VP
нет, полиси шаблонные, как отключил пир полиси отвалились
Вопрос не в этом. У Вас сеть назначения если лежит за ВАН, то туда трафик и пойдет. А если лежит за опенвпн, то пойдет в опенвпн.
Size: a a a
2019 November 14
RR
Вопрос не в этом. У Вас сеть назначения если лежит за ВАН, то туда трафик и пойдет. А если лежит за опенвпн, то пойдет в опенвпн.
верно, как и положено
VP
верно, как и положено
Ну так тогда все нормально. айписек сам не маршрутизирует. Его "маршрутизация" это пиры. Т.е. если есть пир, есть активная полиси, соответствующая пиру, то тогда трафик запакуется и полезет в пир.
RR
/ip ipsec mode-config
add address-pool=ike-pool address-prefix-length=32 name=ike-conf system-dns=no
/ip ipsec policy group
add name=mercu1
/ip ipsec profile
add name=mercu
/ip ipsec peer
add disabled=yes exchange-mode=ike2 name=mercu passive=yes profile=mercu
/ip ipsec proposal
add name=mercu pfs-group=none
/ip ipsec identity
add generate-policy=port-strict peer=mercu policy-template-group=mercu1 secret=5555555555555
/ip ipsec policy
add dst-address=10.5.0.0/16 group=mercu1 proposal=mercu src-address=10.5.0.0/16 template=yes
RR
только что еще раз проверил
RR
отключил пир - пакеты идут как надо, включил - пакеты с dst 10.5.5.5 (что подходят под policy) пошли через WAN
VP
/ip ipsec mode-config
add address-pool=ike-pool address-prefix-length=32 name=ike-conf system-dns=no
/ip ipsec policy group
add name=mercu1
/ip ipsec profile
add name=mercu
/ip ipsec peer
add disabled=yes exchange-mode=ike2 name=mercu passive=yes profile=mercu
/ip ipsec proposal
add name=mercu pfs-group=none
/ip ipsec identity
add generate-policy=port-strict peer=mercu policy-template-group=mercu1 secret=5555555555555
/ip ipsec policy
add dst-address=10.5.0.0/16 group=mercu1 proposal=mercu src-address=10.5.0.0/16 template=yes
У вас соурс и дестанейшен совпадают.
RR
У вас соурс и дестанейшен совпадают.
это шаблон
RR
template=yes
VP
отключил пир - пакеты идут как надо, включил - пакеты с dst 10.5.5.5 (что подходят под policy) пошли через WAN
Так потому что пир смотрит через ВАН.
RR
посмотреть бы настройки ipsec
выложил
RR
Так потому что пир смотрит через ВАН.
еще раз, эта маршрутизация по непонятным причинам срабатывает через WAN совсем задолго до применения policy
VP
еще раз, эта маршрутизация по непонятным причинам срабатывает через WAN совсем задолго до применения policy
А это тогда как понять: "отключил пир - пакеты идут как надо, включил - пакеты с dst 10.5.5.5 (что подходят под policy) пошли через WAN" ?
Что-то Вы путаетась.
Что-то Вы путаетась.
ST
еще раз, эта маршрутизация по непонятным причинам срабатывает через WAN совсем задолго до применения policy
ну тоесть на выходе интерфейса ты видишь пакеты с дст.адресом второй локалки шоле? или как ты понял что оно ДО айписека срабатывает?
RR
А это тогда как понять: "отключил пир - пакеты идут как надо, включил - пакеты с dst 10.5.5.5 (что подходят под policy) пошли через WAN" ?
Что-то Вы путаетась.
Что-то Вы путаетась.
согласно маршрутизации, пакеты 10.5.5.0.24 должны идти на ovpn интерфейс, так оно и маршрутизируется до включения IPSEC
VP
@rizvanov У Вас полиси динамические.
ST
@Prislonsky, кстати, а снифер он где работает? перед физическим выходом интерфейса, после полиси?
RR
ну тоесть на выходе интерфейса ты видишь пакеты с дст.адресом второй локалки шоле? или как ты понял что оно ДО айписека срабатывает?
mangle - forward - log :)
ST
mangle - forward - log :)
еее, так мангл же ДО полиси ловит вроде
RR
разрешите мне картинки выкладывать