Russian Users MikroTik | Форум пользователей MikroTik

Всем привет
Моделирую ситуацию:
Две железки ROUTERBOARD 2011UIAS-IN
Между ними gre tunnel с ipsec шифрованием и виртуальными адресами 172.16.31.1/24 и 172.16.31.2/24
За роутером 1 сети 192.168.200-205.0 и 192.168.207-208.0 с маской 16
За роутером 2 сеть 192.168.206.0 с маской 24

router1:
wan: eth1 10.10.1.1/24
lan: eth2 192.168.200.100/16
gret1: 172.16.31.1/24
маршруты: сеть 192.168.206.0 бросаю в туннель.

router2:
wan: eth1 10.10.1.2/24
lan: eth2 192.168.206.1/24
gret1: 172.16.31.2/24
маршруты: сети 192.168.200-205.0 и 192.168.207-208.0 бросаю в туннель

На хосте за роутером 2 стоит ip 192.168.206.12/24
На хосте за роутером 1 стоит ip 192.168.200.12/16

Результат: Пакты между оконечными хостами не ходят
Но если на роутере 1 eth2 и на хосте за ним сменить маску на 24 то все прекрасно бегает .... в чем косяк?

Заранее благодарен!

Полагаю если вы IPsec отключите то оно начнет работать

А как же быть в моем варианте? Как защитить туннель?

Думается, проблемка в том, что сеть 192.168.206.0/24 попадает в пул 192.168.0.0/16 и поэтому является локальной для хоста - он не будет пересылать пакеты на роутер.
Далее, ты отдаешь себе отчет, что маска 16 это диапазон от 192.168.0.0 до 192.168.255.255? Т.е это одна сеть, а не несколько... Роутеры это очень хорошо понимают :)

Я тоже думаю в сторону, что сеть 192.168.206.0/24 попадает в пул 192.168.0.0/16
Но как бы у другого производителя роутеров (не буду называть) такие настройки не вызывают проблем. Я именно по-этому написал на этом форуме. Может это особенность mikrotik?
п.с. завтра попробую совет выше ... про отключение ipsec...

BratWolfa писал(а):Я тоже думаю в сторону, что сеть 192.168.206.0/24 попадает в пул 192.168.0.0/16
Но как бы у другого производителя роутеров (не буду называть) такие настройки не вызывают проблем. Я именно по-этому написал на этом форуме. Может это особенность mikrotik?
п.с. завтра попробую совет выше ... про отключение ipsec...

Охохох, уважаемый, тебе не зря послали ссылку на описание стека сетевой модели - тебе как бэ намекают - ерунда у тебя в сетевой инфраструктуре. А то, что у других производителей работает - так не факт, что информация достоверна - конфиги то не представлены. Я тоже задавал вопрос по подобной проблеме - но ответа не получил никакого, и понимаю почему - нужно придерживаться стандартов.
Как говорят пацаны - нужно делать по понятиям.

ipsec отключил

router1:
lan: eth2 192.168.200.100/24

На хосте за роутером 1 стоит ip 192.168.200.12/16
Результат: Пакты между оконечными хостами не ходят

На хосте за роутером 1 стоит ip 192.168.200.12/24
Результат: Пакты между оконечными хостами Ходят!

Сейчас то чего не так?

Вам же уже написали

прочтите теорию про маску сети , и маршрутизацию . это постулаты .