Пытаюсь поднять тунель между микротиком и fortigate.
Туннель вроде поднялся,но между сетями ничего не пингуется.
В fortigate прописал маршрут в локалку микротика,а вот как на микротике это сделать не могу понять.Подскажите где прописать маршрут в локалку фортигейта?
помогите с настройкой ipsec
-
Palamar
- Сообщения: 8
- Зарегистрирован: 07 июн 2018, 16:31
-
Chupaka
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: помогите с настройкой ipsec
Настройки покажите 
"Маршрут" не нужен, IPSec Policies говорят, какой трафик "хватать" и инкапсулировать в IPSec.
"Маршрут" не нужен, IPSec Policies говорят, какой трафик "хватать" и инкапсулировать в IPSec.
-
Palamar
- Сообщения: 8
- Зарегистрирован: 07 июн 2018, 16:31
Re: помогите с настройкой ipsec
какие именно настройки показать?
У вас нет необходимых прав для просмотра вложений в этом сообщении.
-
Palamar
- Сообщения: 8
- Зарегистрирован: 07 июн 2018, 16:31
Re: помогите с настройкой ipsec
+
У вас нет необходимых прав для просмотра вложений в этом сообщении.
-
Chupaka
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: помогите с настройкой ipsec
IPSec для начала
В Терминале сделать
Код: Выделить всё
/ip ipsec exportНу и неплохо бы упомянуть, что именно не работает.
-
Palamar
- Сообщения: 8
- Зарегистрирован: 07 июн 2018, 16:31
Re: помогите с настройкой ipsec
Код: Выделить всё
[admin@sbyt45] > /ip ipsec export
# jun/07/2018 18:39:04 by RouterOS 6.42.2
# software id = 6YUD-3A1Y
#
# model = 951Ui-2HnD
# serial number = 815707E1B1D7
/ip ipsec proposal
add enc-algorithms=3des lifetime=1d name=proposal1 pfs-group=modp1536
/ip ipsec peer
add address=134.249.171.8/32 dh-group=modp1536 enc-algorithm=3des secret=\
123456789
/ip ipsec policy
add dst-address=10.10.10.0/24 proposal=proposal1 sa-dst-address=134.249.171.8 \
sa-src-address=212.87.169.78 src-address=10.1.1.0/24 tunnel=yes-
Palamar
- Сообщения: 8
- Зарегистрирован: 07 июн 2018, 16:31
Re: помогите с настройкой ipsec
туннель поднялся но сети между собой не доступны.
-
Palamar
- Сообщения: 8
- Зарегистрирован: 07 июн 2018, 16:31
Re: помогите с настройкой ipsec
с локалки которая за fortigate,сеть которая за микротиком пингуется
А вот со стороны микротика к сожалению не так всё хорошо.
А вот со стороны микротика к сожалению не так всё хорошо.
У вас нет необходимых прав для просмотра вложений в этом сообщении.
-
Palamar
- Сообщения: 8
- Зарегистрирован: 07 июн 2018, 16:31
Re: помогите с настройкой ipsec
есть у кого-то предложения?
-
Chupaka
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: помогите с настройкой ipsec
Кто такой 212.79.122.3? 10.1.1.1 - это "сеть за микротиком" или сам микротик? Схема адресации до сих пор неизвестна. Что хотя бы в файрволе на микротике творится - тоже.
Могу ещё предположить, что правило NAT с Accept должно быть в цепочке srcnat, а не dstnat, и первым, а не вторым.
Могу ещё предположить, что правило NAT с Accept должно быть в цепочке srcnat, а не dstnat, и первым, а не вторым.
-
Palamar
- Сообщения: 8
- Зарегистрирован: 07 июн 2018, 16:31
Re: помогите с настройкой ipsec
Chupaka писал(а): ↑08 июн 2018, 11:28 Кто такой 212.79.122.3? 10.1.1.1 - это "сеть за микротиком" или сам микротик? Схема адресации до сих пор неизвестна. Что хотя бы в файрволе на микротике творится - тоже.
Могу ещё предположить, что правило NAT с Accept должно быть в цепочке srcnat, а не dstnat, и первым, а не вторым.
212.79.122.3 хз кто такой
10.1.1.0/24 - это "сеть за микротиком" 10.1.1.1 сам микротик
после поднятия правила вверх,всё завелось.Спасибо большое!