The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"IPSEC L2TP между микротами, и не доступа к внешнему IP"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Изначальное сообщение [ Отслеживать ]

"IPSEC L2TP между микротами, и не доступа к внешнему IP"  +7 +/
Сообщение от Кровосток (ok), 08-Дек-22, 06:55 
Доброго дня Уважаемые!

Есть два микрота в интернете: 1.1.1.1 и 2.2.2.2
Между ними подняли L2TP + IPSec туннель. После этого пропал доступ с 1.1.1.1 к внешним сервисам 2.2.2.2 (25, 143, 465 и т.п. порты). Как будто всё что идёт на 2.2.2.2 пытается завернуться в туннель. Подскажите как это решить?

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "IPSEC L2TP между микротами, и не доступа к внешнему IP"  +6 +/
Сообщение от Сергей (??), 08-Дек-22, 12:58 
> Доброго дня Уважаемые!
> Есть два микрота в интернете: 1.1.1.1 и 2.2.2.2
> Между ними подняли L2TP + IPSec туннель. После этого пропал доступ с
> 1.1.1.1 к внешним сервисам 2.2.2.2 (25, 143, 465 и т.п. порты).
> Как будто всё что идёт на 2.2.2.2 пытается завернуться в туннель.
> Подскажите как это решить?

Галочку Add default route снять в свойствах туннеля/соединения

Ответить | Правка | Наверх | Cообщить модератору

2. "IPSEC L2TP между микротами, и не доступа к внешнему IP"  +5 +/
Сообщение от Кровосток (ok), 08-Дек-22, 13:36 
>  Галочку Add default route снять в свойствах туннеля/соединения

Там маршрут по-умолчанию и не стоит.

Я может непонятно объяснил: Весь остальной траффик идёт, т.е. и интернет у микрота 1.1.1.1 есть, и у клиентов за ним интернет есть. И сам туннель 1.1.1.1 <=> 2.2.2.2 работает (допустим за 2.2.2.2 сеть 172.16.11.0/24 - доступна из-за микрота 1.1.1.1)
А вот если я с микрота 1.1.1.1 или из сети за ним пытаюсь достучаться каким-либо образом до внешнего адреса 2.2.2.2 - то он чёрная дыра. И трассировка с 1.1.1.1 до 2.2.2.2 не идёт ни одного хопа.

У меня сложилось впечатление, что все пакеты идущие с 1.1.1.1 на 2.2.2.2 оформляются в IPSEC. Может где-то в настройках профиля IPSEC что-то для этого есть?

Ответить | Правка | Наверх | Cообщить модератору

3. "IPSEC L2TP между микротами, и не доступа к внешнему IP"  +4 +/
Сообщение от ShyLion (??), 08-Дек-22, 17:03 
/ip ipsec export чтоли
а то какие-то гадания
Ответить | Правка | Наверх | Cообщить модератору

4. "IPSEC L2TP между микротами, и не доступа к внешнему IP"  +3 +/
Сообщение от Кровосток (ok), 09-Дек-22, 07:29 
> /ip ipsec export чтоли
> а то какие-то гадания

Да, вот данные:
----------------------------------

/ip ipsec profile
add dh-group=modp1024 enc-algorithm=aes-128 name=EXT_Prof1 prf-algorithm=sha1

/ip ipsec peer
add address=2.2.2.2/32 exchange-mode=ike2 local-address=1.1.1.1 name=\
    EXT_Peer1 profile=EXT_Prof1

/ip ipsec proposal
set [ find default=yes ] lifetime=1h
add name=EXT_Prop1

/ip ipsec identity
add peer=EXT_Peer1 secret=UWp2OwmWOqmxXoals1

/ip ipsec policy
add dst-address=2.2.2.2/32 peer=EXT_Peer1 proposal=EXT_Prop1 src-address=\
    1.1.1.1/32


Ответить | Правка | Наверх | Cообщить модератору

5. "IPSEC L2TP между микротами, и не доступа к внешнему IP"  +2 +/
Сообщение от PavelR (??), 10-Дек-22, 07:54 
> У меня сложилось впечатление, что все пакеты идущие с 1.1.1.1 на 2.2.2.2
> оформляются в IPSEC. Может где-то в настройках профиля IPSEC что-то для
> этого есть?

Так оно и есть - все пакеты идущие с 1.1.1.1 на 2.2.2.2 оформляются в IPSEC.
Правда 2.2.2.2 по идее должен быть доступен по этому IPSEC-стыку, как минимум с 1.1.1.1 -
ведь туннель то у вас работает. Возможно что файрвол что-то фильтрует.

Если не хочешь, чтобы в IPSEC заворачивался весь трафик, укажи в настройках IPSEC Policy только нужный для туннеля протокол (gre или ipip).


Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

6. "IPSEC L2TP между микротами, и не доступа к внешнему IP"  +1 +/
Сообщение от ShyLion (??), 22-Дек-22, 09:18 
> Если не хочешь, чтобы в IPSEC заворачивался весь трафик, укажи в настройках
> IPSEC Policy только нужный для туннеля протокол (gre или ipip).

+1

Ответить | Правка | Наверх | Cообщить модератору

7. "IPSEC L2TP между микротами, и не доступа к внешнему IP"  +/
Сообщение от Кровосток (ok), 22-Дек-22, 09:28 
>> Если не хочешь, чтобы в IPSEC заворачивался весь трафик, укажи в настройках
>> IPSEC Policy только нужный для туннеля протокол (gre или ipip).
> +1

Да, в policy стоял all - изменил на нужный протокол и вроде всё ок. Спасибо!

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру