Вопросы с маршрутизацией на голом ipsec?

Question

[Андрей]

Всем привет, не могу сообразить как решить проблему
Есть vpn соединение на голом ipsec, микротик пассивная сторона, соединение устанавливается и всё хорошо роутится ЗА микротиком, но вот он сам сеть за vpn не видит, в rout list нету интерфейсов ipsec'а. Как его заставить увидеть удалённый шлюз?

Comments

[Сайпутдин Омаров]

IPSec policy должны быть подняты в сторону впн сети.

[Андрей]

Сайпутдин Омаров, они там динамические- присутствуют

Answer 1

[brar]

добавьте правило в нат:

/ip firewall nat \
add action=accept chain=srcnat dst-address=192.168.55.0/24 src-address=192.168.66.0/24 place-before=0

Comments

[Андрей]

не помогло

[brar]

Создайте виртуальный интерфейс для ike:

/interface bridge
add name=bridge-loopback-for-ike2

/ip address
add address=172.16.11.1/24 interface=bridge-loopback-for-ike2

(172.16.11.1/24 - замените на адрес из вашего пула, созданого для ike. (/ip pool print).

Теперь сможете прописать маршрут руками до удаленной подсети:

/ip route 
add distance=1 dst-address=192.168.250.0/24 gateway=bridge-loopback-for-ike2

[Андрей]

armodim, я не особо понимаю причём тут ike?

[brar]

ну назовите интерфейс по другому. В официальном мануале микротика по ipsec были вообще? Там же все очень доходчиво написано.
Также, учитывая, что вопрос вы задали очень скудно, без деталей, и вместо выкладывания конфигов вашего "чистого ipsec", вы ведете дискурс в ключе "почемучки".

[Андрей]

armodim, хорошо развернуто-
ipsec соединение установлено между двумя устройствами, микрот и софтовое решение, всё прекрасно работает и роутится на машинах со всех сторон тоннеля! но на самом микротике сеть за vpn'он(где установлено софтовое решение) не видна
теперь что касается конфигов ipsec, их там как таковых нет, я включил l2tp сервер на микротике и добавил там ipsec, в ipsec-policies пиры с маршрутизацией создаются динамически(скрин прилагаю) при установки соединения

spoiler

по сути настройка только в Profiles и Proposals для установки первой и второй фазы соединения

Answer 2

[nApoBo3]

На чистом ipsec вам нужно строить маршрут через публичные адреса.
На всякий случай запретите между узлами не ipsec трафик, чтобы не пустить все открытым каналом в случае ошибки в настройке ipsec.

Comments

[Андрей]

"На чистом ipsec вам нужно строить маршрут через публичные адреса."
это как, подскажите?

[nApoBo3]

Это достаточно сложно и требует хорошего понимания маршрутизации и работы ipsec.
Рекомендую вам упростить схему и добавить к ipsec туннельный протокол реализующий интерфейс, например ipip или gre.
Тогда ipsec у вас будет защищать именно не защищенный туннельный трафик, а все вокруг вы реализуете уже стандартными методами.

[Андрей]

nApoBo3, нет возможности добавить gre/ipip, на противоположной стороне софт с голым ipsec