Обнаружена блокировка рекламы: Наш сайт существует благодаря показу онлайн-рекламы нашим посетителям. Пожалуйста, подумайте о поддержке нас, отключив блокировщик рекламы на нашем веб-сайте.
Всем добрый день!
Просьба помочь с поднятием туннеля между Mikrotik и Cisco.
GRE туннель поднялся, IPsec тоже поднимается, но попасть по маршруту на сервер не удается.
Самое интересное, что со стороны Cisco инженеры могут подключиться на мой сервер, к ним же я не могу.
Сразу назревает вопрос про Firewall со стороны Cisco, но проблема в том, что с IPsec особо не работал и боюсь за не прожатую галку в настройках, которая не маршрутизирует трафик.
Схема туннеля:
Добрый день!
Огромная благодарность за ответ, сразу нашел нужные настройки на хабре. Всегда забываю про маскарады и NAT.
Оставлю тут настройки, если у кого-то возникнет такая же беда.
Переходим на вкладку NAT.
Нужно сделать исключения для наших подсетей, чтобы они не улетали в обычный NAT маскарадинг.
Chain: srcnat
Advanced - Src. Address List: Mikrotik_networks
Advanced - Dst. Address List: FTD_networks
Action: accept
Как и в правилах фильтрации, нужно сделать 2 правила, поменяв во втором местами Source и Destination. А так же, поднять эти правила выше правила masquerade.
это , очень частая ошибка , потому как в IPSEC в отличии от остальных тоннелей нет шлюза, а трафик заворачивается только правилами (ACL) , вот и забывают, так как привыкают, что маскарад и нат нацеливается на интерфейс , и когда интерфейс у тоннеля другой трафик и не попадает под него автоматом, а с ipsec так не прокатывает.
я просто изначально цисковик и больше работал с кошаками и ipsec изначально и привык сразу исключать траффик для всех тоннелей из нат , даже не смотря что это gre или какой другой
а если не секрет , поему gre с ipsec почему не чистый ipsec? ведь у gre есть одна бяка называемая обрезкой ttl
