Тонкая настройка ipsec туннеля. Как вывернуться с NAT? Дано
1. Подконтрольный мне mikrotik c внешним статическим адресом.
2. Две серых сети за ним 192.168.110.0/24 и 192.168.111.0/24.
3. Некое устройство мне не подкотнрольное, настройки я на нем ни менять, ни смотреть не могу, за ним серая сеть 10.10.10.0/24. Есть внешний статический адрес.
Сейчас работает ipsec туннель и трафик с 110 сети успешно достигает 10.10.10.0/24. А вот с 111 трафик в туннель улетает и там успешно дропается. src-address=192.168.110.0/23 src-port=any dst-address=10.10.10.0/24 dst-port=any protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes sa-src-address=0.0.0.0 sa-dst-address=8.8.8.8 proposal=eze-proposal ph2-count=1
Я сделал предположение, что не прописана policy с той стороны, следуя которой трафик из до 111 должен улетать в туннель.
И пришла мне идея попытаться NAT'ить трафик из 111 сети в рандомный адрес 110, который я хочу приколотить к микротику.
Решить этот вопрос в лоб не удается, гугль по ключевикам ipsec nat c сочетании с любыми другими предлагает мне решения вопросов преодаления NAT и все в этом ключе.
Подскажите правильные ключевики или пните в нужном направлении.
Тонкая настройка ipsec туннеля. Как вывернуться с NAT? Дано
1. Подконтрольный мне mikrotik c внешним статическим адресом.
2. Две серых сети за ним 192.168.110.0/24 и 192.168.111.0/24.
3. Некое устройство мне не подкотнрольное, настройки я на нем ни менять, ни смотреть не могу, за ним серая сеть 10.10.10.0/24. Есть внешний статический адрес.
Сейчас работает ipsec туннель и трафик с 110 сети успешно достигает 10.10.10.0/24. А вот с 111 трафик в туннель улетает и там успешно дропается. src-address=192.168.110.0/23 src-port=any dst-address=10.10.10.0/24 dst-port=any protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes sa-src-address=0.0.0.0 sa-dst-address=8.8.8.8 proposal=eze-proposal ph2-count=1
Я сделал предположение, что не прописана policy с той стороны, следуя которой трафик из до 111 должен улетать в туннель.
И пришла мне идея попытаться NAT'ить трафик из 111 сети в рандомный адрес 110, который я хочу приколотить к микротику.
Решить этот вопрос в лоб не удается, гугль по ключевикам ipsec nat c сочетании с любыми другими предлагает мне решения вопросов преодаления NAT и все в этом ключе.
Подскажите правильные ключевики или пните в нужном направлении.
1. Подконтрольный мне mikrotik c внешним статическим адресом.
2. Две серых сети за ним 192.168.110.0/24 и 192.168.111.0/24.
3. Некое устройство мне не подкотнрольное, настройки я на нем ни менять, ни смотреть не могу, за ним серая сеть 10.10.10.0/24. Есть внешний статический адрес.
Сейчас работает ipsec туннель и трафик с 110 сети успешно достигает 10.10.10.0/24. А вот с 111 трафик в туннель улетает и там успешно дропается. src-address=192.168.110.0/23 src-port=any dst-address=10.10.10.0/24 dst-port=any protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes sa-src-address=0.0.0.0 sa-dst-address=8.8.8.8 proposal=eze-proposal ph2-count=1
Я сделал предположение, что не прописана policy с той стороны, следуя которой трафик из до 111 должен улетать в туннель.
И пришла мне идея попытаться NAT'ить трафик из 111 сети в рандомный адрес 110, который я хочу приколотить к микротику.
Решить этот вопрос в лоб не удается, гугль по ключевикам ipsec nat c сочетании с любыми другими предлагает мне решения вопросов преодаления NAT и все в этом ключе.
Подскажите правильные ключевики или пните в нужном направлении.
Не можешь разобраться в этой теме?
Обратись за помощью к экспертам
Гарантированные бесплатные доработки в течение 1 года
Быстрое выполнение от 2 часов
Проверка работы на плагиат
Поможем написать учебную работу
Для решения данной проблемы с NAT и настройкой IPsec туннеля вам может помочь использование функции Source NAT на вашем Mikrotik. Вы можете настроить Source NAT, чтобы трафик из сети 192.168.111.0/24 был NAT'ен на внешний статический адрес Mikrotik, прежде чем покинуть сеть и отправиться в IPsec туннель.
Пример настройки Source NAT на Mikrotik:
/ip firewall nat add chain=srcnat src-address=192.168.111.0/24 action=src-nat to-address=ваш_внешний_статический_адрес
Таким образом, трафик из сети 192.168.111.0/24 будет NAT'ен на ваш внешний статический адрес, и после этого пойдет в IPsec туннель. После этой настройки, устройство с адресом 10.10.10.0/24 должно успешно получать трафик и из сети 192.168.111.0/24.
Надеюсь, это поможет вам решить проблему с NAT и настройкой IPsec туннеля.