1. Джамаль, 28.02.2014 07:47

Лёлик А если видеокамеры компов направить друг на друга, то видят? Какой смысл вы вкладываете в слово "видят"? Пингуют? Открывают расшаренные ресурсы? Показывают список друг друга в "Сетевом окружении"? Находят в DC++? От правильного ответа зависит то, что надо будет перенастраивать, и где надо будет перенастраивать.

2. Лёлик, 28.02.2014 09:38

Понял. Сегодня открывал тему очень рано, уставшим был... Компы из сети 192.168.68.0/24 не пингуют компы из сети 192.168.88.0/24. Расшаренные ресурсы тоже не открываются. Прилагаю скрины настроек MIKROTIK и TMG. Я не прописывал никаких маршрутов, очень непривычно после vpn PPTP. Там поднимается виртуальный интерфейс, маршруты... Может в IPSEC тоже надо прописать маршруты? Еще у меня на внешнем интерфейсе TMG три ip адреса. К сообщению приложены файлы: 1.png, 819x235, 14Кb, 2.png, 821x187, 12Кb, 3.png, 746x135, 7Кb, 4.png, 399x527, 16Кb, 5.png, 747x401, 21Кb, 6.png, 301x327, 9Кb, 7.png, 403x478, 11Кb, 8.png, 404x442, 8Кb

3. Лёлик, 28.02.2014 09:39

и еще фаза 2 ipsec на tmg И еще скрины с таблицы маршрутизации в таблице маршрутизации я вообще ничего не заносил, не на mikrotik, не на TMG. На mikrotik есть выключенные маршруты - это когда я настраивал PPTP, L2TP. Так же есть выключенные виртуальные интерфейсы тоже от PPTP. В таблице маршрутизации на tmg есть маршруты в сети подключаемые по MPLS и еще две сети подключаются по L2TP К сообщению приложены файлы: 1.png, 400x444, 10Кb, 2.png, 665x978, 79Кb, 3.png, 1792x309, 29Кb

4. Ильясла, 01.03.2014 09:01

Лёлик Так маршруты-то пропишите на маршрутизаторах. Что для доступа в отдалённую локальную сеть нужно направлять траффик туда-то. Или оба свяжите через mpls.

5. Лёлик, 03.03.2014 10:20

а разве при соединении сетей через ipsec нужно прописывать маршруты? В статьях что я читал никаких маршрутов не прописывают. Вот например в соединении site-tosite (раздел Site to Site IpSec Tunnel) http://wiki.mikrotik.com/wiki/Manual:IP/IPsec И если прописывать маршруты то через внешние интерфейсы или через внутренние?

6. Лёлик, 05.03.2014 16:58

Ура! все получилось. Трафик заходил в обе стороны! 3 дня читаний описания ipsec и mikrotik! а сделал вот что: Настройки TMG стандартные. Ничего особенного делать не пришлось. Конечно чтобы все протоколы шифрования совпадали на tmg и mikrotik Настройки mikrotik тоже стандартные как описываются здесь http://wiki.mikrotik.com/wiki/Routing_through_remote…etwork_over_IPsec в самом конце написано что надо добавить правило nat. Так вот дополнительно к этому правилу надо добавить еще одно правило nat с действием forwardi! http://savepic.ru/3902089.png отвечаю сам себе на вопрос. Добавление от 05.03.2014 17:07: а проблема была вот в чем. Трафик из сети за mikrotik до сети за tmg ходил полностью, ping , другие протоколы. А вот из сети за tmg до сет иза микротик доступ был (ping) не дальше чем до внутреннего интерфейса mikrotik. после добавления правила nat с действием forward обе сети стали полностью прозрачны Добавление от 05.03.2014 17:07: а проблема была вот в чем. Трафик из сети за mikrotik до сети за tmg ходил полностью, ping , другие протоколы. А вот из сети за tmg до сет иза микротик доступ был (ping) не дальше чем до внутреннего интерфейса mikrotik. после добавления правила nat с действием forward обе сети стали полностью прозрачны

7. Ильясла, 05.03.2014 18:13

Лёлик Поздравляю! Да, я неправ был с маршрутами.. Они там уже имеются, а интерфейс ipsec перехватывает траффик. после добавления правила nat с действием forward У вас на скриншоте правило фильтра разрешает траффик. Скриншот правильный?

