Почему пакеты не нападают в туннель Миротика?

Добрый вечер.
Ситуация такая: необходимо объединить две сети при помощи микротиков (site-to-site)
обе коробки сброшены и обновлены по дефолту на последнюю прошивку 6,49,7
на обоих коробках был поднят ipsec и тоннель был поднят https://disk.yandex.ru/i/ZyhDf40o4jkogQ
на фаерволе были созданы след разрешающие правила:
ICMP;
доступ по HTTPS и Winbox;
Established и Related соединения;
IPSEC ESP и AH;
порты UDP/500 и UDP/4500 для IKE.

в нате было тоже создано правило которое стоит первым в списке где я ставлю разрешение между внутренней сеткой офиса и филиала.

А теперь вопрос, если я делаю пинг с микротика на внутренний адрес филиала пинг не проходит, если я использую пинг source то пинг проходит и даже я вижу как по туннелю начинают бегать пакеты

НО почему при обычном пинге у меня не улетают пакеты в туннель?
ткните что мог забыть?

PS настраивал по этой статье https://uni.dtln.ru/help/882
  • Вопрос задан
  • 207 просмотров
Пригласить эксперта
Ответы на вопрос 3
CityCat4
@CityCat4 Куратор тега VPN
Жил-был у бабушки серенький троллик...
Потому что нет политик (если там чистый IPSec без наворотов). В IPSec нет маршрутизации, она не используется. Вместо нее политики.
Ответ написан
Комментировать
@dronmaxman
VoIP Administrator
> НО почему при обычном пинге у меня не улетают пакеты в туннель?
потому что IPsec не использует IP адреса в туннеле для маршрутизации трафика (у тебя нет IP адреса на туннельном интерфейсе). Соответственно для ping необходимо указать какой будет IP у источника. Это так же накладывает ограничения на работу протоколов маршрутизации внутри данного туннеля и для обхода этого момента внутри туннеля строят GRE.
Ответ написан
@geniuscomposervsevolodpus
Работаю с сетями ETH и PON
Потому что нет настроек.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы