100.0/23 данный вариант работает достаточно стабильно Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Psyho88 Опубликовано 13 ноября, 2013 · Жалоба Сам туннель и у меня работает стабильно и не падает, тут вопрос в другом. Пакеты из внутренней сети бегают в инет, и через туннель в другую сеть, но вот сам Mikrotik не пингуется, но из другой сети его видно. Возможности создать не ipsec туннель нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
chipoza Опубликовано 14 ноября, 2013 · Жалоба Ну так постройте IPSEC по моему примеру, и будет работать Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Psyho88 Опубликовано 14 ноября, 2013 · Жалоба Ну так постройте IPSEC по моему примеру, и будет работать Был бы доступ, на удаленную машину, я бы настроил. Но доступа нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
anesth Опубликовано 14 ноября, 2013 (изменено) · Жалоба Такова логика работы ipsec. Когда вы пробуете достучаться из 172.20.150.0/24 до адреса 172.20.150.X на роутере с этой политикой, траф попадает в правило для 172.20.150.0/24 -> 172.20.0.0/16 Если бы это была обычна linux-система, следовало бы сделать политику с меньшим приоритетом, src 172.20.150.0/24 dst адрес_маршрутизатора и level use. На мт создайте политику ниже существующей, описанную так: src-address=172.20.150.0/24 dst-address=172.20.150.0/24 action=none level=use place-before=номер Изменено 14 ноября, 2013 пользователем anesth Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Psyho88 Опубликовано 15 ноября, 2013 (изменено) · Жалоба Такова логика работы ipsec. Когда вы пробуете достучаться из 172.20.150.0/24 до адреса 172.20.150.X на роутере с этой политикой, траф попадает в правило для 172.20.150.0/24 -> 172.20.0.0/16 Если бы это была обычна linux-система, следовало бы сделать политику с меньшим приоритетом, src 172.20.150.0/24 dst адрес_маршрутизатора и level use. На мт создайте политику ниже существующей, описанную так: src-address=172.20.150.0/24 dst-address=172.20.150.0/24 action=none level=use place-before=номер Вы просто великолепны, спасибо вам!!! Всё ЗАРАБОТАЛО. Изменено 15 ноября, 2013 пользователем Psyho88 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...