8. Лёлик, 06.03.2014 01:25

Второе правило на скриншоте можно ограничить udp 500 и протоколом ip 50. Чтобы можно было по ipsec соединиться. UDP 500 надо и на вход и на выход пропустить. Но на скриншоте главное первое правило именно в нем была проблема. То есть правило firewall с действием forward. Далее в нем можно ограничить трафик с определенных ip (подсетей за маршрутизаторами)

9. Ильясла, 06.03.2014 02:29

Лёлик Странно. Потому что по-умолчанию в фильтре микротика используется политика "всё разрешено".

10. Лёлик, 06.03.2014 18:18

Здравствуйте. И снова обращаюсь за помощью. Есть два офиса. Главный (192.168.68.0/24) и удаленный (192.168.88.0/24) в главном роутер TMG SERVER. В удаленном mikrotik 450g. Связал по ipsec mikrotik и tmg server. Сети видят друг друга по всем протоколам. Теперь задача такая. Если нет туннеля ipsec с главным офисом все компы удаленного ходят в инет через NAT на микротике (эта часть работает), если же ipsec туннель поднят , то надо заворачивать весь трафик на tmg server. Такая схема реализуема? Странно что при поднятом ipsec с самого mikrotik сеть за tmg недоступна хотя компы за микротиком видят удаленную сеть полностью. Я не могу прописать никакие маршруты.

11. Ильясла, 06.03.2014 19:26

Лёлик Такая схема реализуема? Она самая http://wiki.mikrotik.com/wiki/Manual:Tools/Netwatch Пингуйте какой-нибудь внутренний адрес, доступный только через IPSEC-соединение. Странно что при поднятом ipsec с самого mikrotik сеть за tmg недоступна хотя компы за микротиком видят удаленную сеть полностью. Обычно для присоединённых сетей в мангле или нат-е используется дополнительное правило с действием accept, чтобы пакеты туда напрямую шли без всякой обработки. Может и тут так надо.

12. Лёлик, 06.03.2014 19:51

с помощью маршрутов можно прописать тнапример так add name=gw_1 source={/ip route set {... [/ip route find dst 0.0.0.0] gateway 79.134.220.65} - это когда доступ без vpn add name=gw_1 source={/ip route set {... [/ip route find dst 0.0.0.0] gateway 192.168.68.2} - это когда доступ через ipsec туннель думаю такая схема работала бы, но у меня как только поднимается ipsec с mikrotik удаленная сеть недоступна, и соответсвенно mikrotik пишет что хост 192.168.68.2 unreachatable (недоступен) и этот маршрут не рабоатет. Сейчас добился пинга с микротик с помощью дополнительной политики ipsec где в source указан белый ip mikrotik , dest 192.168.68.0/0. Так вот при добавлении этой политики с mikrotik становится доступна удаленная сеть, но зато с компов за микротик удаленная сеть за tmg становится недоступна. Что делать...

13. Ильясла, 06.03.2014 21:30

Лёлик У вас же ROS6? Схема движения траффика на стр. 13-14 http://mum.mikrotik.com/presentations/RU13/megis.pdf должна помочь. А что если две политики (с nat accept) использовать, одну на лок. сеть и вторую на внеш. адрес?

14. Лёлик, 06.03.2014 23:00

у меня mikrotik 450g и в версии firmware написано 3.07. Не знаю как посмотреть вресию ros. Может шестая версия не для моего устройства? Там есть кнопка update. На прошлой неделе обновил через winbox. И выше версии он уже не качал.

15. Джамаль, 06.03.2014 23:04

Лёлик У микротика нет деления на "для вот этого устройства" и "для вон того". На их железки ставится и работает любая версия.

16. Лёлик, 06.03.2014 23:10

а у вас работает ping с mikrotik одновременно с поднятым каналом ipsec? Т. е. и из локальной сети и с самого роутера?

17. Джамаль, 06.03.2014 23:18

Лёлик Если укажу source address при пинге, то да

18. Лёлик, 07.03.2014 09:12

Спасибо за наводку по поводу ROS6. Была версия 5 обновил до последней версии. Но в проблеме ничего не поменялось. ---------------------- А что если две политики (с nat accept) использовать, одну на лок. сеть и вторую на внеш. адрес --------------------- Хорошая идея. Сделал второю политику nat с действием accept с внешними адресами роутеров, но не помогло... Здесь что-то с политиками ipsec. У меня она такая srs address 192.168.88.0/24 сеть за микротиком dst address 192.168.68.0/24 сеть за tmg SA srs address 79.134.220.71 белый микротик SA dst address 79.134.220.67 белый TMG Если добавляю вторую srs address 79.134.220.71 белый микротик dst address 192.168.68.0/24 сеть за tmg SA srs address 79.134.220.71 белый микротик SA dst address 79.134.220.67 белый TMG то по ней устанавливается ipsec и удаленная сеть становится доступной с микротик, но в тоже время из сети за микротик доступ к сети за tmg пропадает Добавление от 07.03.2014 09:14: ------------- Если укажу source address при пинге, то да --------------------- не понял объясните пожалуйста как вы пингуете. и еще какие у вас политики ipsec на микротик?

19. Лёлик, 12.03.2014 15:41

Пинги с микротик в сеть за tmg пошли если в качестве источника пинга выбрать внутренний интерфейс микротик. Теперь вопрос как заставить маршрут 0.0.0.0/0 gateway=IP_TMG чтобы он тоже смотрел как-бы с внутреннего интерфейса? Указать внутренний интерфейс при создании маршрута нет возможности.

20. Ильясла, 12.03.2014 22:09

Лёлик Если нельзя интерфейс, то можно исходящий IP-адрес указать. А ещё можно маршрут в route rule прописать с нужными параметрами (тут (http://forum.ixbt.com/topic.cgi?id=14:60498:539#539) и далее).

21. Nikanorov, 25.01.2015 19:48

Лёлик а какая версия mikrotik у тебя была? Тут на v6.25 попытался повторить твой подвиг. Из за микротик все пингуется и открываются все ресурсы. А вот из за TMG проходит только пинг и дальше полный стопор.

22. Лёлик, 27.01.2015 09:53

из-за tmg до чего идет пинг? только до микротик? вы так сделали? ==================== Так вот дополнительно к этому правилу надо добавить еще одно правило nat с действием forwardi! http://savepic.ru/3902089.png отвечаю сам себе на вопрос. Добавление от 05.03.2014 17:07: а проблема была вот в чем. Трафик из сети за mikrotik до сети за tmg ходил полностью, ping , другие протоколы. А вот из сети за tmg до сет иза микротик доступ был (ping) не дальше чем до внутреннего интерфейса mikrotik. после добавления правила nat с действием forward обе сети стали полностью прозрачны ==================== если же пинг ходит до любого узла за микротик может дело в firewall правилах на tmg?

23. Nikanorov, 28.01.2015 12:19

Да именно так. Пинг идет и до самого микротика и до IP телефона за ним. в журнале TMG http://gyazo.com/f02bad9d60f7f02b9b9ea8e56241858d если браузером В firewall TMG создается правило автоматом http://gyazo.com/9a1fb13e968c0aff590574cd44f8a6b2 И в сетях маршрут http://gyazo.com/47f78fdc7678397dfeca8244107193f9