Как поднять IPSec Site to Site сеть через публичные IP адреса?

Question

[Lasha]

всем привет
я питаюсь поднять IPSec Site to Site сеть через публичные IP адреса.
у меня есть несколько серверов, и две подсети из нескольких адресов

первая подсеть - 11.11.11.2-10/24
сервер 10: биллинг - 11.11.11.3
сервер 11: веб - 11.11.11.4
сервер 12: RouterOS CHR - 11.11.11.5. через этот роутер не связаны никак сервера, он только для IPSec

вторая подсеть - 22.22.22.10-15/24
сервер 20: веб - 22.22.22.10
сервер 21: RouterOS CHR - 22.22.22.11. через этот роутер не связаны никак сервера, он только для IPSec

дело в том что когда IPSec подключение поднимаеться и я вижу в Active Peers и Installed SAs, активные подключения, то сервера не пингуется, но если мы возьмем вместо публичных адресов, локальные адреса типа 10.1.0.0/24 тогда все работает, в Firewall NAT тоже настроил, src=0.0.0.0/0 dst=11.11.11.0/24, и также в другой подсети, но самы сервера при обрашений к разным сервисам, не проходят через IPSec.

может кто сможет помочь, есть идея через роутер, проводить сеть с серверов, чтобы у серверов gateway=11.11.11.5 был, но пока не пробовал

Comments

[nApoBo3]

Нужна схема и политики, так по описанию не понятно, в чем у вас проблема.

Answer 1

[CityCat4]

Роутинга в IPSec нет, его заменяют политики. Как напишете политики, так и будет ходить трафик. Но политика не может включать гейт, потому что через него передаются пакеты, поэтому писать ее придется для каждого IP в отдельности. Хотите избежать такого огорода - используйте RFC1918-адреса для серверов за гейтом.

Comments

[Lasha]

попробовал в политику прописать сам IP адрес сервера, вместо подсети, но не помогло

[CityCat4]

Lasha, Ну политики покажи что ли