cardinaltm
@cardinaltm

Как поднять IPSec Site to Site сеть через публичные IP адреса?

всем привет
я питаюсь поднять IPSec Site to Site сеть через публичные IP адреса.
у меня есть несколько серверов, и две подсети из нескольких адресов

первая подсеть - 11.11.11.2-10/24
сервер 10: биллинг - 11.11.11.3
сервер 11: веб - 11.11.11.4
сервер 12: RouterOS CHR - 11.11.11.5. через этот роутер не связаны никак сервера, он только для IPSec

вторая подсеть - 22.22.22.10-15/24
сервер 20: веб - 22.22.22.10
сервер 21: RouterOS CHR - 22.22.22.11. через этот роутер не связаны никак сервера, он только для IPSec

дело в том что когда IPSec подключение поднимаеться и я вижу в Active Peers и Installed SAs, активные подключения, то сервера не пингуется, но если мы возьмем вместо публичных адресов, локальные адреса типа 10.1.0.0/24 тогда все работает, в Firewall NAT тоже настроил, src=0.0.0.0/0 dst=11.11.11.0/24, и также в другой подсети, но самы сервера при обрашений к разным сервисам, не проходят через IPSec.

может кто сможет помочь, есть идея через роутер, проводить сеть с серверов, чтобы у серверов gateway=11.11.11.5 был, но пока не пробовал

5f5ea23686e2e596037939.png
  • Вопрос задан
  • 129 просмотров
Пригласить эксперта
Ответы на вопрос 1
CityCat4
@CityCat4 Куратор тега VPN
Если я чешу в затылке - не беда!
Роутинга в IPSec нет, его заменяют политики. Как напишете политики, так и будет ходить трафик. Но политика не может включать гейт, потому что через него передаются пакеты, поэтому писать ее придется для каждого IP в отдельности. Хотите избежать такого огорода - используйте RFC1918-адреса для серверов за гейтом.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы