Что нужно сделать, чтобы CISCO увидела подсеть?

Question

[Кирилл]

Между Микротиком и CISCO поднят IPSec-тоннель. Подсеть на стороне Микротика 192.168.100.0/24, а подсеть на стороне CISCO 192.168.200.0/24. Обе сети отлично доступны друг другу и проблем нет, все друг друга могут пинговать.

Со стороны Микротика есть ещё одна подсеть 192.168.77.0/24. Как сделать, чтобы эта подсеть через поднятый IPSec-тоннель стала видна для CISCO? То есть, чтобы люди со стороны CISCO могли открывать и пинговать компьютеры подсети 192.168.77.0/24?

На Микротике прописал только ещё одно дополнительное policy:

add dst-address=192.168.200.0/24 level=unique priority=1 proposal=my_proposal \
sa-dst-address=xxx.xxx.xxx.xxx sa-src-address=yyy.yyy.yyy.yyy \
src-address=192.168.77.0/24 tunnel=yes

Со стороны CISCO прописал только статический маршрут, указав в качестве удалённого шлюза Микротик (192.168.77.254)

route LAN 192.168.77.0 255.255.255.0 192.168.77.254

Но пока не получается. Что нужно ещё прописать со стороны CISCO / Mikrotik, чтобы через один IPSec-тоннель Циске были видны сразу две подсети (192.168.100.0/24 и 192.168.77.0/24) ? Спасибо!

Answer 1

[Dmitry Tallmange]

Адрес шлюза на циске должен быть тот же, что и для подсети 192.168.100.0/24. У вас же адресом шлюза выступает адрес 192.168.77.254, циска про него ничего не знает, ни на одном из ее интерфейсов нет адреса в этой подсети.

Comments

[Кирилл]

Указал в качестве шлюза 192.168.100.254, ничего не изменилось

[Dmitry Tallmange]

Кирилл: 192.168.100.254 тоже не подходит, для циски это удаленный адрес. Какие адреса на концах ip-тоннеля?

[Кирилл]

Dmitry Tallmange: белые, уникальные (интернетовские) которые?

[Dmitry Tallmange]

Кирилл:
(Mikrotik) 192.168.100.0/24 === 1.2.3.4 <== ip tunnel ==> 4.5.6.7 == 192.168.200.0/24 (Cisco)
Адрес шлюза для циски всегда 1.2.3.4, для микротика - 4.5.6.7

[Кирилл]

Dmitry Tallmange: указал, не работает

[Dmitry Tallmange]

Кирилл: уберите шифрование, чтобы проверить без него. Возможно политика неверно отрабатывает