Назад | Перейти на главную страницу

Как исключить трафик LAN из политики IPSEC

Я пытаюсь заменить устройство Firewall / VPN (Snapgear SG300) другим (Mikrotik RB951G-2HnD). Мой текущий маршрутизатор работает, но для нового маршрутизатора mikrotik, когда я добавляю туннель фазы 2, я больше не могу получить доступ к маршрутизатору.

Я подозреваю, что проблема вызвана тем, что моя локальная сеть является частью того, что подключено к моему офису.

Если у меня есть туннель фазы 2 10.0.0.0/8, а моя локальная LAN - 10.1.1.0/24 (а маршрутизатор - 10.1.1.1), как мне это настроить?

Я пытался создать политику, исключающую проход 10.1.1.0/24 -> 10.1.1.0/24, но либо я сделал это неправильно, либо это было неправильно.

Единственный способ избежать несогласованности маршрутизации - это настроить туннель, который не перекрывается с вашим сегментом локальной сети.

Взгляните на Поток пакетов RouterOS диаграммы. если CIDR вашего туннеля будет таким широким, все пакеты достигнут шага шифрования IPsec, и, оказавшись там, Политики IPsec не будет обеспечивать поведение «игнорирования IPsec», которое вы собираетесь настроить; пакеты могут не быть зашифрованы (действие IPsec = none), но заголовки протокола IPsec будут добавлены, а IP-адрес может быть изменен в соответствии с SA.