Inter Projekt
 
www.InterProjekt.pl  
Teraz jest 19 października 2017, godz. 03:46

Wszystkie czasy w strefie UTC + 1 [czas letni (DST)]




Utwórz nowy wątek Odpowiedz w wątku  [ Posty: 2 ] 
Autor Wiadomość
 Tytuł: Most L2TP+IPSEC między dwoma Mikrotikami
PostNapisane: 11 grudnia 2012, godz. 08:26 
Offline

Dołączył(a): 10 grudnia 2012, godz. 15:19
Posty: 2
Witam, próbuję stworzyć most między dwoma mikrotikami.

Pierwszy Mikrotik znajduje się wewnątrz sieci Lan za routerem i służy jako transparentny bandwidth controller i również jako serwer DHCP dla tej sieci, nie posiada zewnętrznego IP. Adresacja wewnątrz sieci 192.168.1.0/24 brama 192.168.1.250 adres tego MT 192.168.1.251

Drugi Mikrotik ma stały zewnętrzny adres IP , nat i dhcp dla sieci wewnętrznej LAN. Adres IP zewnętrzny np. 20.0.0.1, adresacja 192.168.10.0/24 ip wew. MT 192.168.10.1

Serwer L2TP uruchomiony na MT drugim z Local adress 1.1.1.1 i remote adres 1.1.1.2
Client L2TP na pierwszym łączy się na 20.0.0.1 i tu wszystko działa prawidłowo, z obydwu MT mogę pingować adres drugiego.

Problem zaczyna się przy IPSEC
2. Na drugim Mt ze stałym adresem zewnętrznym: SRC Address 192.168.10.0/24
Dst Address 192.168.1.0/24 Protocol ALL, SA SRC 1.1.1.1 SA DST 1.1.1.2 Tunel zaznaczony, Peers ustawiony na 1.1.1.2 na main, send initial, bez NAT travelsal i General policy
1. Na pierwszym MT SRC Address 192.168.1.0/24
Dst Address 192.168.10.0/24 Protocol ALL, SA SRC 1.1.1.2 SA DST 1.1.1.1 Tunel zaznaczony, Peers ustawiony na 1.1.1.1 na main, send initial, bez NAT travelsal i General policy

Nie dodałem żadnych reguł do FV i NAT

Co uzyskałem:
Na 2 MT pingując adres 192.168.1.251 po interfrejsie LAN (eth2 i wifi) idą pakiedy i w Installed SAs mam połączenie i lecą pakiety w obu kierunkach.
Ping z komputera o adresie 192.168.10.2 działą jedynie na adres 192.168.1.251 na inne już nie z mt też nie.
Na 1 MT pingując adres 192.168.10.1 po interfrejsie bridge (wszystkie eth na mt) pakiety idą i jest połączenie w SAs. ping-ując adres 192.168.10.2 również połączenie prawidłowe.
Ping-ując z komputera wewnątrz sieci adres 192.168.10.1 brak połączenia.

Podejrzewam że problem tkwi w routing-u i z tego że brakuje NAT-u w pierwszym urządzeniu.

ps. Odpaliłem tą samą konfiguracje na Mikrotiku w tej sieci tylko że za nat-em wszystko połączyło się prawidłowo i sieci widzą się z obydwu krańców. Więc ustawienie mostu L2TP i IPSEC jest prawidłowe. Jednak docelowo musi kierować to połączenie na mikrotika przezroczystego bez natu.

Ma ktoś pomysł jakie regułki do Firewall dodać może nat na któryś interfejs .
Ja już nie mam pomysłu jak tego dokonać.


Załączniki:
Komentarz: Diagram sieci
Rysunek1.jpg
Rysunek1.jpg [ 60.48 KiB | Przeglądane 66 razy ]
Góra
 Zobacz profil Wyślij e-mail  
 
 Tytuł: Re: Most L2TP+IPSEC między dwoma Mikrotikami
PostNapisane: 11 grudnia 2012, godz. 17:33 
Offline

Dołączył(a): 10 grudnia 2012, godz. 15:19
Posty: 2
Udało mi się uruchomić tunel przez IPSec między Mikrotik 2 i Router (na Fortigate 110C) działa wszystko pięknie.

Jednak zagadka czy da się to uruchomić wg. schematu powyżej nadal jest nierozwiązana. Wolał bym uruchomić to na Mikrotiku bo mam w nim wsparcie dla IPSec sprzętowe.


Góra
 Zobacz profil Wyślij e-mail  
 
Wyświetl posty nie starsze niż:  Sortuj wg  
Utwórz nowy wątek Odpowiedz w wątku  [ Posty: 2 ] 

Wszystkie czasy w strefie UTC + 1 [czas letni (DST)]


Kto przegląda forum

Użytkownicy przeglądający to forum: Brak zalogowanych użytkowników i 1 gość


Nie możesz rozpoczynać nowych wątków
Nie możesz odpowiadać w wątkach
Nie możesz edytować swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników

Szukaj:
Skocz do:  
cron
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Publikowane wiadomości są prywatnymi opiniami użytkowników forum. Inter Projekt S.A. nie ponosi odpowiedzialności za treść wiadomości.
Informacje o cookies