Как передать трафик между сетями?

Question

[Кирилл]

Есть Mikrotik. На нём организован PPTP-сервер и IPSec-туннель в другой город (тоже Mikrotik).

Есть подсеть 192.168.100.0/24, которая предназначена для PPTP-клиентов (VPN).

Есть офисная подсеть 192.168.5.0/24. И есть подсеть офиса в другом городе 10.10.5.0/24.

А теперь вопросы..

- - -

Когда я пингую из подсети 192.168.100.0/24 компьютеры, которые в подсети 192.168.5.0/24, всё работает, потому что всё стандартно.

Но когда я пингую из подсети 192.168.100.0/24 компьютеры подсети другого города 10.10.5.0/24, пинг не долетает.

- - -

Иными словами, нужно, чтобы пакеты данных могли свободно проходить по схеме:

(192.168.100.0/24) <———> (192.168.5.0/24) <———> (10.10.5.0/24)

Пакеты из подсети 192.168.5.0/24 в подсеть 10.10.5.0/24 и обратно курсируют без проблем, потому что настроен туннель.

Answer 1

[Wexter]

обратные маршруты? - не, не слышал
source nat? - не, не слышал
изучить как работает маршрутизация? - да зачем, на тостере сейчас все кинуться помогать и всё сделают за меня

Answer 2

[Виктор Бельский]

Вот легкая расшифровка того о чем вам указали выше =)
У вас филиал 10.10.5.0/24 явно не знает о существовании 192.168.100.0/24, нужно ему об этом рассказать. Либо прикидываться 192.168.5.0/24 при передаче из 192.168.100.0/24 в 10.10.5.0/24.

Comments

[Кирилл]

В том-то и дело, что я делаю маскарад для VPN-подсети (192.168.100.0/24). Все VPN-клиенты видны офису с подсеткой 192.168.5.0/24 как микротик.

Есть рекомендации?

[Виктор Бельский]

А как и где вы делаете маскарад? Дайте вывод export для nat

[Кирилл]

Делаю в настройках фаерволла вкладки NAT.

Вывод:
;;; pptp_to_mikrotik
chain=srcnat action=masquerade src-address=192.168.100.0/24

[Виктор Бельский]

А в connections на микротике 192.168.5.0 есть упоминания о пинге в 10.10.5.0?

[Wexter]

Кирилл: а шлюз в 10.10.5.0/24 знает маршрут в сеть 192.168.5.0/24?

[Виктор Бельский]

Wexter: Там будет только ipsec polices, в таблице маршрутизации ничего не будет светится и нужно будет дополнять настройки ipsec. Хотя в идеале нужно настроить GRE over IPSec и тогда можно было бы не извращаться и оперировать нормальным интерфейсом.

[Wexter]

Виктор Бельский: а есть что-нибудь почитать про этот самый ipsec? я так и не смог понять какой магией оно работает

[Виктор Бельский]

Wexter: Ну у микротиков ipsec polices это как еще одна таблица маршрутизации, вначале просматривается основная таблица, а потом заглядывают в ipsec и если в политиках есть совпадение, то трафик шифруется.
Можно глянуть диаграмму Packet Flow, ну и глянуть тут