Followers 0

Mikrotik и NAT

12 posts in this topic

Всем привет.

Есть интересная задачка для тех, кто разбирается в микротиках. Скажу сразу, я разбираюсь не очень, поэтому ищу помощи у более продвинутых в этом деле.

Суть такая. Хочу поднять тунель IPSec  до работы. Все настройки узнал, прописал ipsec proposal, ipsec policy, создал ipsec peer и прописал ip firewall nat.

Тунель вроде бы поднялся судя по state - estableshed в IPSec active peers. Но никакой трафик и пинги между локальными домашней и рабочей сетями не идут. Как мне объяснили на работе, это из-за двойного NAT. Мой микротик прикрыт онлаймовским роутером и на свой внешний порт получает от него динамический адрес. Соответственно у моего микротика внутренняя сеть своя. Как мне преодолеть преграду с двойным NAT-ом, если, конечно, в нём дело?

0

Share this post


Link to post
Share on other sites
17 минут назад, webmaza сказал:

Как мне преодолеть преграду с двойным NAT

оплатить фиксированный ip?

0

Share this post


Link to post
Share on other sites

Наличие NAT не должно препятствовать работе IPSec.

0

Share this post


Link to post
Share on other sites
13 часов назад, Юрист сказал:

Наличие NAT не должно препятствовать работе IPSec.

Правда? Вообще-то он про двойной нат.

 

0

Share this post


Link to post
Share on other sites
В 5/4/2020 в 21:39, SkimDW сказал:

оплатить фиксированный ip?

Подключил фиксированный IP на роутере ОнЛайм. На микротике поставил галку NAT Traversal. Трафик всё равно не идёт.

0

Share this post


Link to post
Share on other sites
3 часа назад, webmaza сказал:

на роутере ОнЛайм. На микротике поставил галку NAT Traversal.

Простите, а зачем Вам две коробки? Какой смысл в роутере Онлайм?

0

Share this post


Link to post
Share on other sites
6 часов назад, webmaza сказал:

Подключил фиксированный IP на роутере ОнЛайм.

Это платная услуга, её нельзя просто подключить.  Но дело скорее всего совсем не в этом.

Вы стопудово накосячили с настройками.

Вам нужно обратиться к специалисту. Это индивидуальная админка для каждого роутера и нужно смотреть глазами что вы там неправильно сделали.

 

 

 

0

Share this post


Link to post
Share on other sites

Вопрос к автору. 

Вы указали микротику что к сети вашего предприятия (допустим 172.ХХХ.ХХХ.ХХХ/24) в роутах нужно ходить через Ipsec тунель?
А если и указали он доступен(reacheble)?

В фаерволе нет запрещающих правил? А разрешающее добавили?
как вариант ping с микротика на внутреннюю сеть предприятия если не пойдет а тоннель поднят смотрите роуты и фаервол.

0

Share this post


Link to post
Share on other sites
В 23.05.2020 в 14:17, Matroskin13 сказал:

Вопрос к автору. 

Вы указали микротику что к сети вашего предприятия (допустим 172.ХХХ.ХХХ.ХХХ/24) в роутах нужно ходить через Ipsec тунель?
А если и указали он доступен(reacheble)?

В фаерволе нет запрещающих правил? А разрешающее добавили?
как вариант ping с микротика на внутреннюю сеть предприятия если не пойдет а тоннель поднят смотрите роуты и фаервол.

Насколько мне объяснили, маршруты вообще прописывать не надо. Хотя, может это для микротика со своим белым внешним адресом не надо. В файерволле всё разрешено, во вкладке NAT scrnat на внутренние сети компании прописан. Пинг с самого микротика на сеть компании не идёт.

0

Share this post


Link to post
Share on other sites

Posted (edited)

@webmaza
Если вопрос актуален, то скиньте правила файервола.

ip fi fi pr ter

ip fi nat pr terse

ip fi raw pr

в момент когда тунель поднят (внешние ИПишники скройте)
ip ipsec active-peers pri

ip ipsec installed-sa  pri

ip ipsec policy pr

Edited by fox
0

Share this post


Link to post
Share on other sites

IP Cloud и не надо никаких фиксированных IP. В микротике всё есть для поднятия как сервера так и клиента. Это же микротик. На клиенте пропишите адрес из IP Cloud и создайте правило в NAT Action: masquerade, chain: srcnat и выберете Out. Interface. По сути всё.

0

Share this post


Link to post
Share on other sites
В 09.06.2020 в 01:27, Kitty_62 сказал:

IP Cloud и не надо никаких фиксированных IP. В микротике всё есть для поднятия как сервера так и клиента. Это же микротик. На клиенте пропишите адрес из IP Cloud и создайте правило в NAT Action: masquerade, chain: srcnat и выберете Out. Interface. По сути всё.

Не совсем понял, где на клиенте прописать адрес из IP Cloud.

0

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!


Register a new account

Sign in

Already have an account? Sign in here.


Sign In Now
Followers 0