У нас есть многосайтовая сеть с "Центральный" объект и несколько "Места".
На каждом сайте мы установили маршрутизатор с возможностями VPN, но всегда подключались к Интернету через маршрутизатор ISP. Кроме того, у нас есть встроенный ПК с включенным SSH и несколько встроенных устройств для преобразования TCP-to-Serial. Мы хотим получить доступ ко всему оборудованию из Центральная
На "Центральный" со стороны у нас есть маршрутизатор Mikrotik за маршрутизатором ISP с DMZ, указывающей на Mikrotik.
Мои сети такие:
Central - Network 192.168.11.0/24
Site 1 - Networks 192.168.20.0/24
Site 2 - Networks 192.168.21.0/24
and so....
Мы создали IPSec VPN из Центральная ко всем нашим Места без проблем все туннели подключаются и устанавливаются. Судя по всему, конфигурация правильная, но не весь трафик идет так, как мы ожидали.
Пинг работает с Центральная ко всем устройствам Места а также в обратном направлении.
Проблема в том, что когда мы пытаемся получить доступ из Центральная к любому оборудованию Сайт x только встроенные устройства работают должным образом. SSH-сервер ожидает появления тайм-аута, как и VPN-маршрутизатор сайта, не может получить доступ к своей веб-странице.
Но мы обнаружили, что только тот сайт, который устанавливает первый туннель, работает на 100%. Мы можем подключаться к HTTP-устройствам, SSH-серверу в обоих направлениях.
Только в остальных туннелях работает простая веб-страница HTTP для устройств TCP-to-Serial.
У меня сложилось впечатление, что простые HTTP-устройства отправляют страницу в одном TCP-запросе, а правила Mikrotik Firewall обрабатываются как «новое» состояние подключения и правильно маршрутизируют, но другие устройства должны разбиваться на более мелкие части, и правила брандмауэра не работают. Может быть связано с MTU или иначе. Я не специалист по сетям, и насколько мне известно, об этой тонкой настройке.
Это мои правила брандмауэра Mikrotik.
/ip firewall address-list print
Flags: X - disabled, D - dynamic
# LIST ADDRESS CREATION-TIME TIMEOUT
0 SiteLANs 192.168.20.0/24 sep/04/2019 01:59:01
1 SiteLANs 192.168.21.0/24 sep/04/2019 02:00:38
2 SiteLANs 192.168.22.0/24 sep/04/2019 02:01:30
Таблица фильтров межсетевого экрана:
/ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; defconf: accept in ipsec policy
chain=forward action=accept log=no log-prefix="" ipsec-policy=in,ipsec
1 ;;; defconf: accept out ipsec policy
chain=forward action=accept log=no log-prefix="" ipsec-policy=out,ipsec
2 chain=forward action=accept dst-address=192.168.11.0/24 src-address-list=SiteLANs log=no log-prefix=""
3 chain=forward action=accept src-address=192.168.11.0/24 dst-address-list=SiteLANs log=no log-prefix=""
4 chain=forward action=accept connection-state=established,related log=no log-prefix=""
5. chain=input action=accept connection-state=established,related,untracked log=no log-prefix=""
6 ;;; Aceptar ICMP
chain=input action=accept protocol=icmp log=no
7 ;;; IPSec
chain=input action=accept protocol=ipsec-esp log=no
8 chain=input action=accept protocol=udp dst-port=500,4500 log=no log-prefix=""
9 ;;; Acceso Router LAN
chain=input action=accept in-interface=Switch log=no
12 ;;; Por defecto hacer DROP
chain=input action=drop log=yes log-prefix="drop"
Таблица NAT:
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; IPsec: Sites
chain=srcnat action=accept src-address=192.168.11.0/24 dst-address-list=SiteLANs log=no log-prefix=""
1 chain=dstnat action=accept dst-address=192.168.11.0/24 src-address-list=SiteLANs log=no log-prefix=""
7 ;;; Aceeso externo VNC
chain=dstnat action=dst-nat to-addresses=192.168.11.100 protocol=tcp dst-port=5900 log=no
8 chain=dstnat action=dst-nat to-addresses=192.168.11.101 to-ports=5900 protocol=tcp dst-port=5901 log=no
9 chain=dstnat action=dst-nat to-addresses=192.168.11.203 to-ports=5900 protocol=tcp dst-port=5902 log=no
10 ;;; SSH
chain=dstnat action=dst-nat to-addresses=192.168.11.201 to-ports=22 protocol=tcp in-interface=ether1 dst-port=10022 log=no log-prefix=""
14 ;;; NAT por defecto
chain=srcnat action=masquerade log=no log-prefix=""
Спасибо