Добрый день, уважаемые специалисты RouterOS!
Подскажите, пожалуйста, новичку, как решить вот такую проблему:
Имеется центральный офис (ЦО) с RB1100AH2 и несколько филиалов (Ф) с разными маршрутизаторами D-Link, офис и филиалы связаны между собой IPSEC-туннелями. VPN работает, пользователи филиалов могут подключаться к серверу ЦО по RDP и из филиалов сервер пингуется прекрасно. НО: с RB1100AH2 (локальный адрес 192.168.2.1) на маршрутизаторы (локальный адрес 192.168.100.1 и др.) и компы филиалов пинг не проходит, сеть филиалов не видна и это печально, т.к. имеется программа удаленного администрирования LiteManager (порт 5650), которая в настоящий момент не работает.
В Firewall Filter Rules:
1 chain=input action=accept protocol=udp dst-port=500
2 chain=input action=accept protocol=ipsec-esp
3 chain=input action=accept protocol=ipsec-ah
В Firewall NAT - стандартный маскарадинг.
Как добиться пинга с RB1100AH2 на компы филиалов и, соответственно, работы Litemanager?
Спасибо!
Маршрутизация в IPSEC-туннеле
-
vqd
- Модератор
- Сообщения: 3600
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
ну так полагаю что длинки ваши в сеть за 1100 адреса преобразуют, а микротик же этого не делает.
Но это так предположение ибо из вашего описания мало что понятно
Но это так предположение ибо из вашего описания мало что понятно
Есть интересная задача и бюджет? http://mikrotik.site
-
DarkSign
- Сообщения: 7
- Зарегистрирован: 04 янв 2014, 13:23
Скажите, что мне необходимо добавить в описание проблемы?
-
vqd
- Модератор
- Сообщения: 3600
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
-
DarkSign
- Сообщения: 7
- Зарегистрирован: 04 янв 2014, 13:23
Схема сети:
1. Центральный офис Mikrotik RB1100AH2:
Внешний статический IP - 77.1.1.1
Локальный адрес - 192.168.2.1, сеть - сервер терминалов и пр.
Интернет от провайдера приходит на ether1, ether2-ether13 объединены в bridgeLAN
2. Филиал D-Link DI-824VUP+:
Внешний статический IP - 78.1.1.1
Локальный адрес - 192.168.130.1, сеть - пользователи, принтеры
Для файрвола указаны правила:
1.Firewall Filter Rules:
0 chain=input action=accept protocol=udp dst-port=500
1 chain=input action=accept protocol=ipsec-esp
2 chain=input action=accept protocol=ipsec-ah
2. NAT Rules:
0 chain=srcnat action=masquerade src-address=192.168.2.0/24 dst-address=192.168.130.0/24 out-interface=Internet (только что добавил - не помогло)
1 chain=srcnat action=masquerade out-interface=Internet
Ситуация:
Из сети филиала 192.168.130.0/24 пинг на Mikrotik офиса 192.168.2.1 проходит, обратно - нет. Пользователи филиала 130.0/24 подключаются к терминальному серверу 192.168.2.110, однако печать на их принтерах невозможна.
Пинг из офиса к филиалу проверял на микротике в терминале, ответ - timeout.
Включаю в офисе вместо микротика старенький Zyxel ZyWall70 - все прекрасно работает, пинги в обе стороны проходят, правил хождения пакетов в туннеле нет.
Догадываюсь, что дело в файрволе, вот только какие правила необходимо прописать?
1. Центральный офис Mikrotik RB1100AH2:
Внешний статический IP - 77.1.1.1
Локальный адрес - 192.168.2.1, сеть - сервер терминалов и пр.
Интернет от провайдера приходит на ether1, ether2-ether13 объединены в bridgeLAN
2. Филиал D-Link DI-824VUP+:
Внешний статический IP - 78.1.1.1
Локальный адрес - 192.168.130.1, сеть - пользователи, принтеры
Для файрвола указаны правила:
1.Firewall Filter Rules:
0 chain=input action=accept protocol=udp dst-port=500
1 chain=input action=accept protocol=ipsec-esp
2 chain=input action=accept protocol=ipsec-ah
2. NAT Rules:
0 chain=srcnat action=masquerade src-address=192.168.2.0/24 dst-address=192.168.130.0/24 out-interface=Internet (только что добавил - не помогло)
1 chain=srcnat action=masquerade out-interface=Internet
Ситуация:
Из сети филиала 192.168.130.0/24 пинг на Mikrotik офиса 192.168.2.1 проходит, обратно - нет. Пользователи филиала 130.0/24 подключаются к терминальному серверу 192.168.2.110, однако печать на их принтерах невозможна.
Пинг из офиса к филиалу проверял на микротике в терминале, ответ - timeout.
Включаю в офисе вместо микротика старенький Zyxel ZyWall70 - все прекрасно работает, пинги в обе стороны проходят, правил хождения пакетов в туннеле нет.
Догадываюсь, что дело в файрволе, вот только какие правила необходимо прописать?
-
vqd
- Модератор
- Сообщения: 3600
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
ну если вы считаете что дело в фаерволе то отключите все правила, дальше убедитесь в обратном и почитайте азы маршрутизации
Есть интересная задача и бюджет? http://mikrotik.site
-
DJGlooM
- Сообщения: 73
- Зарегистрирован: 27 ноя 2013, 14:05
-
DarkSign
- Сообщения: 7
- Зарегистрирован: 04 янв 2014, 13:23
Спасибо, решилось, забыл DHCP-сервер включить.