Доброго дня Уважаемые!Есть два микрота в интернете: 1.1.1.1 и 2.2.2.2
Между ними подняли L2TP + IPSec туннель. После этого пропал доступ с 1.1.1.1 к внешним сервисам 2.2.2.2 (25, 143, 465 и т.п. порты). Как будто всё что идёт на 2.2.2.2 пытается завернуться в туннель. Подскажите как это решить?
> Доброго дня Уважаемые!
> Есть два микрота в интернете: 1.1.1.1 и 2.2.2.2
> Между ними подняли L2TP + IPSec туннель. После этого пропал доступ с
> 1.1.1.1 к внешним сервисам 2.2.2.2 (25, 143, 465 и т.п. порты).
> Как будто всё что идёт на 2.2.2.2 пытается завернуться в туннель.
> Подскажите как это решить?Галочку Add default route снять в свойствах туннеля/соединения
> Галочку Add default route снять в свойствах туннеля/соединенияТам маршрут по-умолчанию и не стоит.
Я может непонятно объяснил: Весь остальной траффик идёт, т.е. и интернет у микрота 1.1.1.1 есть, и у клиентов за ним интернет есть. И сам туннель 1.1.1.1 <=> 2.2.2.2 работает (допустим за 2.2.2.2 сеть 172.16.11.0/24 - доступна из-за микрота 1.1.1.1)
А вот если я с микрота 1.1.1.1 или из сети за ним пытаюсь достучаться каким-либо образом до внешнего адреса 2.2.2.2 - то он чёрная дыра. И трассировка с 1.1.1.1 до 2.2.2.2 не идёт ни одного хопа.У меня сложилось впечатление, что все пакеты идущие с 1.1.1.1 на 2.2.2.2 оформляются в IPSEC. Может где-то в настройках профиля IPSEC что-то для этого есть?
/ip ipsec export чтоли
а то какие-то гадания
> /ip ipsec export чтоли
> а то какие-то гаданияДа, вот данные:
----------------------------------/ip ipsec profile
add dh-group=modp1024 enc-algorithm=aes-128 name=EXT_Prof1 prf-algorithm=sha1/ip ipsec peer
add address=2.2.2.2/32 exchange-mode=ike2 local-address=1.1.1.1 name=\
EXT_Peer1 profile=EXT_Prof1/ip ipsec proposal
set [ find default=yes ] lifetime=1h
add name=EXT_Prop1/ip ipsec identity
add peer=EXT_Peer1 secret=UWp2OwmWOqmxXoals1/ip ipsec policy
add dst-address=2.2.2.2/32 peer=EXT_Peer1 proposal=EXT_Prop1 src-address=\
1.1.1.1/32
> У меня сложилось впечатление, что все пакеты идущие с 1.1.1.1 на 2.2.2.2
> оформляются в IPSEC. Может где-то в настройках профиля IPSEC что-то для
> этого есть?Так оно и есть - все пакеты идущие с 1.1.1.1 на 2.2.2.2 оформляются в IPSEC.
Правда 2.2.2.2 по идее должен быть доступен по этому IPSEC-стыку, как минимум с 1.1.1.1 -
ведь туннель то у вас работает. Возможно что файрвол что-то фильтрует.Если не хочешь, чтобы в IPSEC заворачивался весь трафик, укажи в настройках IPSEC Policy только нужный для туннеля протокол (gre или ipip).
> Если не хочешь, чтобы в IPSEC заворачивался весь трафик, укажи в настройках
> IPSEC Policy только нужный для туннеля протокол (gre или ipip).+1
>> Если не хочешь, чтобы в IPSEC заворачивался весь трафик, укажи в настройках
>> IPSEC Policy только нужный для туннеля протокол (gre или ipip).
> +1Да, в policy стоял all - изменил на нужный протокол и вроде всё ок. Спасибо!