- IPSEC L2TP между микротами, и не доступа к внешнему IP,
 Сергей, 12:58 , 08-Дек-22 (1) +6 [^]> Доброго дня Уважаемые!
> Есть два микрота в интернете: 1.1.1.1 и 2.2.2.2
> Между ними подняли L2TP + IPSec туннель. После этого пропал доступ с
> 1.1.1.1 к внешним сервисам 2.2.2.2 (25, 143, 465 и т.п. порты).
> Как будто всё что идёт на 2.2.2.2 пытается завернуться в туннель.
> Подскажите как это решить? Галочку Add default route снять в свойствах туннеля/соединения
- IPSEC L2TP между микротами, и не доступа к внешнему IP, Кровосток, 13:36 , 08-Дек-22 (2) +5
> Галочку Add default route снять в свойствах туннеля/соединения Там маршрут по-умолчанию и не стоит. Я может непонятно объяснил: Весь остальной траффик идёт, т.е. и интернет у микрота 1.1.1.1 есть, и у клиентов за ним интернет есть. И сам туннель 1.1.1.1 <=> 2.2.2.2 работает (допустим за 2.2.2.2 сеть 172.16.11.0/24 - доступна из-за микрота 1.1.1.1)
А вот если я с микрота 1.1.1.1 или из сети за ним пытаюсь достучаться каким-либо образом до внешнего адреса 2.2.2.2 - то он чёрная дыра. И трассировка с 1.1.1.1 до 2.2.2.2 не идёт ни одного хопа. У меня сложилось впечатление, что все пакеты идущие с 1.1.1.1 на 2.2.2.2 оформляются в IPSEC. Может где-то в настройках профиля IPSEC что-то для этого есть?
- IPSEC L2TP между микротами, и не доступа к внешнему IP, ShyLion, 17:03 , 08-Дек-22 (3) +4
/ip ipsec export чтоли
а то какие-то гадания
- IPSEC L2TP между микротами, и не доступа к внешнему IP, Кровосток, 07:29 , 09-Дек-22 (4) +3
> /ip ipsec export чтоли
> а то какие-то гадания Да, вот данные:
----------------------------------
/ip ipsec profile
add dh-group=modp1024 enc-algorithm=aes-128 name=EXT_Prof1 prf-algorithm=sha1/ip ipsec peer
add address=2.2.2.2/32 exchange-mode=ike2 local-address=1.1.1.1 name=\
EXT_Peer1 profile=EXT_Prof1 /ip ipsec proposal
set [ find default=yes ] lifetime=1h
add name=EXT_Prop1 /ip ipsec identity
add peer=EXT_Peer1 secret=UWp2OwmWOqmxXoals1 /ip ipsec policy
add dst-address=2.2.2.2/32 peer=EXT_Peer1 proposal=EXT_Prop1 src-address=\
1.1.1.1/32
- IPSEC L2TP между микротами, и не доступа к внешнему IP, PavelR, 07:54 , 10-Дек-22 (5) +2
> У меня сложилось впечатление, что все пакеты идущие с 1.1.1.1 на 2.2.2.2
> оформляются в IPSEC. Может где-то в настройках профиля IPSEC что-то для
> этого есть?Так оно и есть - все пакеты идущие с 1.1.1.1 на 2.2.2.2 оформляются в IPSEC.
Правда 2.2.2.2 по идее должен быть доступен по этому IPSEC-стыку, как минимум с 1.1.1.1 -
ведь туннель то у вас работает. Возможно что файрвол что-то фильтрует. Если не хочешь, чтобы в IPSEC заворачивался весь трафик, укажи в настройках IPSEC Policy только нужный для туннеля протокол (gre или ipip).
- IPSEC L2TP между микротами, и не доступа к внешнему IP, ShyLion, 09:18 , 22-Дек-22 (6) +1
> Если не хочешь, чтобы в IPSEC заворачивался весь трафик, укажи в настройках
> IPSEC Policy только нужный для туннеля протокол (gre или ipip).+1
- IPSEC L2TP между микротами, и не доступа к внешнему IP, Кровосток, 09:28 , 22-Дек-22 (7)
>> Если не хочешь, чтобы в IPSEC заворачивался весь трафик, укажи в настройках
>> IPSEC Policy только нужный для туннеля протокол (gre или ipip).
> +1 Да, в policy стоял all - изменил на нужный протокол и вроде всё ок. Спасибо!
|
Версия для распечатки
IPSEC L2TP между микротами, и не доступа к внешнему IP, 
