@ljybar

Как построить IPSec VPN с одним пиром в разные подсети?

Добрый день.
Без лишних предисловий перейду к проблеме. Имеется Микротик с белым адресом 1.11.111.1 и заказчик с белым адресом 2.22.222.2.
Изначально нужно было построить IPSec VPN по имеющимся данным.
в IP -> IPSec -> создал пира "own" с необходимыми настройками, создал в proposal "zakaz" указав нужные алгоритмы, и policies создал новое полиси "xxx"
где в General
Src. Address 172.31.25.241 (это вроде как машина шлюз на стороне заказчика)
Dst. Address 172.20.112.100 (конечная машина, куда мне нужно будетподключатся)
Dst/ Port 3591
Protocol tcp
а в Action
Action encrypt
Level Require
IPSec protocol esp
tunnel on
SA Src. Address 1.11.111.1
SA Dst. Address 2.22.222.2
Proposal zakaz
Priority 0

После этого создал на фаере NAT правило
General
Chain src-nat
src. Address (моя локальная сеть)
dst. Addres 172.20.112.100

Action netmap
To Address 172.31.25.241
(правила в FiltreRule
/ip firewall filter
add chain=input action=accept protocol=udp port=1701,500,4500
add chain=input action=accept protocol=ipsec-esp)
На этом настройка туннеля закончена
При инициализации подключения на 172.20.112.100 по прорту 3591 хостов из моей внутренней подсети строится тунель и в Installed SAs я могу наблюдать свою пару, а так же в Remote Peers вижу подключение.

Проблема появилась, когда мне нужно было проложить еще один тунель к этому же заказчику по тому же белому адресу 2.22.222.2 через тот же шлюз 172.31.25.241 но уже к другой машине, в другой подсети 172.20.59.132

Так так пир тот же, то нового не создаю. proposal тоже такой же, по этому новый тоже не создаю.
Так как в полиси "ххх" добавить ЕЩЕ ОДИН Src. Address нельзя, то я создаю еще один полиси "ууу"
абсолютно такой же, как и первый, только в Src. Address = 172.20.59.132.
и создаю идентичное NAT правило на фаере, только с новым dst. Addres:

General
Chain src-nat
src. Address (моя локальная сеть)
dst. Addres 172.20.59.132

Action netmap
To Address 172.31.25.241

По хорошому у меня в Installed SAs должна появится еще одна пара, и всё должно работать.
Но по факту, при чистом Installed SAs листе (его можно чистить кнопкой Flush) у меня работает только один туннель из двух, при том тот, к которому первому инициализируется подключение с хостов моей локальной сети. то есть если мне нужно подключится к 172.20.59.132, то я делаю Flush на микротике, и с локальной машины своей подсети сразу иницилизирую подключение 172.20.59.132 и всё работает (но в данный момент нет доступа к 172.20.112.100).
Еслимне нужен доступ к 172.20.112.100, то я делаю Flush в IP-IPSec-Installed SAs, и пока там чистый лист инициализирую подключение к 172.20.112.100. И тоже всё работает, но при этом недоступен хост 172.20.59.132.

Подскажите, пожалуйста, как в моём случае правильно организовать туннель, чтоб я мог одновременно работать с обоими машинами.

p.s. На хабре пишут, что нужно удалённые машины (172.20.59.132 и 172.20.112.100) обьеденить в одну подсеть и VPN строить к шлюзу этой подсети, но в моём случает от заказчика я этого требовать не могу
  • Вопрос задан
  • 1607 просмотров
Пригласить эксперта
Ответы на вопрос 1
CityCat4
@CityCat4 Куратор тега VPN
//COPY01 EXEC PGM=IEBGENER

Но по факту, при чистом Installed SAs листе у меня работает только один туннель из двух...


Разумеется, поскольку в записи SA в том виде, как она хранится в ядре - одно поле под индекс записи SP. Поэтому SA можно связать только с одной политикой. А раз так - значит надо построить политику так, чтобы нужная подсеть покрывалась одной маской. Например, указать в качестве dst-address 172.20.0.0/16 - тогда под действие этой политики будут попадать пакеты на оба хоста.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы