маршрутизация через VPN

RIP, OSFP, BGP, MPLS/VPLS
alexmail19
Сообщения: 2
Зарегистрирован: 25 сен 2018, 08:42

маршрутизация через VPN

Сообщение alexmail19 »

Есть сеть приведена на картинке
СЕТЬ.png
, не как не могу добиться чтоб из сети 192.168.10.* пинговалось сеть 192.168.12.*/
шлюзы белтелекома 10.16.10.1 и 10.16.12.1 соответственно. Получается только достучаться до сети 10.16.12.* и обратно.
У вас нет необходимых прав для просмотра вложений в этом сообщении.
Аватара пользователя
Sir_Prikol
Сообщения: 562
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР

Re: маршрутизация через VPN

Сообщение Sir_Prikol »

Микротик 192.168.10.0/24

Код: Выделить всё

/ip firewall filter remove [find comment=to_192.168.12.0/24]
/ip firewall filter add src-address=10.16.12.2 action=accept chain=input comment=to_192.168.12.0/24
/ip firewall filter add dst-address=10.16.12.2 action=accept chain=output comment=to_192.168.12.0/24
/ip firewall filter add src-address=192.168.12.0/24 action=accept chain=forward comment=to_192.168.12.0/24
/ip firewall filter add dst-address=192.168.12.0/24 action=accept chain=forward comment=to_192.168.12.0/24
/ip firewall filter move [find comment=to_192.168.12.0/24] 0

/ip firewall nat add src-address=192.168.10.0/24 dst-address=192.168.12.0/24 action=accept chain=srcnat comment=to_192.168.12.0/24
/ip firewall nat move [find comment=to_192.168.12.0/24] 0

/ip ipsec peer remove [find address=10.16.12.2/32]
/ip ipsec peer add address=10.16.12.2/32 dpd-interval=120s dpd-maximum-failures=5 enc-algorithm=aes-128 hash-algorithm=md5 nat-traversal=no secret="somepassword"

/ip ipsec proposal remove [find name=10.16.12.2]
/ip ipsec proposal add name=10.16.12.2 enc-algorithms=aes-256-cbc auth-algorithms=sha1  lifetime=8h

/ip ipsec policy remove [find dst-address=192.168.12.0/24]
/ip ipsec policy add dst-address=192.168.12.0/24 sa-dst-address=10.16.12.2 sa-src-address=10.16.10.2 src-address=192.168.10.0/24 tunnel=yes proposal=10.16.12.2
Микротик 192.168.12.0/24

Код: Выделить всё

/ip firewall filter remove [find comment=to_192.168.10.0/24]
/ip firewall filter add src-address=10.16.10.2 action=accept chain=input comment=to_192.168.10.0/24
/ip firewall filter add dst-address=10.16.10.2 action=accept chain=output comment=to_192.168.10.0/24
/ip firewall filter add src-address=192.168.10.0/24 action=accept chain=forward comment=to_192.168.10.0/24
/ip firewall filter add dst-address=192.168.10.0/24 action=accept chain=forward comment=to_192.168.10.0/24
/ip firewall filter move [find comment=to_192.168.10.0/24] 0

/ip firewall nat add src-address=192.168.12.0/24 dst-address=192.168.10.0/24 action=accept chain=srcnat comment=to_192.168.10.0/24
/ip firewall nat move [find comment=to_192.168.10.0/24] 0

/ip ipsec peer remove [find address=10.16.10.2/32]
/ip ipsec peer add address=10.16.10.2/32 dpd-interval=120s dpd-maximum-failures=5 enc-algorithm=aes-128 hash-algorithm=md5 nat-traversal=no secret="somepassword"

/ip ipsec proposal remove [find name=10.16.10.2]
/ip ipsec proposal add name=10.16.10.2 enc-algorithms=aes-256-cbc auth-algorithms=sha1  lifetime=8h

/ip ipsec policy remove [find dst-address=192.168.10.0/24]
/ip ipsec policy add dst-address=192.168.10.0/24 sa-dst-address=10.16.10.2 sa-src-address=10.16.12.2 src-address=192.168.12.0/24 tunnel=yes proposal=10.16.10.2
Дома: CCR2004 (7-ISP(GPON)белый IP)
alexmail19
Сообщения: 2
Зарегистрирован: 25 сен 2018, 08:42

Re: маршрутизация через VPN

Сообщение alexmail19 »

А просто через маршрутизацию не как нельзя сделать????
Аватара пользователя
Sir_Prikol
Сообщения: 562
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР

Re: маршрутизация через VPN

Сообщение Sir_Prikol »

Вы видите две сети между двумя аплинками, а вам надо видеть за аплинками.
Плюс - теперешнюю конфу вы не выложили, поэтому каким образом у вас соединена данная сеть - это для телепатов, я предложил рабочее решение, дальше - всё в ваших руках
Дома: CCR2004 (7-ISP(GPON)белый IP)
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: маршрутизация через VPN

Сообщение Chupaka »

alexmail19 писал(а): 25 сен 2018, 10:58 А просто через маршрутизацию не как нельзя сделать????
Если вы можете на оборудовании БТК прописать маршруты к 192.168.* - тогда можно. Если нет - тоннель между Мелкотиками. Тоннель можно сделать просто IPIP (меньше всего overhead, всё равно маршрутизация используется) или IPoE. Если надо шифрование - в свойствах тоннеля ставится галка IPSec и вводится Shared key, не надо отдельно ничего настраивать :)