LINUX.ORG.RU
решено ФорумAdmin

Mikrotik GRE+IPsec tunnel

 , , ,


0

1

Доброго времени суток

Имеется офисный mikrotik, и удаленный сервер на RouterOS, на котором нету ничего, и должен выступать в роли шлюза
Задача: Весь трафик из офиса пустить через удаленный сервер, с возможностью исключения хотя-б по портам

Office
Public static:  1.1.1.1
Local DHCP:     10.10.10.0
Tunnel(Server): 10.20.10.1

Server
Public static:  2.2.2.2
Local:          ----
Tunnel(Office): 10.20.10.2
Между ними сделан GRE+IPsec тоннель. Сам тоннель работает, видят друг друга и все хорошо
Не понимаю как мне завернуть траф с офиса на удаленный сервер

Не понимаю как мне завернуть траф с офиса на удаленный сервер

прописать на микротике удаленный сервер (его tun_ip) шлюзом по умолчанию

samson ★★ ()
Ответ на: комментарий от upcFrost
DST-ADDRESS    PREF-SRC   GATEWAY     DISTANCE 
0.0.0.0/0                 X.X.X.X     0  
10.10.0.0/24   10.10.0.1  bridge      0 
10.10.10.0/30  10.10.10.2 gre-tunnel1 0 
X.X.X.X/32     1.1.1.1    pppoe-out1  0

X.X.X.X - провайдера

ExtraDJ ()
Ответ на: комментарий от samson

В теории понятно. На практике почему то не получается

ExtraDJ ()
Ответ на: комментарий от ExtraDJ

ну так и пропишите сначала маршрут до вашего сервера (2.2.2.2) через pppoe-out а default gw пропишите 10.10.10.1 (это ip_tun_server)

только у вас IP адреса из последнего поста не совпадают с первым. Кажись вы что то напутали...

Local DHCP: 10.10.10.0 ---- 10.10.0.0/24

10.20.10 где вообще в таблице?

пост первый внимательнее посмотрите

samson ★★ ()
Последнее исправление: samson (всего исправлений: 1)
Ответ на: комментарий от samson

В первом после написал конфигурацию из офиса. Дома тестирую

Home
Public static:  1.1.1.1
Local DHCP:     10.10.0.0
Tunnel(Server): 10.10.10.1

Server
Public static:  2.2.2.2
Local:          ----
Tunnel(Home):   10.10.10.2

DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
0.0.0.0/0                          10.10.10.1         1
10.10.0.0/24       10.10.0.1       bridge             0
10.10.10.0/30      10.10.10.2      gre-tunnel1        1
2.2.2.2/32                         pppoe-out1         1
ExtraDJ ()
Ответ на: комментарий от ExtraDJ

10.10.10.2 - это ip тунеля на сервере? тогда его как default gw

а то у вас написано не понятно Tunnel(Home)

samson ★★ ()
Ответ на: комментарий от ExtraDJ

написал конфигурацию из офиса. Дома тестирую

мы то не телепаты)

samson ★★ ()
Ответ на: комментарий от ExtraDJ

и на сервере, естесственно, нат и форвардинг работает?

samson ★★ ()
Ответ на: комментарий от samson

10.10.10.1 - ip сервера 10.10.10.2 - ip домашнего

Настройки на сервере

/ip firewall filter
add action=accept chain=input connection-state=established,related
add action=accept chain=input port=1701,500,4500 protocol=udp
/ip firewall nat
add action=masquerade chain=srcnat protocol=tcp


DST-ADDRESS       PREF-SRC    GATEWAY     DISTANCE
0.0.0.0/0                     2.2.2.2     1
10.10.10.0/30     10.10.10.1  gre-ipsec   0
2.2.2.2/28        2.2.2.2     ether1      0

ExtraDJ ()
Ответ на: комментарий от ExtraDJ

ну так работает сейчас?

Если нет, давайте вывод команды /tool traceroute address=8.8.8.8 из дома на микротике.

samson ★★ ()
Ответ на: комментарий от samson
ADDRESS  LOSS SENT    LAST     AVG    BEST   WORST
1         100%   5      timeout
2         100%   4      timeout
3         100%   4      timeout
4         100%   4      timeout
5         100%   4      timeout
ExtraDJ ()
Ответ на: комментарий от samson

Прописал роут не на 10.10.10.1, а просто на gre, и вроде помогло

1  10.10.10.1         0%    6  32.6ms    32.8    32.6    32.9
2  138.201.81.1       0%    6    33ms    34.1      33    38.4
3  213.239.229.17     0%    6  32.9ms    33.1    32.9    33.8
4  213.239.203.153    0%    6  37.6ms    38.2    37.6    39.9
5  213.239.245.5      0%    6  37.7ms    38.3    37.6    40.4
6  72.14.211.228      0%    6  37.5ms    38.2    37.5    40.5
7  216.239.46.180     0%    6  38.5ms      39    38.1    41.8
8  108.170.236.249    0%    6  38.2ms    38.9      38    41.6
9  66.249.95.226      0%    6  46.2ms    47.5    46.2    51.2
10 108.170.234.139    0%    6  46.3ms    47.9      46    55.3
11                                  100%    6 timeout
12                                  100%    6 timeout
13                                  100%    6 timeout
14                                  100%    6 timeout
15                              

Что дальше делать?

ExtraDJ ()
Ответ на: комментарий от ExtraDJ

В общем домашний mikrotik начал ходить через GRE в интернет Но из локали не работает. Можете чтото подсказать?

ExtraDJ ()
Ответ на: комментарий от ExtraDJ

Если из локалки за домашним микротиком, то скорее всего у вас нат не настроен. Точнее настроен, но только для out-interface=pppoe-out1.

Если так, то надо что то вроде этого:

/ip firewall nat add action=masquerade chain=srcnat out-interface=gre-ipsec src-address=10.10.0.0/24

Покажите вывод /ip firewall nat export

samson ★★ ()
Ответ на: комментарий от ExtraDJ

а еще лучше /ip firewall export тк может еще и в forward зарезаться

samson ★★ ()
Ответ на: комментарий от samson

Уже и сам допер что и как)
Забыл в правиле nat переключить out-interface=gre-ipsec
Все работает отлично
Большое спасибо за помощь

ExtraDJ ()
Ответ на: комментарий от ExtraDJ

переключить

Если более сложная маршрутизация, то могут понадобиться оба правила (через оба интерфейса)

samson ★★ ()
Ответ на: комментарий от samson

Ну с этим я уже разберусь. Там ничего сложного нету, и все логически понятно

ExtraDJ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.