Как настроить маршрутизацию?

Question

[Игорь Кривинцов]

Здравствуйте, прошу помощи в вопросе с маршрутизацией,

Офис 1
Шлюз микротик, за ним есть 2 сети 172.16.3.0/24 и 172.16.2.0
Офис 2
Kerio Control, за ним есть сеть 192.168.1.0/24

Создал Ipsec туннель между офисом 1 и 2, пинг ходит между сетями 192.168.1.0/24 и 172.16.3.0/24 но нет пинга до сети 172.16.2.0... правила в Firewall настроил на то чтобы трафик не маскадился и поставил это правило выше правила маскарада, видимо что то не до настроил, подскажите что еще необходимо?
Cхема сети

Kerio Control

Firewall

ipsec

Route list


installed

Фильтры


Тик


Полный конфиг pastebin.com/0BQ0h6JR

Comments

[ТыжСисАдмин]

Выкладывайте сразу список роутов как с керио шлюза так и микротика.

[Игорь Кривинцов]

Алексей POS_troi: Поправил

[ТыжСисАдмин]

Игорь Кривинцов: На микротике не вижу вообще маршрута до 192.168.0.0/24
VPN коннекты лучше вообще вынести в отдельную подсеть, к примеру 172.16.255.0/24 - что-бе адреса линков не ересекались с используемыми сетями.

[ТыжСисАдмин]

если керио умеет OSPF маршрутизацию то рекомендую почитать и применить - много головняка снимет с прописывание маршрутов. (микротик точно умеет)

[Игорь Кривинцов]

Алексей POS_troi:Маршрута нет но трафик ходит

[Александр Романов]

Алексей POS_troi: При использовании ipsec не нужны маршруты, если это site-to-site, пересылка определяется политикой. Насчёт впн-коннектов - полностью согласен. Нужно выносить за пределы существующих сетей

[Клёвый Админ]

Александр Романов: поправка, в туннельном режиме (как в subj), в транспортном режиме - маршруты для целевых сетей создать потребуется.

Answer 1

[Клёвый Админ]

Всё выглядит правильно, не вижу фильтры тут (керио) и там (микротик), возможно в них проблема.

Так же взглянуть бы на Installed SA у тика, по счётчикам у всех туннелей станет ясно как они работают (симметрично или нет).

Ну и чтобы два раза не вставать - export'ните всё на pastebin.com (почистив ваши "белые данные") с тика.
По Керио - не хватает скринов правил файрвола.

Comments

[Игорь Кривинцов]

Добавил информацию

[Клёвый Админ]

Игорь Кривинцов: на пастебине не вижу правил
/ip firewall nat
add action=accept chain=srcnat dst-address=192.168.1.0/24 src-address=\
172.16.3.0/24

[Клёвый Админ]

add action=accept chain=srcnat src-address=192.168.1.0/24 dst-address=\
172.16.3.0/24
add action=accept chain=srcnat src-address=192.168.1.0/24 dst-address=\
172.16.2.0/24

[Клёвый Админ]

и так далее. Лучше создать адрес лист и одно правило для этого адрес листа

[Игорь Кривинцов]

Евгений Быченко: Добавил, но безрезультатно, пинг идет только с 172.16.3.0/24 до 192.168.1.0/24

[Клёвый Админ]

Игорь Кривинцов: такс, если это не помогло, нужно копать дальше =) Так как моего внимания нехватило найти ошибку в конфигах, предлагаю продолжить локализацию проблемы. Для начала, попробуйте отключить сеть 3.0 на керио и проверить заработает ли 2.0, возможно проблема там. Дальше нужно сравнить все настройки для обоих сетей и трасировать с обоих сторон. Понять где рвётся трасерт.

[Игорь Кривинцов]

Евгений Быченко: При отключении 3 подсети, становится доступна 2 подсеть.. Tracert никакой информации не дает, на первых шагах сразу ставит **** о том что узел не доступен, что со стороны Тика что с Kerio.

[Клёвый Админ]

Игорь Кривинцов: если работает только одна сеть, из двух, скорее всего проблема с генерацией IPSec правил, нужно бы их проверить со стороны тика. Ну или сделать со стороны керио общее правило для подсети большего размера, например 172.16.0.0/16 и попробовать так (само собой если это не конфликтует с картой сети)

[Игорь Кривинцов]

Евгений Быченко: Если поставить сеть 172.16.0.0/16 то трафик пошел, как с сети 172.16.2.0/24 так и с сети 172.16.3.0/24

[Клёвый Админ]

Игорь Кривинцов: профит?