IPSEC между двумя офисами с одинаковыми подсетями в каждом. NAT, netmap?

[Hurricane]

Добырй день.
Есть два офиса, между которыми нужен IPSEC, но в этих офисах одинаковые подсети. Я так понимаю, нужно делать NAT на обоих сторонах.
Верно?

делаю ping src-address=192.168.5.1 172.17.214.111 и ответа нет. Но пакет заворачивается в туннель, прилетает на сервер 172.17.214.111, ответ прилетает на роутер.

[Sir_Prikol]

Нет, нужно менять адресацию сети

[Hurricane]

Нет, нужно менять адресацию сети

но у нас есть партнеры, с которыми мы взаимодействием так. Только у них не микротик.

[Sir_Prikol]

Как вы себе представляете отправлять пакет на один и тот-же ip в разных подсетях? Как пакет узнает что ему надо именно на тот айпишник в другой подсети попасть, а не бежать до этого айпишника в своей подсети?

[Chupaka]

Для таких случаев используют костыль под названием "netmap", он же "network mapping": выбираем неиспользуемую подсеть (192.168.55.0/24, например), все запросы к 192.168.55.0/24 нетмапим (nat action=netmap) на 192.168.5.0/24, ответы - в обратную сторону. Ипсек поднимается для 192.168.55.0/24. В итоге у партнёра дублирующаяся сеть 192.168.5.0/24, а все в "ядре" её видят как 192.168.55.0/24.

[Hurricane]

Как вы себе представляете отправлять пакет на один и тот-же ip в разных подсетях? Как пакет узнает что ему надо именно на тот айпишник в другой подсети попасть, а не бежать до этого айпишника в своей подсети?

Пакет из сети справа не будет предназначен хостам в той же сети слева, он пойдет в 172.16. Но если мы поднимем туннель между двумя роутерами и анонсируем 192.168.5.0/24 справа, то маршрутизация сломается для 192.168.5.0 слева. Ферштейн?)

[Hurricane]

Для таких случаев используют костыль под названием "netmap", он же "network mapping": выбираем неиспользуемую подсеть (192.168.55.0/24, например), все запросы к 192.168.55.0/24 нетмапим (nat action=netmap) на 192.168.5.0/24, ответы - в обратную сторону. Ипсек поднимается для 192.168.55.0/24. В итоге у партнёра дублирующаяся сеть 192.168.5.0/24, а все в "ядре" её видят как 192.168.55.0/24.

Да, вот я примерно так и думал.
Нужно два правила написать, так? Допустим, с хоста справа (из 192.168.5.0) я делаю telnet 172.16.33.33 и хочу, чтобы 192.168.5.0/24 преобразовывался в 172.16.230.65. Слева для этого адреса host route прописан, всё пучком. Для этого я пишу одно правило или два? Для входящего трафика В РАМКАХ ЭТОЙ ЖЕ СЕССИИ тоже нужно писать?

[Chupaka]

Правила нужны для соединений, не для пакетов. Т.е. если доступ нужен в одну сторону - то одного правила хватит, пакеты по TCP-соединению побегут в обе стороны, если инициатор будет всегда с той стороны.

Вот если связность нужно обеспечить между одинаковыми подсетями в разных местах (из 192.168.5.0/24 в 192.168.5.0/24) - тогда надо менять с обеих сторон, иначе одна из сторон будет пытаться ответы слать напрямую в свой сегмент, а не обратно через роутер.

[Sir_Prikol]

Пакет из сети справа не будет предназначен хостам в той же сети слева, он пойдет в 172.16. Но если мы поднимем туннель между двумя роутерами и анонсируем 192.168.5.0/24 справа, то маршрутизация сломается для 192.168.5.0 слева. Ферштейн?)

Задача была 2 одинаковые подсети - это невозможно, я и написал что смена подсетей, по сути netmap это и есть смена подсети, просто на каждом роутере она своя. Напрямую в одинаковую подсеть вы не попадёте, поэтому и было сказано - невозможно, только менять адресацию (что вы и сделаете посредством netmap) - ферштейн?