IPSEC между двумя офисами с одинаковыми подсетями в каждом. NAT, netmap?

Базовая функциональность RouterOS
Ответить
Hurricane
Сообщения: 4
Зарегистрирован: 29 июл 2020, 11:20

IPSEC между двумя офисами с одинаковыми подсетями в каждом. NAT, netmap?

Сообщение Hurricane »

Добырй день.
Есть два офиса, между которыми нужен IPSEC, но в этих офисах одинаковые подсети. Я так понимаю, нужно делать NAT на обоих сторонах.
Верно?

делаю ping src-address=192.168.5.1 172.17.214.111 и ответа нет. Но пакет заворачивается в туннель, прилетает на сервер 172.17.214.111, ответ прилетает на роутер.
Вложения
scheme.JPG
scheme.JPG (101.77 КБ) 1619 просмотров
Аватара пользователя
Sir_Prikol
Сообщения: 560
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

Re: IPSEC между двумя офисами с одинаковыми подсетями в каждом. NAT, netmap?

Сообщение Sir_Prikol »

Нет, нужно менять адресацию сети
Дома: CCR2004 (7-ISP(GPON)белый IP)
Hurricane
Сообщения: 4
Зарегистрирован: 29 июл 2020, 11:20

Re: IPSEC между двумя офисами с одинаковыми подсетями в каждом. NAT, netmap?

Сообщение Hurricane »

Sir_Prikol писал(а): 29 июл 2020, 12:43 Нет, нужно менять адресацию сети
но у нас есть партнеры, с которыми мы взаимодействием так. Только у них не микротик.
Аватара пользователя
Sir_Prikol
Сообщения: 560
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

Re: IPSEC между двумя офисами с одинаковыми подсетями в каждом. NAT, netmap?

Сообщение Sir_Prikol »

Как вы себе представляете отправлять пакет на один и тот-же ip в разных подсетях? Как пакет узнает что ему надо именно на тот айпишник в другой подсети попасть, а не бежать до этого айпишника в своей подсети?
Дома: CCR2004 (7-ISP(GPON)белый IP)
Аватара пользователя
Chupaka
Сообщения: 3880
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: IPSEC между двумя офисами с одинаковыми подсетями в каждом. NAT, netmap?

Сообщение Chupaka »

Для таких случаев используют костыль под названием "netmap", он же "network mapping": выбираем неиспользуемую подсеть (192.168.55.0/24, например), все запросы к 192.168.55.0/24 нетмапим (nat action=netmap) на 192.168.5.0/24, ответы - в обратную сторону. Ипсек поднимается для 192.168.55.0/24. В итоге у партнёра дублирующаяся сеть 192.168.5.0/24, а все в "ядре" её видят как 192.168.55.0/24.
Hurricane
Сообщения: 4
Зарегистрирован: 29 июл 2020, 11:20

Re: IPSEC между двумя офисами с одинаковыми подсетями в каждом. NAT, netmap?

Сообщение Hurricane »

Sir_Prikol писал(а): 29 июл 2020, 17:43 Как вы себе представляете отправлять пакет на один и тот-же ip в разных подсетях? Как пакет узнает что ему надо именно на тот айпишник в другой подсети попасть, а не бежать до этого айпишника в своей подсети?
Пакет из сети справа не будет предназначен хостам в той же сети слева, он пойдет в 172.16. Но если мы поднимем туннель между двумя роутерами и анонсируем 192.168.5.0/24 справа, то маршрутизация сломается для 192.168.5.0 слева. Ферштейн?)
Hurricane
Сообщения: 4
Зарегистрирован: 29 июл 2020, 11:20

Re: IPSEC между двумя офисами с одинаковыми подсетями в каждом. NAT, netmap?

Сообщение Hurricane »

Chupaka писал(а): 29 июл 2020, 23:40 Для таких случаев используют костыль под названием "netmap", он же "network mapping": выбираем неиспользуемую подсеть (192.168.55.0/24, например), все запросы к 192.168.55.0/24 нетмапим (nat action=netmap) на 192.168.5.0/24, ответы - в обратную сторону. Ипсек поднимается для 192.168.55.0/24. В итоге у партнёра дублирующаяся сеть 192.168.5.0/24, а все в "ядре" её видят как 192.168.55.0/24.
Да, вот я примерно так и думал.
Нужно два правила написать, так? Допустим, с хоста справа (из 192.168.5.0) я делаю telnet 172.16.33.33 и хочу, чтобы 192.168.5.0/24 преобразовывался в 172.16.230.65. Слева для этого адреса host route прописан, всё пучком. Для этого я пишу одно правило или два? Для входящего трафика В РАМКАХ ЭТОЙ ЖЕ СЕССИИ тоже нужно писать?
Аватара пользователя
Chupaka
Сообщения: 3880
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: IPSEC между двумя офисами с одинаковыми подсетями в каждом. NAT, netmap?

Сообщение Chupaka »

Правила нужны для соединений, не для пакетов. Т.е. если доступ нужен в одну сторону - то одного правила хватит, пакеты по TCP-соединению побегут в обе стороны, если инициатор будет всегда с той стороны.

Вот если связность нужно обеспечить между одинаковыми подсетями в разных местах (из 192.168.5.0/24 в 192.168.5.0/24) - тогда надо менять с обеих сторон, иначе одна из сторон будет пытаться ответы слать напрямую в свой сегмент, а не обратно через роутер.
Аватара пользователя
Sir_Prikol
Сообщения: 560
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

Re: IPSEC между двумя офисами с одинаковыми подсетями в каждом. NAT, netmap?

Сообщение Sir_Prikol »

Hurricane писал(а): 31 июл 2020, 07:52 Пакет из сети справа не будет предназначен хостам в той же сети слева, он пойдет в 172.16. Но если мы поднимем туннель между двумя роутерами и анонсируем 192.168.5.0/24 справа, то маршрутизация сломается для 192.168.5.0 слева. Ферштейн?)
Задача была 2 одинаковые подсети - это невозможно, я и написал что смена подсетей, по сути netmap это и есть смена подсети, просто на каждом роутере она своя. Напрямую в одинаковую подсеть вы не попадёте, поэтому и было сказано - невозможно, только менять адресацию (что вы и сделаете посредством netmap) - ферштейн? :)
Дома: CCR2004 (7-ISP(GPON)белый IP)
Ответить