Добрый день! Есть Микротик (172.20.1.70) в центральном офисе который расположен внутри сети 172.20.1.0/24. На нем запушен сервер l2tp+ipsec. В организации в качестве шлюза в интернет используется pfsense . ВАН интерфейс шлюза 1.2.3.4, ЛАН 172.20.1.1 . На шлюзе проброшены порты для создания впн канала (l2tp+ipsec) на микротик. Второй микротик, который находится в удаленном офисе с локальной сетью 172.20.70.0, клиентом l2tp+ipsec через интернет обращается по адресу 1.2.3.4 и поднимает впн канал до микротика 172.20.1.70. При этом все узлы из сети 172.20.1.0, на которых прописал путь для 172.20.70.0 через 172.20.1.70, видят любой узел 172.20.70.0: C:\Documents and Settings\Администратор.MTDOM>tracert -d 172.20.70.1 Трассировка маршрута к 172.20.70.1 с максимальным числом прыжков 30 1 <1 мс <1 мс <1 мс 172.20.1.70 2 3 ms 1 ms 1 ms 172.20.70.1 Трассировка завершена. C:\Documents and Settings\Администратор.MTDOM>tracert -d 172.20.70.101 Трассировка маршрута к 172.20.70.101 с максимальным числом прыжков 30 1 <1 мс <1 мс <1 мс 172.20.1.70 2 155 ms 3 ms 1 ms 172.16.31.2 3 2 ms 1 ms 2 ms 172.20.70.101 Трассировка завершена. Но в обратную сторону узлы сети 172.20.70.0 эти же узлы удаленный сети не видят (Кроме ВПН сервера 172.20.1.70): C:\Users\worknb>tracert -d 172.20.1.70 Трассировка маршрута к 172.20.1.70 с максимальным числом прыжков 30 1 <1 мс <1 мс <1 мс 172.20.70.1 2 2 ms 1 ms 2 ms 172.20.1.70 Трассировка завершена. C:\Users\worknb>tracert -d 172.20.1.250 Трассировка маршрута к 172.20.1.250 с максимальным числом прыжков 30 1 <1 мс <1 мс <1 мс 172.20.70.1 2 2 ms 2 ms 2 ms 172.16.31.1 3 * * * Превышен интервал ожидания для запроса. Сеть центрального офиса: 172.20.1.0/24 Сеть удаленного офиса: 172.20.70.0/24 Сеть ВПН: 172.16.31.1(цо), 172.16.31.2(уо) Правил Firewall на обоих Микротиках нет. FW: 6.44.5 В уо прописан путь: add comment="" distance=1 dst-address=172.20.1.0/24 gateway=172.16.31.1 В цо путь в уо прописан в настройках secrets для пользователя уо на сервере l2tp+ipsec. Не подскажите что нужно поправить что бы клиенты из удаленного офиса стали видеть клиентов в центральном офисе???
тут вариантов много, фаервол Pfsense, маршрут не задан, в nat не добавили - если используете нат, конфиговнеприкрипили < вот эту настройку точно упустили.
Правильно ли я понимаю что если VPN соединение между двумя mikrotik установилось то файервол PfSense в маршрутизации пакетов не принимает участие? т.е. в данном случае в проблемах с маршрутами он не виноват? На Микротике в центральном офисе через выделенные каналы работает еще 2 ВПН канала, в которых все прекрасно во все стороны ходит. Только в ВПН канале который образуется с удаленного офиса через сеть интернет, через файервол Pfsense, ломается маршрут с удаленного офиса в сеть центрального офиса. Нат не используется.
PfSense как не принемает участие? а накуя он тогда? в PfSense есть какой нить дбаг? посмотрите что происходит при запросах тог или иного адреса.
