Mikrotik, являющийся шлюзом для локалки 192.168.0.0/24, с настроенным и работающим IKEv2 по сертификатам для подключающихся извне сотрудников. Всё работает.
Конфигурация IPSEC/ip ipsec mode-config
add address-pool=ike2-pool address-prefix-length=32 name=ike2-conf split-dns=192.168.0.1 split-include=192.168.0.0/24 system-dns=no
/ip ipsec policy group
add name=ike2-policies
/ip ipsec profile
add dh-group=ecp521,modp2048,modp1024 enc-algorithm=aes-256 hash-algorithm=sha256 name=ike2
/ip ipsec peer
add exchange-mode=ike2 name=ike2 passive=yes profile=ike2
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=3des add enc-algorithms=aes-256-cbc name=ike2 pfs-group=none
/ip ipsec identity
add auth-method=digital-signature certificate=vpn.server generate-policy=port-strict mode-config=ike2-conf peer=ike2 policy-template-group=ike2-policies
/ip ipsec policy
add dst-address=192.168.77.0/24 group=ike2-policies proposal=ike2 src-address=0.0.0.0/0 template=yes
Появилась необходимость добавить внутрь тоннеля подсеть видеонаблюдения 192.168.40.0/29 находящуюся в отдельном VLAN.
Сделал
split-include=192.168.0.0/24,192.168.40.0/29 - клиенты не видят 192.168.40.0/29
Меняем местами
split-include=192.168.40.0/29,192.168.0.0/24 - клиенты видят 192.168.40.0/29, но не видят 0.0/24. Получается на клиенте не работает split-include.
Здесь тот же вопрос по сути, но без решения.
Средний
Простой
Простой
