Как соединить локальные сети двух микротиков через StrongSwan сервер IKEv2/IPsec?

Question

[brar]

Сервер Strongswan. Белый ip-адрес.

Два микротика от разных провов. У обоих серый динамический ip-адрес, за NAT-ом провайдера.
LAN за Микротиком А - 192.168.1.0/24
LAN за Микротиком B - 192.168.77.0/24

Микротики инициируют IPsec-туннель до свана. Туннели поднимаются.
Микротикам, в соотвествии с rightsourceip=10.22.10.0/24 (в ipsec.conf свана), присваиваются виртуальные адреса из этой подсети на WAN-интерфейсе:

Микротик А - 10.22.10.1 (ether1)
Микротик B - 10.22.10.2 (ether1)

Хосты из обеих LAN видят дальний от себя Микротик по виртуальному адресу туннеля (тот что из подсети 10.22.10.0)


То есть:
-хосты из 192.168.77.0.24 пингуют адрес 10.22.10.1.
-хосты из 192.168.1.0.24 пингуют адрес 10.22.10.2.

Каким образом без использования NAT соединить локальные сети микротиков?

Сейчас в сване и leftsubnet и rightsubnet выставлены как 0.0.0.0/0.
Изменение этих параметров на 192.168.77.0 и 192.168.1.0 в разиличных вариациях не приводит к соединению сетей, несмотря на то, что соотвествующие политики динамически создаются на микротиках.

Answer 1

[Руслан Федосеев]

роутинг на микротиках прописан?

Comments

[brar]

Его не особо возможно прописать, так как нет сетевого интерфейса, через который можно было бы это сделать, как делается в привычном Routing Based VPN.

10.141.170.32/16 - динимический пдрес от провайдера.
10.22.10.2/24 - динамический адрес от свана.
Оба на интерфейсе ether1.
А у свана не создается никакого интерфейса из 10.22.10.0, чтобы можно было указать этот адрес на микротике в качестве шлюза.

[vreitech]

armodim, а на самих машинах указан маршрут, что для доступа к 192.168.77.0/24 шлюзом является 10.22.10.2, а к 192.168.1.0/24 - 10.22.10.1?

[brar]

vreitech, конечно же нет.

[vreitech]

armodim, вообще надо бы. а то у вас пакеты, которые по вашей задумке должны ходить из одной сети в другую, даже до первого микротика в своей цепочке не доходят.
человек бы и рад уехать на автобусе в другой город, но даже не знает, где тут у него автовокзал.

[brar]

vreitech, не вводите в заблуждение будущих читателей этого вопроса.
Всё должно реализовываться на роутерах, и в таблицу маршрутизации в хостах, в данной схеме, никто не должен лезть.

[vreitech]

armodim, хотя бы дефолтный маршрут хостам на микротики пропишите, не поленитесь - уж о большем я вас и не прошу.

Answer 2

[CityCat4]

Тут надо немного поработать головой... Маршрутизация, что в микротике, что в шване - она будет политиками делаться, от политик и нужно плясать, учитывая то, что политика воспринимается буквально.
Как я себе это представляю:
Пакет, например от 192.168.1.1 на 192.168.77.1 приходит на микротик А. Политика предписывает этот пакет зашифровать и упаковать в ESP, где IP src 10.22.10.1, IP dst 10.22.10.2. Микротик А должен знать, как доставить этот пакет, и он знает.
Пакет пришел на швана. Шван расшифровал его и видит пакет от 192.168.1.1 на 192.168.77.1. Он должен знать, что с ним делать :) иначе фиганет его на default route. То есть у швана должна быть политика, говорящая, что ему делать с пакетом от 192.168.1.1 на 192.168.77.1, а ее похоже нет. Тогда он поступит в соответствии с политикой.