Задать вопрос
@GeorgeKoro

Доступ в подсеть за роутером-клиентом IKEv2?

Имею в офисе роутер на ROS7 с поднятым «IKEv2-сервером», к которому подключаются удаленные клиенты.

Аутентификация происходит через RADIUS по логину/паролю, пользователи получают IP, которые для них прописаны в атрибутах RADIUS.

Фактически, всё настроено как в этом разделе вики MikroTik: тут
Ну или в этом гайде: https://habr.com/ru/articles/721062/
IPsec policy настроена как template, для шифрования трафика в туннеле.

Условно, роутер имеет некий статический внешний IP, и подсеть для VPN-клиентов 192.168.88.0/24.

Клиенты получают IP из этой подсети, имеют доступ к внутренним ресурсам, всё работает хорошо.

Возникла задача:
Один из VPN-клиентов, тоже роутер на ROS7, с присвоенным ему адресом, допустим, 192.168.88.11, имеет динамический внешний IP и внутреннюю подсеть за собой, допустим, 192.168.11.0/24. Другим VPN-клиентам и хостам, непосредственно подключенным к основному роутеру нужно получить в неё доступ.

Как на основном роутере-сервере IKEv2 создать маршрут до подсети за роутером-клиентом?

Условно говоря, нужен маршрут на подсеть 192.168.11.0/24 с gateway 192.168.88.11. Как это реализуется средствами IPsec?

6893d2f67d8b0333602937.jpeg

На текущий момент решается костылем - на клиенте 192.168.88.11 прокинуты порты через NAT на внутренние адреса, но часть инфраструктуры так не работает. На всё порты не прокинешь, да и хотелось бы разобраться с правильным подходом, обеспечить прямой доступ в подсеть.
  • Вопрос задан
  • 64 просмотра
Подписаться 1 Средний 1 комментарий
Пригласить эксперта
Ответы на вопрос 2
b1ora
@b1ora Куратор тега MikroTik
Контакты в профиле
Соединить 2 микрота другим протоколом, затем прокинуть маршруты.
Ответ написан
Комментировать
CityCat4
@CityCat4 Куратор тега VPN
Жил да был черный кот за углом...
Как на основном роутере-сервере IKEv2 создать маршрут до подсети за роутером-клиентом?

Гуглить "туннель сеть-сеть". Единственное что мне тут непонятно - как обеспечить связь шаблона политики (который сработает при подклоючении роутера) и собственно политики, которая и должна будет обьяснить микротику "все пакеты в такую-то сеть паковать в ESP и отправлять туда-то".
При статической адресации это труда не составляет.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы