Страница 1 из 1

маршрутизация через VPN

Добавлено: 25 сен 2018, 08:59
alexmail19
Есть сеть приведена на картинке
СЕТЬ.png
СЕТЬ.png (11.45 КБ) 1424 просмотра
, не как не могу добиться чтоб из сети 192.168.10.* пинговалось сеть 192.168.12.*/
шлюзы белтелекома 10.16.10.1 и 10.16.12.1 соответственно. Получается только достучаться до сети 10.16.12.* и обратно.

Re: маршрутизация через VPN

Добавлено: 25 сен 2018, 09:34
Sir_Prikol
Микротик 192.168.10.0/24

Код: Выделить всё

/ip firewall filter remove [find comment=to_192.168.12.0/24]
/ip firewall filter add src-address=10.16.12.2 action=accept chain=input comment=to_192.168.12.0/24
/ip firewall filter add dst-address=10.16.12.2 action=accept chain=output comment=to_192.168.12.0/24
/ip firewall filter add src-address=192.168.12.0/24 action=accept chain=forward comment=to_192.168.12.0/24
/ip firewall filter add dst-address=192.168.12.0/24 action=accept chain=forward comment=to_192.168.12.0/24
/ip firewall filter move [find comment=to_192.168.12.0/24] 0

/ip firewall nat add src-address=192.168.10.0/24 dst-address=192.168.12.0/24 action=accept chain=srcnat comment=to_192.168.12.0/24
/ip firewall nat move [find comment=to_192.168.12.0/24] 0

/ip ipsec peer remove [find address=10.16.12.2/32]
/ip ipsec peer add address=10.16.12.2/32 dpd-interval=120s dpd-maximum-failures=5 enc-algorithm=aes-128 hash-algorithm=md5 nat-traversal=no secret="somepassword"

/ip ipsec proposal remove [find name=10.16.12.2]
/ip ipsec proposal add name=10.16.12.2 enc-algorithms=aes-256-cbc auth-algorithms=sha1  lifetime=8h

/ip ipsec policy remove [find dst-address=192.168.12.0/24]
/ip ipsec policy add dst-address=192.168.12.0/24 sa-dst-address=10.16.12.2 sa-src-address=10.16.10.2 src-address=192.168.10.0/24 tunnel=yes proposal=10.16.12.2
Микротик 192.168.12.0/24

Код: Выделить всё

/ip firewall filter remove [find comment=to_192.168.10.0/24]
/ip firewall filter add src-address=10.16.10.2 action=accept chain=input comment=to_192.168.10.0/24
/ip firewall filter add dst-address=10.16.10.2 action=accept chain=output comment=to_192.168.10.0/24
/ip firewall filter add src-address=192.168.10.0/24 action=accept chain=forward comment=to_192.168.10.0/24
/ip firewall filter add dst-address=192.168.10.0/24 action=accept chain=forward comment=to_192.168.10.0/24
/ip firewall filter move [find comment=to_192.168.10.0/24] 0

/ip firewall nat add src-address=192.168.12.0/24 dst-address=192.168.10.0/24 action=accept chain=srcnat comment=to_192.168.10.0/24
/ip firewall nat move [find comment=to_192.168.10.0/24] 0

/ip ipsec peer remove [find address=10.16.10.2/32]
/ip ipsec peer add address=10.16.10.2/32 dpd-interval=120s dpd-maximum-failures=5 enc-algorithm=aes-128 hash-algorithm=md5 nat-traversal=no secret="somepassword"

/ip ipsec proposal remove [find name=10.16.10.2]
/ip ipsec proposal add name=10.16.10.2 enc-algorithms=aes-256-cbc auth-algorithms=sha1  lifetime=8h

/ip ipsec policy remove [find dst-address=192.168.10.0/24]
/ip ipsec policy add dst-address=192.168.10.0/24 sa-dst-address=10.16.10.2 sa-src-address=10.16.12.2 src-address=192.168.12.0/24 tunnel=yes proposal=10.16.10.2

Re: маршрутизация через VPN

Добавлено: 25 сен 2018, 10:58
alexmail19
А просто через маршрутизацию не как нельзя сделать????

Re: маршрутизация через VPN

Добавлено: 25 сен 2018, 11:04
Sir_Prikol
Вы видите две сети между двумя аплинками, а вам надо видеть за аплинками.
Плюс - теперешнюю конфу вы не выложили, поэтому каким образом у вас соединена данная сеть - это для телепатов, я предложил рабочее решение, дальше - всё в ваших руках

Re: маршрутизация через VPN

Добавлено: 25 сен 2018, 11:21
Chupaka
alexmail19 писал(а): 25 сен 2018, 10:58 А просто через маршрутизацию не как нельзя сделать????
Если вы можете на оборудовании БТК прописать маршруты к 192.168.* - тогда можно. Если нет - тоннель между Мелкотиками. Тоннель можно сделать просто IPIP (меньше всего overhead, всё равно маршрутизация используется) или IPoE. Если надо шифрование - в свойствах тоннеля ставится галка IPSec и вводится Shared key, не надо отдельно ничего настраивать :)