Chupaka писал(а): ↑25 ноя 2020, 18:59
А чем IPIP-тоннель должен помочь? Про "DMZ физический линк кабелем" вообще не понял. Как у вас внутри кабеля реализован файрвол, или почему вы этот кабель называете DMZ?..
Прошу прощения за задержку. Не мог сюда писать.
DMZ это физический линк между двумя роутера, оба имеют IP на портах этого линка. Т.е. сервер IPsec подключен отдельным кабелем к роутеру с отдельным IP, что обычно и называют DMZ. IPIP должен позволить маршрутизировать трафик между внутренними сетями, но хотелось бы обойтись без него.
Chupaka писал(а): ↑25 ноя 2020, 18:59
А чем IPIP-тоннель должен помочь? Про "DMZ физический линк кабелем" вообще не понял. Как у вас внутри кабеля реализован файрвол, или почему вы этот кабель называете DMZ?..
Насколько смог понять, чтобы получить желаемое нужно ждать VTI в RoS. Пока настроил просто IPSec туннель с srcnat. Только не могу понять как сам роутер заставить ему следовать, чтобы он свой внутренний IP всегда поставлял.
Upd. Winbox не хочет подключатся, все остальное работает.
Mrdude писал(а): ↑13 дек 2020, 10:49
Есть смысл для туннеля настраивать?
/ip firewall raw
add action=accept chain=prerouting dst-address-type=local protocol=ipsec-esp
А так же для src-nat и firewall ipsec-policy=out,ipsec\in,ipsec для безопасности.
Есть, т.к. вряд ли вас будут досить IPSec'ом, поэтому все пакеты можно пускать на обработку А последний фильтр - он для обычного разрешения лишь нужного трафика, если вы не разрешаете всё подряд.
Mrdude писал(а): ↑13 дек 2020, 10:49
С Winbox трафик проходит, если указывать разрешение для WAN на его порт. Видимо трафик из туннеля обрабатывается как wan-вский.
Да, поскольку нет отдельного VDI - входящим интерфейсом является WAN.