@armodim

Как соединить локальные сети двух микротиков через StrongSwan сервер IKEv2/IPsec?

Сервер Strongswan. Белый ip-адрес.

Два микротика от разных провов. У обоих серый динамический ip-адрес, за NAT-ом провайдера.
LAN за Микротиком А - 192.168.1.0/24
LAN за Микротиком B - 192.168.77.0/24

Микротики инициируют IPsec-туннель до свана. Туннели поднимаются.
Микротикам, в соотвествии с rightsourceip=10.22.10.0/24 (в ipsec.conf свана), присваиваются виртуальные адреса из этой подсети на WAN-интерфейсе:

Микротик А - 10.22.10.1 (ether1)
Микротик B - 10.22.10.2 (ether1)

Хосты из обеих LAN видят дальний от себя Микротик по виртуальному адресу туннеля (тот что из подсети 10.22.10.0)
5de0fca7bdac5262478281.jpeg

То есть:
-хосты из 192.168.77.0.24 пингуют адрес 10.22.10.1.
-хосты из 192.168.1.0.24 пингуют адрес 10.22.10.2.

Каким образом без использования NAT соединить локальные сети микротиков?

Сейчас в сване и leftsubnet и rightsubnet выставлены как 0.0.0.0/0.
Изменение этих параметров на 192.168.77.0 и 192.168.1.0 в разиличных вариациях не приводит к соединению сетей, несмотря на то, что соотвествующие политики динамически создаются на микротиках.
  • Вопрос задан
  • 124 просмотра
Пригласить эксперта
Ответы на вопрос 2
martin74ua
@martin74ua Куратор тега Linux
Linux administrator
роутинг на микротиках прописан?
Ответ написан
CityCat4
@CityCat4
У тролля даже мозги - и то каменные!
Тут надо немного поработать головой... Маршрутизация, что в микротике, что в шване - она будет политиками делаться, от политик и нужно плясать, учитывая то, что политика воспринимается буквально.
Как я себе это представляю:
Пакет, например от 192.168.1.1 на 192.168.77.1 приходит на микротик А. Политика предписывает этот пакет зашифровать и упаковать в ESP, где IP src 10.22.10.1, IP dst 10.22.10.2. Микротик А должен знать, как доставить этот пакет, и он знает.
Пакет пришел на швана. Шван расшифровал его и видит пакет от 192.168.1.1 на 192.168.77.1. Он должен знать, что с ним делать :) иначе фиганет его на default route. То есть у швана должна быть политика, говорящая, что ему делать с пакетом от 192.168.1.1 на 192.168.77.1, а ее похоже нет. Тогда он поступит в соответствии с политикой.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы