Как настроить IPSEC маршрутизацию в несколько подсетей?

Question

[MR_Kotovski]

2 офиса создан ипсек туннель между ними
есть основная подсеть 192.168.30.0/24 во 2-м офисе и 192.168.77.0/24 в 1-й
маршрутизация есть,все порядке
в одном офисе добавилась еще одна подсеть 192.168.40.0/24 с которой надо попадать в 1-й офис в подсеть 192.168.77.0/24
создал дополнительный policy,состояние established,но маршрутизации нет
В интернете нашел совет использывать ipsec policy level=unique вместо required,но это не помогло
Конфигурация микротика

spoiler

/ip ipsec peer
add address=11.11.11.11 name=1
/ip ipsec policy group
add name=ikev2-group
/ip ipsec profile
set [ find default=yes ] dh-group=modp1024 enc-algorithm=3des hash-algorithm=\
md5
add enc-algorithm=aes-256,aes-128,3des hash-algorithm=sha256 name=ikev2
add enc-algorithm=aes-256,aes-128,3des hash-algorithm=sha256 name=\
ipsec-profile nat-traversal=no
/ip ipsec peer
add address=11.11.11.11 disabled=yes exchange-mode=ike2 name=\
lexus-office passive=yes profile=ikev2
add exchange-mode=ike2 name=peer-ikev2 passive=yes profile=ikev2
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=md5 enc-algorithms=3des
add auth-algorithms=sha256,sha1 name=ikev2-proposal pfs-group=none
/ip ipsec identity
add peer=1 secret=12345678
/ip ipsec policy
add dst-address=192.168.77.0/24 peer=1 src-address=192.168.30.0/24 \
tunnel=yes
add dst-address=192.168.77.0/24 level=unique peer=1 \
src-address=192.168.40.0/24 tunnel=yes

NAT

spoiler

add action=accept chain=srcnat dst-address=192.168.77.0/24 \
out-interface-list=WAN src-address=192.168.40.0/24

Каким образом сделать так чтобы одновременно было маршрутизация между 2-мя пирами,в несколько подсетей?
P.S В firewall ipsec разрешен,на другой стороне конфигурация ipsec и nat аналогично,статус в ipsec policies established на каждое из правил

Comments

[korsar182]

На обоих маршрутизаторах добавьте

/ip firewall nat add action=accept chain=srcnat ipsec-policy=out,ipsec place-before=0

Симметричная политика 192.168.77.0/24 > 192.168.40.0/24 должна быть также на втором маршрутизаторе

[MR_Kotovski]

korsar182, не помогло(

[korsar182]

MR_Kotovski, приводите конфигурацию обоих роутеров. Киким образом проверяете?

[MR_Kotovski]

korsar182,

spoiler

/ip ipsec peer
add address=22.22.22.22 name=2 send-initial-contact=no
/ip ipsec profile
set [ find default=yes ] dh-group=modp1024 enc-algorithm=3des hash-algorithm=\
md5
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=md5 enc-algorithms=3des
/ip ipsec identity
add peer=2 secret=12345678
/ip ipsec policy
add dst-address=192.168.40.0/24 peer=2-address=192.168.77.0/24 \
tunnel=yes

Проверяю пингом/трассировкой, на первом же хопе обрывается

[korsar182]

/ip route add dst-address=192.168.0.0/16 gateway=bridge1

У Вас пакеты отправляются с адресом WAN интерфейса. Добавьте маршрут выше либо указывайте src-addr при пинге.

[MR_Kotovski]

korsar182, а не кажется ли вам это избыточно отправлять траффик в 16-ю маску?

[korsar182]

MR_Kotovski, ну так добавьте отдельные правила на нужные Вам /24 сети, никто ж не запрещает.

[MR_Kotovski]

korsar182, не помогает(

[korsar182]

MR_Kotovski, значит что-то упустили. Приводите еще раз полный конфиг обоих роутеров.

[MR_Kotovski]

korsar182, на стороне 2-го офиса за микротиком есть dhcp сервер на win server,после добавления маршрута на нем (используя адрес назначения подсеть 1-го роутера и шлюз сам микротик)траффик пошел

Answer 1

[MR_Kotovski]

на стороне 2-го офиса за микротиком есть dhcp сервер на win server,после добавления маршрута на нем (используя адрес назначения подсеть 1-го роутера и шлюз сам микротик)траффик пошел