兩台 RouterBoard 互連問題請益 - IPSec 與兩端內網 (第3頁)

Barlos
個人積分：227分
文章編號：54139507

227分

樓主

2015-01-21 11:32

目前最遠可以做到 (ping 到)

RouterBoard 方面:
可以 ping 到對方 RouterBoard 後面的 PC IP (192.168.45.???)

PC 方面:
可以 ping 到對方 RouterBoard 的 WAN IP (172.16.1.2/5)

目前還不能做到 (ping 到)
PC 方面:
不能 ping 到對方 RouterBoard 的 LAN IP (192.168.4/5.1)
不能 ping 到對方 RouterBoard 後面的 PC IP (192.168.4/5.???)

電腦、登山和露營的資訊。

Barlos

Barlos
個人積分：227分
文章編號：54139610

227分

樓主

2015-01-21 11:36

Mason.Lyu wrote:
3. /ip ipsec peer中的generate-policy改成port-override或port-strict

有改了, 結果如下:

PC 方面還是:
不能 ping 到對方 RouterBoard 的 LAN IP (192.168.4/5.1)
不能 ping 到對方 RouterBoard 後面的 PC IP (192.168.4/5.???)

電腦、登山和露營的資訊。

Mason.Lyu

Mason.Lyu
個人積分：664分
文章編號：54139997

664分

23樓

2015-01-21 11:54

Barlos wrote:
有改了, 結果如下:

改完之後您有斷線重連或重開機嗎？

Barlos

Barlos
個人積分：227分
文章編號：54140136

227分

樓主

2015-01-21 12:02

Mason.Lyu wrote:
改完之後您有斷線重連或重開機嗎？

有,
兩個選項 (port override 與 port strict)套用後, 有重新開機, 結果還是一樣.

PC 方面還是不能 ping 到對方 RouterBoard 的 LAN IP (192.168.4/5.1)

電腦、登山和露營的資訊。

Barlos

Barlos
個人積分：227分
文章編號：54146563

227分

樓主

2015-01-21 17:54

我這邊把 RouterBoard-A 850Gx2 的設定圖檔給貼上, 另外一台基本上就是兩個 IP 對調.

目前最遠可以做到 (ping 到)

RouterBoard 方面:
可以 ping 到對方 RouterBoard 後面的 PC IP (192.168.45.???)

PC 方面:
可以 ping 到對方 RouterBoard 的 WAN IP (172.16.1.2/5)

目前還不能做到 (ping 到)
PC 方面:
不能 ping 到對方 RouterBoard 的 LAN IP (192.168.4/5.1)
不能 ping 到對方 RouterBoard 後面的 PC IP (192.168.4/5.???)

電腦、登山和露營的資訊。

Mason.Lyu

Mason.Lyu
個人積分：664分
文章編號：54149111

664分

26樓

2015-01-21 21:13

Barlos wrote:
我這邊把 RouterBoard-A 850Gx2 的設定圖檔給貼上

我的設定就這樣，沒有多餘的/ip route設定，也沒有多餘的/ip firewall nat設定，然後192.168.4.2跟192.168.5.2兩台Mac可以互ping

/ip address
add address=172.16.1.2/24 interface=ether2 network=172.16.1.0
add address=192.168.4.1/24 interface=ether3 network=192.168.4.0

/ip firewall nat
add chain=srcnat dst-address=192.168.4.0/24 src-address=192.168.5.0/24

/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-128-cbc,aes-192-cbc,aes-256-cbc \
lifetime=8h

/ip ipsec peer
add address=172.16.1.5/32 enc-algorithm=aes-128,aes-192 generate-policy=\
port-strict lifetime=8h nat-traversal=no secret=test

/ip ipsec policy
add dst-address=192.168.5.0/24 sa-dst-address=172.16.1.5 sa-src-address=\
172.16.1.2 src-address=192.168.4.0/24 tunnel=yes

chrisintaipei

chrisintaipei
個人積分：79分
文章編號：54152673

79分

27樓

2015-01-22 3:02

建議兩台都 factory reset，試好都通了後再一點一點把之前的設定放回去

Barlos

Barlos
個人積分：227分
文章編號：54162451

227分

樓主

2015-01-22 16:51

試過了, 還是不行.

也發文至 Mikrotik 官方的論壇:
http://forum.mikrotik.com/viewtopic.php?f=13&t=93270

這邊補上 IPsec remote Peers 與 Firewall Filter Rules 的設定圖片.

電腦、登山和露營的資訊。

Mason.Lyu

Mason.Lyu
個人積分：664分
文章編號：54168146

664分

29樓

2015-01-22 23:27

Barlos wrote:
Firewall Filter Rules

您有試著全關掉這些Firewall嗎？

ouchwe

ouchwe
個人積分：68分
文章編號：74730864

68分

30樓

2019-09-19 12:38

Barlos wrote:
我這邊把 RouterBoard...(恕刪)

嗨~
我最近也是在架設site to site vpn
遇到相同情況
google大神帶我來這邊舊文章
不知道您後來是否已解決問題

後來我在防火牆加了一條
chain=input action=accept protocol=ipsec-esp
就解決問題了
的確不用另外再設/ip route條件
兩邊底下區網設備就可以正常互連
給您參考