Маршрутизация в туннеле IPSec Mikrotik?

Question

[tarelko]

День добрый! И-за фрагментации не получилось подружить Kerio c МТ. Может из-за того что керио за натом. Ну да ладно.

Создал туннель через микротиков и соответственно вижу сети за ними. Но не вижу сеть за прокси-шлюзом керио, котроый находится в одной сети.

Топология

192.168.88.0/24 - ipsec - 192.168.1.0/24 - 192.168.1.2 Шлюз Керио - 192.168.2.0/24

Правила ip firewall nat add chain=srcnat dst-address=192.168.88.0/24 src-address=192.168.2.0/24 и с другой стороны наоборот увы не помогают.

Нашел выход в ip туннеле с ipsec - настроил маршруты - все работает, но как то криво - хочет работает, хочет нет.

Есть ли решение через ipsec туннель?

Comments

[Максим Гришин]

Керио натит свою .2.0/24? Если да, и не увидите. Иначе проверяйте маршруты, Керио должна знать, где находится .88, микротик - где находится .2. И ещё, между какими объектами создан ipsec-туннель? Если между Керио и микротиком, то тоже проверяйте, чтобы пакеты между сетями не натились, с обеих сторон.

Answer 1

[Виктор Бельский]

Поднимите GRE over IPSec между микротиками и тогда сможете маршруты нормально указывать и динамическую маршрутизацию прикрутить (это по желанию).
Потом добавите на первом микротике роут в сеть 192.168.2.0/24 через второй микротик, а на втором добавите роут через керио, ну и замаскаркдите этот трафик, чтобы керио ответы слал назад правильно (либо на керио добавите роут в сеть 192.168.88.0/24 через второй мтик)