Несколько тунней IPSEC GRE + OSPF + NAT

Тема в разделе "Маршрутизация", создана пользователем Max, 29 окт 2017.

  1. NAT работает )
     
  2. Что за адрес у вас 10.0.0.1 ?
     
  3. Max

    Max Участник

    Адрес GRE tunnel со стороны Cloud
    Со стороны Office 10.0.0.2
     
  4. у меня на тестовом макете при типе тунyеля l2tp NAT менял адрес отправителя на внутренний адрес маршрутизатора на который я отправлял пакет и поэтому пинг начинал ходить. Я по тестирую GRE отпишусь какой адрес, возможно это связанно с этим.
     
  5. Max

    Max Участник

    Спасибо!
     
  6. Max

    Max Участник

    Получилось что-нибудь?
     
  7. да получилось, у меня при GRE при включении NAT, адрес менялся на внутренний адрес маршрутизатора, не адрес туннеля... Возможно это связанно с OSPF.
    Я бы пошел следующим путем. Для конкретного филиала отключил бы OSPF, настроил ручками маршруты, проверил. Далее если все ок, думал бы в сторону подкрутки OSPF, если нет тогда в сторону корректности настройки NAT на роутерах.
     
  8. Max

    Max Участник

    Понял, спасибо
    На выходных попробую
     
  9. Max

    Max Участник

    Отключил все туннели, оставил один между облаком и домом.
    Отключил ospf, прописал маршруты - не работает.
    Видимо я не понимаю как правильно настроить NAT.
     
  10. дайте вывод IP address
     
  11. Max

    Max Участник

    [max@Office] > /ip address print
    Flags: X - disabled, I - invalid, D - dynamic
    # ADDRESS NETWORK INTERFACE
    0 ;;; WAN
    xxx.xxx.224.46/27 xxx.xxx.224.32 WAN
    1 ;;; LAN
    172.16.1.254/24 172.16.1.0 LAN
    2 ;;; Cloud
    10.0.0.2/30 10.0.0.0 Cloud
    3 ;;; Sklad
    10.20.2.1/30 10.20.2.0 Sklad
    4 ;;; Clinic
    10.20.3.1/30 10.20.3.0 Clinic
    5 ;;; Odessa
    10.20.4.1/30 10.20.4.0 Odessa
    6 ;;; Home
    10.20.100.1/30 10.20.100.0 Home
    [max@Office] >
     
  12. дайте правила NAT на со но обоих микротиках
     
  13. Max

    Max Участник

    Со стороны офиса

    [max@Office] > ip firewall nat print
    Flags: X - disabled, I - invalid, D - dynamic
    0 ;;; Cloud
    chain=srcnat action=accept src-address=172.16.1.0/24 dst-address=172.16.0.0/24 log=no log-prefix=""
    1 ;;; Sklad
    chain=srcnat action=accept src-address=172.16.1.0/24 dst-address=172.16.2.0/24 log=no log-prefix=""
    2 ;;; Clinic
    chain=srcnat action=accept src-address=172.16.1.0/24 dst-address=172.16.3.0/24 log=no log-prefix=""
    3 ;;; Odessa
    chain=srcnat action=accept src-address=172.16.1.0/24 dst-address=172.16.4.0/24 log=no log-prefix=""
    4 ;;; Home
    chain=srcnat action=accept src-address=172.16.1.0/24 dst-address=172.16.100.0/24 log=no log-prefix=""
    5 ;;; Inet
    chain=srcnat action=masquerade src-address=172.16.1.0/24 out-interface=WAN log=no log-prefix=""


    Со стороны дома

    [max@Home] > ip firewall nat print
    Flags: X - disabled, I - invalid, D - dynamic
    0 ;;; Cloud
    chain=srcnat action=accept src-address=172.16.100.0/24 dst-address=172.16.0.0/24 log=no log-prefix=""
    1 ;;; Office
    chain=srcnat action=accept src-address=172.16.100.0/24 dst-address=172.16.1.0/24 log=no log-prefix=""
    2 ;;; Inet
    chain=srcnat action=masquerade src-address=172.16.100.0/24 out-interface=WAN
    3 ;;; Local
    chain=srcnat action=masquerade src-address=172.16.100.0/24 out-interface=WAN Local
     
  14. action=masquerade, accept ничего не делает с трафиком ...
     
  15. Max

    Max Участник

    Пробовал
    Адресом источника становится адрес туннеля с противоположной стороны
     
  16. поставьте в pref. Source в роут лист туннеля внутренний адрес маршрутизатора, может поможет....
     
  17. Max

    Max Участник

    Маршруты динамические
    upload_2017-12-5_13-23-9.png
     
  18. Добавьте правило NAT без указания сетей только аут интерфейс - туннель
     
  19. Max

    Max Участник

    Добавить новое правило, или поменять правило с маскарадом?
     
  20. лучше поменять, что бы не путалось