Тонкая настройка ipsec туннеля. Как вывернуться с NAT?

Дано
1. Подконтрольный мне mikrotik c внешним статическим адресом.
2. Две серых сети за ним 192.168.110.0/24 и 192.168.111.0/24.
3. Некое устройство мне не подкотнрольное, настройки я на нем ни менять, ни смотреть не могу, за ним серая сеть 10.10.10.0/24. Есть внешний статический адрес.
Сейчас работает ipsec туннель и трафик с 110 сети успешно достигает 10.10.10.0/24. А вот с 111 трафик в туннель улетает и там успешно дропается.
src-address=192.168.110.0/23 src-port=any dst-address=10.10.10.0/24 dst-port=any protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes sa-src-address=0.0.0.0 sa-dst-address=8.8.8.8 proposal=eze-proposal ph2-count=1

Я сделал предположение, что не прописана policy с той стороны, следуя которой трафик из до 111 должен улетать в туннель.
И пришла мне идея попытаться NAT'ить трафик из 111 сети в рандомный адрес 110, который я хочу приколотить к микротику.
Решить этот вопрос в лоб не удается, гугль по ключевикам ipsec nat c сочетании с любыми другими предлагает мне решения вопросов преодаления NAT и все в этом ключе.
Подскажите правильные ключевики или пните в нужном направлении.
  • Вопрос задан
  • 775 просмотров
Решения вопроса 1
poisons
@poisons Автор вопроса
А ларчик то просто открывался.
Добавляем на подконтрольный маршрутизатор еще один серый ip.
add address=192.168.110.2/24 interface= network=192.168.110.0

И пишем 2 правила(второе уже было, нужно что бы трафик предназначенный для туннеля не NAT'ился и попадал под policy)
/ip firewall nat
add action=src-nat chain=srcnat dst-address=10.10.10.0/24 src-address=192.168.111.0/24 to-addresses=192.168.110.2
add action=accept chain=srcnat dst-address=10.10.10.0/24 src-address=192.168.110.0/23 to-addresses=192.168.110.1


Короче как то так.
Ответ написан
Пригласить эксперта
Ответы на вопрос 1
NAT и ipsec несовместимы. В смысле ipsec за NAT.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы