h5rov Posted November 6, 2017 Report Share Posted November 6, 2017 Здравейте, Имам следния казус на който не мога да намеря решение, дали концепцията ми е сбъркана или нещо не ми достига, ще кажете Вие. Имам 3 офиса които са свързани с IPSec. Сегашната конфигурация е: двата малки офиса сe свързват с IPSec тунел към централния. src-address=192.168.2.0/24 src-port=any dst-address=0.0.0.0/0 dst-port=any protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes sa-src-address=109.120.26.89 sa-dst-address=62.20.13.15 proposal=default priority=0 Така целия трафик от малките офиси заминава към централния, там ги посреща един фаерлол Fortigate 100D, който филтрира, сканира трафика и още разни глупости. Принципно нещата така работят без проблеми, но сега ми се налага да изградя директна свързаност от малките офиси към външна услуга. Както и да се опитвам да създам втори тунел, например: src-address=192.168.2.0/24 src-port=any dst-address=192.168.15.0/24 dst-port=any protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes sa-src-address=109.120.26.89 sa-dst-address=212.114.141.12 proposal=default priority=1 (или priority=0) Трафика не заминава въобще към втория тунел. Има ли вариант с някакви правила/изключение... всичкия трафик да заминава към централния офис както е до сега освен заявките към 192.168.15.0/24. Надявам се правилно да съм го обяснил. Link to comment Share on other sites More sharing options...
Administrator JohnTRIVOLTA Posted November 6, 2017 Administrator Report Share Posted November 6, 2017 Ми маркирай този спецефичен трафик и му сложи път от къде да минава! Link to comment Share on other sites More sharing options...
h5rov Posted November 6, 2017 Author Report Share Posted November 6, 2017 Може ли малко по-подробно. Общо взето ме затруднява липсата на интерфейс при IPSec-a. Link to comment Share on other sites More sharing options...
Administrator JohnTRIVOLTA Posted November 6, 2017 Administrator Report Share Posted November 6, 2017 Еми можеше да пуснеш върху GRE IPSECа и да рутираш през него пример ! Виж пробвай да смениш приорити да е 0 към 192.168.15.0/24 мрежа и 1ца за тунела за всички останали ! Link to comment Share on other sites More sharing options...
NetworkPro Posted November 7, 2017 Report Share Posted November 7, 2017 Има разни критерии IPSecа да върви например да не се NAT-ва примерен bypass: /ip firewall nat add chain=srcnat comment="Seattle NAT bypass" dst-address=192.168.90.0/24 src-address=192.168.30.0/24 - Link to comment Share on other sites More sharing options...
h5rov Posted November 7, 2017 Author Report Share Posted November 7, 2017 Благодаря за отговорите колеги. Оказа се, че трябва намеса от отсрещната страна. Тунелите сработиха по най-папагалския начин: Тунела към външната услуга: src-address=192.168.2.0/24 src-port=any dst-address=192.168.15.0/24 dst-port=any protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes sa-src-address=109.120.26.89 sa-dst-address=212.114.141.12 proposal=default priority=1 Всичкия останал трафик влиза в другия тунел. src-address=192.168.2.0/24 src-port=any dst-address=0.0.0.0/0 dst-port=any protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes sa-src-address=109.120.26.89 sa-dst-address=62.20.13.15 proposal=default priority=0 Лека и спорна! Link to comment Share on other sites More sharing options...
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now