IPSec site2site

[piti]

Caute, riesim taky problem...
mam natiahnutu ipsec site to site vpn medzi dvoma sietami, a chcel by som docielit aby sa dalo pingnut z jedneho ipsec routra na druhy.
viete niekto poradit ako na to?

[ronni2]

Zkusil bych nastavit v interface ethernet portu nebo wifi portu (zalezi mezi kteryma portama je tvorena VPN) zalozka general - ARP - hodnotu proxi-arp

[Majklik]

A ono ti to teď vůbec nepingne nebo ten ping jde mimo tunel?
Pokud má jít skrz tunel, tak do IP / IPsec / Policies musíš i doplnit pravidlo, že se má šifrovat komunikace mezi veřejnýma IP adresama těch routerů a ne jen spojení mezi vnitřníma segmenty.
Pokud mám veřejky a konce tzunelů na obou stranách 1.1.1.1 a 2.2.2.2 k tomu vnitřní adresy LAN 192.168.1.0/24 a 192.168.2.0/24, tak by jsi v policies měl mít 4 pravidla pro pokrytí všech variant:

Kód: Vybrat vše

/ip ipsec policy
add dst-address=192.168.2.0/24 sa-dst-address=2.2.2.2 sa-src-address=1.1.1.1 src-address=192.168.1.0/24 tunnel=yes
add dst-address=192.168.2.0/24 sa-dst-address=2.2.2.2 sa-src-address=1.1.1.1 src-address=1.1.1.1/32 tunnel=yes
add dst-address=2.2.2.2/32 sa-dst-address=2.2.2.2 sa-src-address=1.1.1.1 src-address=192.168.1.0/24 tunnel=yes
add dst-address=2.2.2.2/32 sa-dst-address=2.2.2.2 sa-src-address=1.1.1.1 src-address=1.1.1.1/32


[piti]

dik za radu, uz mi to slape