маршрутизация двух подсетей

0

2

Взываю к гуру микротиков!

Ситуация следующая: жили были две циски, циска А и циска Б. За циской А две подсети 192.168.7.80/29 и 192.168.35.0/24. За циской Б одна 192.168.1.0/24. Между ними айписек в туннельном режиме. И все было хорошо пока циска А не померла.

Вместо нее купили микротик и начались проблемы. ACL для IPSec'a на умершей циске выглядел так:

access-list 100 permit ip host 192.168.35.2 192.168.1.0 0.0.0.255
access-list 100 permit ip 192.168.7.80 0.0.0.7 192.168.1.0 0.0.0.255

Тоесть нужно чтобы 1 хост (35.2) из подсети 35.0/24 и вся подсеть 7.80/29 имели доступ к 1.0/24.

На микротике все настроил, проблема в том что доступ есть только у 7.80/29. Хост 35.2 доступа к 1.0/24 не имеет. Вот выдержка из policy на микротике:

[user@device] /ip ipsec> policy print
Flags: T - template, X - disabled, D - dynamic, I - inactive, * - default
 0 T * group=default src-address=::/0 dst-address=::/0 protocol=all proposal=default template=yes

 1     ;;; comment#1
       src-address=192.168.7.80/29 src-port=any dst-address=192.168.1.0/24 dst-port=any protocol=all
       action=encrypt level=unique ipsec-protocols=esp tunnel=yes sa-src-address=xx.xx.xx.xx
       sa-dst-address=yy.yy.yy.yy proposal=moscow-cisco priority=0

 2     ;;; comment#2
       src-address=192.168.35.2/32 src-port=any dst-address=192.168.1.0/24 dst-port=any protocol=all
       action=encrypt level=unique ipsec-protocols=esp tunnel=yes sa-src-address=xx.xx.xx.xx
       sa-dst-address=yy.yy.yy.yy proposal=moscow-cisco priority=0

Как видно из конфига - все идентично. Первое что подсказал гугл поменять level=require на level=unique, но это не дало результатов. В логах ничего примечательного не наблюдаю. Если первую policy выключить и оставить только вторую policy(для хоста), то айписек вобще не поднимается, ругаясь на фазе 2. Доступа к циске Б нету.

TLDR. 192.168.7.80/29 => 192.168.1.0/24 ходит. 192.168.35.2/32 => 192.168.1.0/24 не ходит. Нужно чтоб ходило.

Ссылка

а из ip firewall ничего не мешает?

Turbid ★★★★★
(07.04.15 17:01:13 MSK)

Ответ на: комментарий от Turbid 07.04.15 17:01:13 MSK

Дропы все отключаю, безполезно. По нату:

[user@device] /ip firewall nat> print
Flags: X - disabled, I - invalid, D - dynamic
 0    ;;; ipsec
      chain=srcnat action=accept src-address=192.168.7.80/29
      dst-address=192.168.1.0/24 log=no log-prefix=""

 1    chain=srcnat action=accept src-address=192.168.35.0/24
      dst-address=192.168.1.0/24 log=no log-prefix=""

 2    ;;; nat
      chain=srcnat action=masquerade src-address=192.168.35.0/24
      out-interface=eth0-gw log=no log-prefix=""

Вроде все ок.

llere
(08.04.15 10:06:18 MSK) автор топика

Ок. Оказывается я просто идиот. Все работало, просто я пинговал хост, который в мою подсеть не ответит из-за запрета на циске. Верно говорят - утро вечера мудренее.

llere
(08.04.15 10:23:27 MSK) автор топика

Похожие темы