маршрутизация через VPN

[alexmail19]

Есть сеть приведена на картинке

СЕТЬ.png

, не как не могу добиться чтоб из сети 192.168.10.* пинговалось сеть 192.168.12.*/
шлюзы белтелекома 10.16.10.1 и 10.16.12.1 соответственно. Получается только достучаться до сети 10.16.12.* и обратно.

[Sir_Prikol]

Микротик 192.168.10.0/24

Код: Выделить всё

/ip firewall filter remove [find comment=to_192.168.12.0/24]
/ip firewall filter add src-address=10.16.12.2 action=accept chain=input comment=to_192.168.12.0/24
/ip firewall filter add dst-address=10.16.12.2 action=accept chain=output comment=to_192.168.12.0/24
/ip firewall filter add src-address=192.168.12.0/24 action=accept chain=forward comment=to_192.168.12.0/24
/ip firewall filter add dst-address=192.168.12.0/24 action=accept chain=forward comment=to_192.168.12.0/24
/ip firewall filter move [find comment=to_192.168.12.0/24] 0

/ip firewall nat add src-address=192.168.10.0/24 dst-address=192.168.12.0/24 action=accept chain=srcnat comment=to_192.168.12.0/24
/ip firewall nat move [find comment=to_192.168.12.0/24] 0

/ip ipsec peer remove [find address=10.16.12.2/32]
/ip ipsec peer add address=10.16.12.2/32 dpd-interval=120s dpd-maximum-failures=5 enc-algorithm=aes-128 hash-algorithm=md5 nat-traversal=no secret="somepassword"

/ip ipsec proposal remove [find name=10.16.12.2]
/ip ipsec proposal add name=10.16.12.2 enc-algorithms=aes-256-cbc auth-algorithms=sha1  lifetime=8h

/ip ipsec policy remove [find dst-address=192.168.12.0/24]
/ip ipsec policy add dst-address=192.168.12.0/24 sa-dst-address=10.16.12.2 sa-src-address=10.16.10.2 src-address=192.168.10.0/24 tunnel=yes proposal=10.16.12.2

Микротик 192.168.12.0/24

Код: Выделить всё

/ip firewall filter remove [find comment=to_192.168.10.0/24]
/ip firewall filter add src-address=10.16.10.2 action=accept chain=input comment=to_192.168.10.0/24
/ip firewall filter add dst-address=10.16.10.2 action=accept chain=output comment=to_192.168.10.0/24
/ip firewall filter add src-address=192.168.10.0/24 action=accept chain=forward comment=to_192.168.10.0/24
/ip firewall filter add dst-address=192.168.10.0/24 action=accept chain=forward comment=to_192.168.10.0/24
/ip firewall filter move [find comment=to_192.168.10.0/24] 0

/ip firewall nat add src-address=192.168.12.0/24 dst-address=192.168.10.0/24 action=accept chain=srcnat comment=to_192.168.10.0/24
/ip firewall nat move [find comment=to_192.168.10.0/24] 0

/ip ipsec peer remove [find address=10.16.10.2/32]
/ip ipsec peer add address=10.16.10.2/32 dpd-interval=120s dpd-maximum-failures=5 enc-algorithm=aes-128 hash-algorithm=md5 nat-traversal=no secret="somepassword"

/ip ipsec proposal remove [find name=10.16.10.2]
/ip ipsec proposal add name=10.16.10.2 enc-algorithms=aes-256-cbc auth-algorithms=sha1  lifetime=8h

/ip ipsec policy remove [find dst-address=192.168.10.0/24]
/ip ipsec policy add dst-address=192.168.10.0/24 sa-dst-address=10.16.10.2 sa-src-address=10.16.12.2 src-address=192.168.12.0/24 tunnel=yes proposal=10.16.10.2

[alexmail19]

А просто через маршрутизацию не как нельзя сделать????

[Sir_Prikol]

Вы видите две сети между двумя аплинками, а вам надо видеть за аплинками.
Плюс - теперешнюю конфу вы не выложили, поэтому каким образом у вас соединена данная сеть - это для телепатов, я предложил рабочее решение, дальше - всё в ваших руках

[Chupaka]

А просто через маршрутизацию не как нельзя сделать????

Если вы можете на оборудовании БТК прописать маршруты к 192.168.* - тогда можно. Если нет - тоннель между Мелкотиками. Тоннель можно сделать просто IPIP (меньше всего overhead, всё равно маршрутизация используется) или IPoE. Если надо шифрование - в свойствах тоннеля ставится галка IPSec и вводится Shared key, не надо отдельно ничего настраивать