[RouterOS] 兩端 IPSEC連線與 VLAN環境路由問題[已解決]

fireflybug
個人積分：126分
文章編號：77917457

126分

樓主

2020-06-11 18:17

大家好
AB兩端用IPSEC連線後，假設B端有切VLAN 192.168.0.0/24 與 192.168.1.0/24，B端與A端連線的IP是 192.168.0.0/24。
現在A端電腦要PING 192.168.1.0/24 這個B端VLAN網段，請問A端的路由要怎麼設定專屬的IPSEC路由? A端得ROUTEROS才知道封包要怎麼送到IPSEC通道。

山頂上的微風吹，心跟著四處飛~*

2020-06-11 18:17 發佈

文章關鍵字 IPSEC RouterOS VLAN環境路由問題連線

pctine

pctine
個人積分：5084分
文章編號：77918012

5084分

2樓

2020-06-11 19:15

fireflybug wrote:
AB兩端用IPSEC連線後，假設B端有切VLAN 192.168.0.0/24 與 192.168.1.0/24，B端與A端連線的IP是 192.168.0.0/24。
現在A端電腦要PING 192.168.1.0/24 這個B端VLAN網段，請問A端的路由要怎麼設定專屬的IPSEC路由? A端得ROUTEROS才知道封包要怎麼送到IPSEC通道。

在 site A 加上 static route.

route 192.168.1.0/24 往 192.168.0.1 走

FB: Pctine

gfx

gfx
個人積分：1603分
文章編號：77919345

1603分

3樓

2020-06-11 21:30

B端先把192.168.0.0/24透過ipsec site to site成功橋接，
成功後切到/ip ipsec policy複製這裡的規則1：

也就是複製出規則2後，規則2把src-address改成192.168.1.0/24即可。

同樣A端也在/ip ipsec policy複製出規則2，

但第2筆修正的是將dst-address改成192.168.1.0/24
這樣就完成，兩個網段都透過ipsec做site to site啦^^

fireflybug

fireflybug
個人積分：126分
文章編號：77924025

126分

樓主

2020-06-12 10:07

gfx wrote:
B端先把192.168.0.0/24透過ipsec site to site成功橋接，
成功後切到/ip ipsec policy複製這裡的規則1：

也就是複製出規則2後，規則2把src-address改成192.168.0.1/24即可。

請問這邊是設定成192.168.1.0/24網段? 我設定192.168.0.1/24 過不了

同樣A端也在/ip ipsec policy複製出規則2，

但第2筆修正的是將dst-address改成192.168.0.1/24
這樣就完成，兩個網段都透過ipsec做site to site啦^^

這邊也是一樣設定192.168.1.0/24網段?

山頂上的微風吹，心跟著四處飛~*

gfx

gfx
個人積分：1603分
文章編號：77924246

1603分

5樓

2020-06-12 10:20

fireflybug wrote:
請問這邊是設定成192(恕刪)

網段我電腦key錯字，就跟您猜想的一樣應輸入192.168.1.0/24才正確。
B端是將複製的src-address修改為192.168.1.0/24；
A端則是將複製的dst-address修改為192.168.1.0/24。

這樣做才能彼此對應。

另外還有一招：
因192.168.0.0/24 + 192.168.1.0/24 = 192.168.0.0/23
不用複製，您可以把site to site 目前/ip ipsec policy裡唯一，
192.168.0.0/24 改為192.168.0.0/23 這樣也可以 ^++^