GRE+IPSec и адрес источника

Базовая функциональность RouterOS
Ответить
Aleksandr
Сообщения: 2
Зарегистрирован: 12 май 2018, 15:50

GRE+IPSec и адрес источника

Сообщение Aleksandr » 12 май 2018, 16:01

Есть два микротика, назовём их "Офис" и "Филиал".
В офисе несколько десятков белых IP из одной большой сети (Я.Ч.С.0/26, где Я.Ч.С.1 - это шлюз).
Настраиваю GRE+IPSec между объектами. Исходнящий адрес офиса Я.Ч.С.10. Правила IPSec генерирую автоматически (пробовал ручками, но результат тот же). Изначально всё работает, но если на филиале пропадает интернет, то при его появлении туннель не поднимается. Если включить сниф пакетов, то обнаруживается, что IPSec поднимается, но пакеты идут не с адреса Я.Ч.С.10, а с адреса Я.Ч.С.2, т.е. минимально возможного в рамках сети. При этом, при самом поднятии IPSec источник был правильный. Для восстановления работы нужно ребутнуть микротик в офисе (отключение туннели и повторное включение помогает крайне редко)

Аватара пользователя
Chupaka
Сообщения: 988
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: GRE+IPSec и адрес источника

Сообщение Chupaka » 14 май 2018, 12:22

А конфиги где? :)

Но, судя по тому, что адрес меняется (если в конфиге задан .10) - я бы смотрел на правила NAT (ну и Connection Tracking - есть ли там данное подключение с применённым NAT'ом).

Ответить