Comments 9
del
+3
>Теперь добавим правило маскарадинга в Mikrotik. Для этого в окне терминала выполним команду:
поясните. Зачем в роутинге писать правила для ната?
Во первых, работать роутинг будет и без этого правила. Во вторых логичнее было бы увидеть action=accept
Поправьте если не прав.
поясните. Зачем в роутинге писать правила для ната?
Во первых, работать роутинг будет и без этого правила. Во вторых логичнее было бы увидеть action=accept
Поправьте если не прав.
0
Думаю, что вы ошибаетесь. Если вы не замаскарадите этот трафик — на стороне Kerio Control он будет отброшен, т.к. он придет с адреса, принадлежащего не VPN клиенту (клиент в этом случае сам Mikrotik с адресом, выданным ему VPN сервером Kerio Control), а с адреса за Mikrotik (из локальной сети за ним).
0
У меня VPN(pptp) туннель работает воттак
роутинг сквозной между офисами. NAT не работает, если прописан статик роут.
>Но имейте ввиду, что доступа к сети за Mikrotik со стороны локальной сети за Kerio Control не будет.
Это как понимать? Я вот всё же не понимаю, вы NATите траффик между подсетями?? Молитесь, чтобы вас не заставили гонять VOIP через такие каналы.
роутинг сквозной между офисами. NAT не работает, если прописан статик роут.
>Но имейте ввиду, что доступа к сети за Mikrotik со стороны локальной сети за Kerio Control не будет.
Это как понимать? Я вот всё же не понимаю, вы NATите траффик между подсетями?? Молитесь, чтобы вас не заставили гонять VOIP через такие каналы.
0
Мне кажется, что вы путаете туннель Site-to-Site с подключением клиента. В первом случае ваши конечные точки туннелей знают о существовании подсетей за ними, во тором случае — нет. Вы хоть какой статический маршрут пропишите на Mikrotik — для Kerio Control трафик из локальной сети за Mikrotik будет «чужим» и будет отброшен. Из локальной сети за Kerio Control доступ будет возможен исключительно к самому клиенту VPN (железка Mikrotik). Схема подключения, описанная в этой части статьи — это схема создания именно клиентского подключения к серверу Kerio Control.
0
Вопрос к джедаям IPSec немного не по теме: у меня есть несколько различных конфигураций VPN на OpenVPN. С целью повышения производительности (например там, где в соединении участвую микротики, которые, как мне кажется IPSec VPN умеют лучше, чем OpenVPN) хотел настроить IPSec VPN, где клиентом выступает микротик с динамическим IPv4, а сервером линукс со статикой и FreeSWAN. Остановило меня то, что IPSec VPN нельзя построить (показалось?), если хотя бы один из концов не имеет статический IP (NAT пробить можно, но если динамический внешний IP — облом). Прав ли я? И если не прав, ткните носом в пример необходимой мне конфигурации, пожалуйста.
-1
Отличная статья, спасибо.
Однако, хотел бы позанудствовать и сделать одно замечание: в случае, когда Микротик является клиентом, он получает от Керио адрес 172.10.100.54, который не попадает в зарезервированную для локальных нужд сеть 172.16.0.0/12, т.е. вы пересекаетесь с реальными адресами интернета:
Однако, хотел бы позанудствовать и сделать одно замечание: в случае, когда Микротик является клиентом, он получает от Керио адрес 172.10.100.54, который не попадает в зарезервированную для локальных нужд сеть 172.16.0.0/12, т.е. вы пересекаетесь с реальными адресами интернета:
#>tracepath 172.10.100.54
...
24: cr1.hs1tx.ip.att.net 213.960ms asymm 26
25: 12.122.103.61 203.435ms asymm 26
26: no reply
27: adsl-172-10-100-54.dsl.hstntx.sbcglobal.net 226.079ms reached
+1
Sign up to leave a comment.
Создание отказоустойчивого IPSec VPN туннеля между Mikrotik RouterOS и Kerio Control