Как направить трафик самого Mikrotik через тунель IPSEC?

Question

[hronius]

На микротике поднята клиентская часть тунеля IPSEC. Из сегмента LAN трафик уходит через тоннель IPSEC при помощи src-nat to Address и всё работает. Но трафик самого MIKROTIKa (output) ходит через шлюз по умолчанию. Вопрос, как сделать так, что б микротик ходил так же через тоннель.

Comments

[nApoBo3]

Как он будет ipsec поднимать?

[hronius]

IPSec поднят. в IPSec Policies состояние Active.
Из сети LAN всё приекрасно маршрутизируется в тоннель. А вот к примеру пинги из консоли роутера не идут через тоннель.

[20ivs]

hronius, IPSec поднят потому, что так называемый "трафик самого Mikrotik" ходит не через туннель.

Answer 1

[CityCat4]

У чистого IPSec нет клиентской и серверной частей. Микротик запросто подымает соединение сам :)

Написать политику таким образом, чтобы локальный трафик попадал в туннель.
Трафик в цепочке output проходит стандартный путь: mangle->nat->filter, потом попадает в цепочку postrouting, где проходит mangle->nat, после чего ведро проверяет по таблице политик безопасности IPSec (security policy table) - нужно ли этот пакет шифровать?
Если шифровать нужно, то пакет шифруется в соответствии с таблицей ассоциаций безопасности (security associations table) и зашифрованный пакет снова проходит весь указанный путь

Answer 2

[Денис Сечин]

А смысл? Ну сделай пинг от сурса который в туннель ходит