Для обмена трафиком вам нужно просто полиси настроить как (на RB4011) src-address=локальная_подсеть dst-address=общая_подсеть_для_внутренних_сетей. На CHR, соответственно, наоборот.
Для обмена трафиком вам нужно просто полиси настроить как (на RB4011) src-address=локальная_подсеть dst-address=общая_подсеть_для_внутренних_сетей. На CHR, соответственно, наоборот.
Или в чём заключается вопрос?..
При этом сеть DMZ будет игнорироваться и трафик будет автоматически "проскакивать" в сеть за файрволлом?
Chupaka писал(а): ↑19 ноя 2020, 22:53
DMZ - это, скорее, организационная политика, а не некий стандарт, поэтому поясните, что вы понимаете под этим термином в данном случае.
И какие из сетей на рисунке вы называете "внутренними". Я считал таковыми правых клиентов.
Внутренние 192.168.0.0 192.168.128.0, необходим обмен между ними. Доступ к 192.168.1.0 из 192.168.128.0 не требуется.
Т.е. тоннель у вас поднимается от 192.168.128.0 в сторону 192.168.1.0, а доступ нужен в 192.168.0.0, где на пути установлен файрвол.
Значит, надо убедиться, что этот файрвол (про него никакой информации нет) не будет мешать прохождению трафика. И настраивать рекомендую без всяких NAT'ов, чтобы не усложнять себе жизнь в дальнейшем.
Chupaka писал(а): ↑21 ноя 2020, 23:17
Так, как я написал - определённо стоит делать, поскольку там не конкретная реализация, а лишь характеристика хорошего решения.
А тоннель вы откуда куда хотите настраивать? А то мои телепатические способности очень слабы пока что...
Прошу прощения, если запутал. Сам тоннель между IKEv2 сервером и клиентом. DMZ физический линк кабелем.
А чем IPIP-тоннель должен помочь? Про "DMZ физический линк кабелем" вообще не понял. Как у вас внутри кабеля реализован файрвол, или почему вы этот кабель называете DMZ?..
Chupaka писал(а): ↑25 ноя 2020, 18:59
А чем IPIP-тоннель должен помочь? Про "DMZ физический линк кабелем" вообще не понял. Как у вас внутри кабеля реализован файрвол, или почему вы этот кабель называете DMZ?..
Прошу прощения за задержку. Не мог сюда писать.
DMZ это физический линк между двумя роутера, оба имеют IP на портах этого линка. Т.е. сервер IPsec подключен отдельным кабелем к роутеру с отдельным IP, что обычно и называют DMZ. IPIP должен позволить маршрутизировать трафик между внутренними сетями, но хотелось бы обойтись без него.
Chupaka писал(а): ↑25 ноя 2020, 18:59
А чем IPIP-тоннель должен помочь? Про "DMZ физический линк кабелем" вообще не понял. Как у вас внутри кабеля реализован файрвол, или почему вы этот кабель называете DMZ?..
Насколько смог понять, чтобы получить желаемое нужно ждать VTI в RoS. Пока настроил просто IPSec туннель с srcnat. Только не могу понять как сам роутер заставить ему следовать, чтобы он свой внутренний IP всегда поставлял.
Upd. Winbox не хочет подключатся, все остальное работает.
Mrdude писал(а): ↑13 дек 2020, 10:49
Есть смысл для туннеля настраивать?
/ip firewall raw
add action=accept chain=prerouting dst-address-type=local protocol=ipsec-esp
А так же для src-nat и firewall ipsec-policy=out,ipsec\in,ipsec для безопасности.
Есть, т.к. вряд ли вас будут досить IPSec'ом, поэтому все пакеты можно пускать на обработку А последний фильтр - он для обычного разрешения лишь нужного трафика, если вы не разрешаете всё подряд.
Mrdude писал(а): ↑13 дек 2020, 10:49
С Winbox трафик проходит, если указывать разрешение для WAN на его порт. Видимо трафик из туннеля обрабатывается как wan-вский.
Да, поскольку нет отдельного VDI - входящим интерфейсом является WAN.