На другой стороне поднят IPSec VPN на Forcepoint (бывший McAffee Firewall). За ним несколько подсетей, которые должны быть через этот тоннель доступны. На Forcepoing одной строчкой в конфиг пихают несколько подсетей в тоннель На Микротике не понял, как добавить в одну Policy несколько подсетей. Попробовал создать две разных Policy. Соединение сразу устанавливается, но доступна только одна из подсетей. Отключаешь вторую Policy - становится доступна первая подсеть. Включаешь обе - доступна только одна. Как запустить в один тоннель несколько подсетей? Разные Proposal для каждой Policy создавал - аналогичная проблема. /ip ipsec proposal set [ find default=yes ] enc-algorithms=aes-256-cbc,aes-256-ctr,aes-256-gcm,aes-128-cbc,aes-128-ctr,aes-128-gcm lifetime=5m /ip ipsec peer add address=1.1.1.1/32 dh-group=modp1024 enc-algorithm=aes-256,aes-128 hash-algorithm=sha256 lifetime=10m secret=********* /ip ipsec policy set 0 disabled=yes add dst-address=172.30.0.0/16 sa-dst-address=1.1.1.1 sa-src-address=2.2.2.2 src-address=192.168.110.0/24 tunnel=yes add dst-address=172.20.50.0/24 sa-dst-address=1.1.1.1 sa-src-address=2.2.2.2 src-address=192.168.110.0/24 tunnel=yes set 2 disabled=yes
Упс... Стоп, кажется тут в другом трабл - пока я пытался решить проблему, админ другой стороны выключил хост, который использовался для проверки связи. Вроде бы обе подсети теперь видны после изменения на unique. Попрошу ту сторону потестировать обратный пинг в течение дня. Спасибо!
Да, все верно - после смены IPSec - Policy - Level на unique все заработало - цепляется сразу несколько подсетей Благодарю за помощь.
Добрый день! Аналогичная проблема. Микротик, на другой стороне Juniper. За Juniper-ом несколько подсетей. Создал две Policy. По отдельности работают, вместе нет. (PH2 State: no phase 2) /ip ipsec policy print src-address=10.77.246.0/24 src-port=any dst-address=10.77.252.0/22 dst-port=any protocol=all action=encrypt level=unique ipsec-protocols=esp tunnel=yes sa-src-address=ХХ.ХХ.ХХ.ХХ sa-dst-address=ХХ.ХХ.ХХ.ХХ proposal=test ph2-count=1 src-address=10.77.246.0/24 src-port=any dst-address=192.168.10.0/23 dst-port=any protocol=all action=encrypt level=unique ipsec-protocols=esp tunnel=yes sa-src-address=ХХ.ХХ.ХХ.ХХ sa-dst-address=ХХ.ХХ.ХХ.ХХ proposal=test ph2-count=0