[bcglobus]

Здравствуйте. У меня возникла проблема при настройке ipsec между D-link DI-804HV и mikrotik CCR1016-12g. На mikrotik создал peer с последующим автоматическим созданием policies. В Firewall открыл udp 500 порт на input и forward, а также протоколы ipsec-esp и ipsec-ah. Также прописал nat. На d-link я просто создал ipsec. Сам туннель работает, но проблема вот в чем: со стороны mikrotik'a не видит компы d-link'a(нет пинга и не заходит в файлы). Со стороны d-link'a на mikrotik все прекрасно работает. Причем, если отключить в firewall/nat правило по умолчанию(scrnat(masquerade)), то связь появляется, но пропадает интернет. Помогите пожалуйста разобраться.

[Барагоз]

Причем, если отключить в firewall/nat правило по умолчанию(scrnat(masquerade)), то связь появляется, но пропадает интернет.

А покажите это правило полностью.

Edited November 17, 2014 by Барагоз

[bcglobus]

А покажите это правило полностью.

chain=srcnat action=masquerade out-interface=ether1 log=no log-prefix=""

[s.lobanov]

Причем, если отключить в firewall/nat правило по умолчанию(scrnat(masquerade)), то связь появляется, но пропадает интернет. Помогите пожалуйста разобраться

 

так вы сделайте с учётом dst ip. примерно так: если dst ip из тех, что по ту сторону тунеля, то не делать нат, если нет, то делать nat

[bcglobus]

если dst ip из тех, что по ту сторону тунеля, то не делать нат, если нет, то делать nat

Я дико извиняюсь, но можно шаблон данного правила?

[bcglobus]

Всем спасибо. Решение нашлось. Нужно было просто создать нат с экшеном return