bcglobus Опубликовано 17 ноября, 2014 · Жалоба Здравствуйте. У меня возникла проблема при настройке ipsec между D-link DI-804HV и mikrotik CCR1016-12g. На mikrotik создал peer с последующим автоматическим созданием policies. В Firewall открыл udp 500 порт на input и forward, а также протоколы ipsec-esp и ipsec-ah. Также прописал nat. На d-link я просто создал ipsec. Сам туннель работает, но проблема вот в чем: со стороны mikrotik'a не видит компы d-link'a(нет пинга и не заходит в файлы). Со стороны d-link'a на mikrotik все прекрасно работает. Причем, если отключить в firewall/nat правило по умолчанию(scrnat(masquerade)), то связь появляется, но пропадает интернет. Помогите пожалуйста разобраться. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Барагоз Опубликовано 17 ноября, 2014 (изменено) · Жалоба Причем, если отключить в firewall/nat правило по умолчанию(scrnat(masquerade)), то связь появляется, но пропадает интернет. А покажите это правило полностью. Изменено 17 ноября, 2014 пользователем Барагоз Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bcglobus Опубликовано 17 ноября, 2014 · Жалоба А покажите это правило полностью. chain=srcnat action=masquerade out-interface=ether1 log=no log-prefix="" Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 17 ноября, 2014 · Жалоба Причем, если отключить в firewall/nat правило по умолчанию(scrnat(masquerade)), то связь появляется, но пропадает интернет. Помогите пожалуйста разобраться так вы сделайте с учётом dst ip. примерно так: если dst ip из тех, что по ту сторону тунеля, то не делать нат, если нет, то делать nat Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bcglobus Опубликовано 18 ноября, 2014 · Жалоба если dst ip из тех, что по ту сторону тунеля, то не делать нат, если нет, то делать nat Я дико извиняюсь, но можно шаблон данного правила? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bcglobus Опубликовано 19 ноября, 2014 · Жалоба Всем спасибо. Решение нашлось. Нужно было просто создать нат с экшеном return Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...