Почему не пингуется шлюз с клиентских ПК во время работы IPSec-туннеля?

Question

[gadzhikuliev]

Не пингуется шлюз, когда направляю весь траффик локальной сети до всех удалённых - 0.0.0.0/0.

Устройство Mikrotik с RouterOS 6.48.6. Вот правила политик:

Flags: T - template, B - backup, X - disabled, D - dynamic, I - invalid, A - active, * - default 
 #      PE TUN SRC-ADDRESS                                   DST-ADDRESS                                  
 0 T X*        ::/0                                          ::/0                                         
 1   A  Mo yes 10.20.50.0/24                                 0.0.0.0/0                                    
 2   XI  Mo yes 10.20.50.0/24                                 172.31.0.0/16                                
 3   XI  Mo yes 10.20.50.0/24                                 172.29.0.0/16                                
 4   XI  Mo yes 10.20.50.0/24                                 172.17.0.0/16                                
 5   XI  Mo yes 10.20.50.0/24                                 10.100.20.0/24

Правила 2, 3, 4 и 5 выключены. Работает только правило 1, направляя весь трафик до всех удалённых сетей, терминируемых на железке центрального офиса, и с той же железки выходит в интернет. Шлюз для клиентов - 10.20.50.1. DHCP работает, интернет работает - никаких нареканий. Но сам шлюз не пингуется с каждого ПК в офисе - следовательно, подключиться к Mikrotik, не создав дополнительного внутреннего интерфейса с другой сетью, не получается. Правил для файрволла, ограничивающих подключения по внутреннему интерфейсу, нет. В IP -> Services разрешения для сети офиса прописаны.

В чём может быть проблема?

Comments

[nApoBo3]

Нарисуйте схему и приложите роутинг. ipsec политика до 0.0.0.0/0 странная, хотя может быть это я чего-то не понимаю, мне всегда казалось, что целевой адрес политики это место где разинкапсуляция ipsec происходит. У вас по идее по эту политу и ответы на пинг должны подпадать.

[nApoBo3]

Что-то мне даже подсказывает, что если у вас в ipsec нет какого-то ещё туннеля или nat, то у вас ничего не ipsec'чится кроме собственного трафика mikrotik, как раз тех самых пингов.

[gadzhikuliev]

nApoBo3, тут мне просто нужно весь трафик с филиального Микротика отправить по туннелю до МСЭ в головном офисе. Мы филиалы в интернет выпускаем через центральный МСЭ. То есть помимо определённых внутренних сетей головного офиса доступ нужен ещё к куче сетей в интернете. Поэтому целевая сеть - 0.0.0.0/0. Собственно, соединение - точка-точка.

Таблица маршрутизации филиального Микротика:

Flags: X - disabled, A - active, D - dynamic, 
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, 
B - blackhole, U - unreachable, P - prohibit 
 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 A S  0.0.0.0/0                          XX.XX.XX.XX               1
 1 ADC  10.20.50.0/24      10.20.50.1      LAN                       0
 2 ADC  XX.XX.XX.XX/30     XX.XX.XX.XX     ether2-WAN                0

NAT выключен во время работы IPSec, иначе трафик не "упакуется" в туннель, а будет NAT-иться.

[nApoBo3]

gadzhikuliev, по идее ответ на ping попадает под вашу политику. Если ipsec в туннельном режиме он улетает на другой конец туннеля.

[nApoBo3]

xx.xx.xx.xx это публичный адрес вашей головы которая маршрутизирует весь трафик?

[gadzhikuliev]

Это адрес шлюза провайдера. Внизу коллега подсказал верный ответ.

Answer 1

[korsar182]

Добавте правила

/ip ipsec policy add action=none dst-address=10.20.50.0/24 src-address=10.20.50.0/24 place-before=0
/ip firewall nat add action=accept chain=srcnat ipsec-policy=out,ipsec place-before=0

Comments

[gadzhikuliev]

Спасибо большое! Заработало!
Могли бы рассказать, что означают эти правила?

[korsar182]

gadzhikuliev, первое позволяет не шифровать с помощью IPSec трафик внутри локальной сети, без него сессия между роутером и компом будет зашифрована со стороны роутера, а со стороны компа нет, из-за этого связи между ними не будет.
второе пускает трафик IPSec в обход NAT.