Несколько тунней IPSEC GRE + OSPF + NAT

Моё почтение.
Есть такая сеть




2 центральные точки - Office и Cloud
Соединены между собой GRE туннелем (забыл на схеме нарисовать).
Из каждого подразделения поднято 2 туннеля по одному в Office и Cloud. В перспективе добавление резервного провайдера в Office и поднятие второго туннеля. Туннели подняты в транспортном режим - добавление IPsec Secret в настройках GRE интерфейса.
Между всем точками запущен OSPF.

Есть несколько вопросов.

1 OSPF
Из одного подразделения в другое можно попасть 2 маршрутами - через Office или Cloud. Оба имеют одинаковую дистанцию. Периодически трафик в одну сторону идёт по одному маршруту, а обратно по другому. Ping не проходит. Интерфейсы в OSPF динамические. Если сделать интерфейс статическим и увеличить значение Cost ситуация исправляется. Но появляется другая проблема. На Cloud, где значение Cost выше трафик начинает ходить через Office, а не напрямую. Задача сделать так, чтобы подразделения бегали между собой через Office, а на Cloud напрямую.


2 NAT
Между сетями настроен NAT.
Для примера между Home и Cloud
Cloud
chain=srcnat action=accept src-address=172.16.0.0/24 dst-address=172.16.100.0/24
Home
chain=srcnat action=accept src-address=172.16.100.0/24 dst-address=172.16.0.0/24

Ping не проходит. Отключаешь виндовый firewall (где разрешено только из локальной подсети) и работает. В чём может быть проблема?

 

Добавлял шифрование IPSec через политики, отключил IPSec и оставил только GRE туннели, обновил до 6.40.5.
Не работает NAT хоть стреляйся.

Что я делаю неправильно?

 

Создать Interface List, добавить в него туннельные интерфейсы и в firewall, в правиле invalid forward исключить этот Interface List?

С костами попробую, спасибо.

Задолбаешься кинфигурить виндовый firewall на сотне машин в 10 городах. Да и некоторое сетевое железо пускает только из локальной сети. Например роутер TP-Link, переведённый в режим точки доступа.
Из локалки пускает, из офиса нет.

 

да можно так.

 

И всё же почему не работает NAT?
Принтер в филиале тоже не пингуется и не пускает в web морду из других сетей

 

дайте tracert до клиента

 

Коллеги, прошу прощения, но дабы не плодить тем хотел бы задать вопрос, связанный с использованием gre у спикера.
GRE устанавливает доверительные отношения, если прописать адреса точек на противоположных сторонах, но в качестве бреда, с помощью понимания технологий и спуфинга можно инициировать подлог IP. Каким образом в этом случае можно защитить GRE от таких подлогов? Ведь даже паролем не закрывается туннель.Спасибо

 

Это до ПК
C:\Users\Admin>tracert 172.16.3.241
Трассировка маршрута к 172.16.3.241 с максимальным числом прыжков 30
1 2 ms 11 ms 12 ms 172.16.1.254
2 2 ms 2 ms 2 ms 10.20.3.2
3 * * * Превышен интервал ожидания для запроса.
4 * * * Превышен интервал ожидания для запроса.
5 * * * Превышен интервал ожидания для запроса.

Это до сервера, где firewall разрешает ping из других сетей
C:\Users\Admin>tracert 172.16.3.240
Трассировка маршрута к 172.16.3.240 с максимальным числом прыжков 30
1 1 ms 1 ms 1 ms 172.16.1.254
2 2 ms 2 ms 2 ms 10.20.3.2
3 4 ms 7 ms 9 ms 172.16.3.240

То же самое с маршрутизаторов в других филиалах
А с маршрутизатора этого филиала работает

 

Для этого используйте GRE + IP SEC.

 

Посмотрите с какого адреса у вас пинг прилетает, когда пингуете 172.16.3.240 на этой машине.

 

172.16.3.240 -> 172.16.1.98 ping с сервера на сервер
172.16.0.250 -> 172.16.1.98 ping с виртуалки (win 7) на сервер

 

chain=srcnat action=accept src-address=172.16.0.0/24 dst-address=172.16.100.0/24
ошибка в NAT действие accept просто пропускает пакет, причем стоящие за ним правила NAT уже не исполняются. Используйте masquerade

 

Заменил accept на masquerade между ЦО и филиалом - ничего не поменялось
Пингую из ЦО ПК в филиале
Счётчик пакетов на правиле masquerade в ЦО увеличивается, в филиале нет - ноль

 

wireshark что показывает ?

 

wireshark вы где запускаете ? Нужно снифить на той машине которую пытаемя пропинговать. Что бы понять NAT заработал или нет.

 

это ping с 172.16.0.250 на 172.16.1.1

 

а если отключаете правило NAT то source address меняется на 172.16.0.250. Так ?

 

Да
отключил nat с обеих сторон, удалил все коннекты и source address стал 172.16.0.250