DHCP relay a Ipsec
Napsal: 20 May 2015 10:39
od rene
Zdravím všechny,
Prosím o pomoc s nastavením DHCP relay přes Ipsec. Mám server v cloudu 2012 s DHCP serverem. Fortigate se spojení přes Ipsec do firmy, kde je MK. Pingnu si MK na server v pohodě.
Sít ve firmě je 192.168.100.0./24 a v Cloudu 10.9.51.0 /24
Když nastavím DHCP relay na adresu serveru a interface na LAN, tak to nefunguje.
Dík moc za radu jak na to
Re: DHCP relay a Ipsec
Napsal: 20 May 2015 17:48
od Majklik
Předpokládejme, že ten RB na LAN má IP 192.168.100.1 a W2K12 server 10.9.51.1. Takže z MK ti tohle funguje:
/ping 10.9.51.1 src-address=192.168.100.1
V tom případě IPsec tunel je v základu OK.
DHCP relay máš asi nějak tak:
/ip dhcp-relay add dhcp-server=10.9.51.1 disabled=no interface=LAN local-address=192.168.100.1 name=X
Nicméně u tohodle pozor, ta local adresa se vloží dovnitř DHCP relay žádosti, ale jako zdrojová IP DHCP relay paketu se použije WAN IP adresa toho RB, takže pokud nemáš IPsec tunel nastaven i tak, aby ti fungovalo z MK i:
/ping 10.9.51.1 src-address=<WAN IP>
tak to DHCP relay nepojede.
Nejjednodušší ojebávka je, že si do NATu přidáš NATnutí toho dhcp relay na LAN IP někam na začátek a jede to pak OK, takže něco jako:
/ip firewall nat add action=src-nat chain=srcnat dst-address=10.9.51.1 dst-port=67 protocol=udp to-addresses=192.168.100.1
A nebo univerzálnější, co ti zařídí správnou zdrojovou adresu pro vše:
/interface bridge add admin-mac=02:00:00:00:00:01 auto-mac=no name=bridge-fake protocol-mode=none
/ip address add address=192.168.166.199/30 interface=bridge-fake
/ip route add distance=1 dst-address=10.9.51.0/24 gateway=bridge-fake pref-src=192.168.100.1
Re: DHCP relay a Ipsec
Napsal: 21 May 2015 11:26
od rene
Perfektní vyzkouším a dám vědět dík moc