Comments
>Теперь добавим правило маскарадинга в Mikrotik. Для этого в окне терминала выполним команду:
поясните. Зачем в роутинге писать правила для ната?
Во первых, работать роутинг будет и без этого правила. Во вторых логичнее было бы увидеть action=accept
Поправьте если не прав.
Думаю, что вы ошибаетесь. Если вы не замаскарадите этот трафик — на стороне Kerio Control он будет отброшен, т.к. он придет с адреса, принадлежащего не VPN клиенту (клиент в этом случае сам Mikrotik с адресом, выданным ему VPN сервером Kerio Control), а с адреса за Mikrotik (из локальной сети за ним).
У меня VPN(pptp) туннель работает воттак
роутинг сквозной между офисами. NAT не работает, если прописан статик роут.

>Но имейте ввиду, что доступа к сети за Mikrotik со стороны локальной сети за Kerio Control не будет.
Это как понимать? Я вот всё же не понимаю, вы NATите траффик между подсетями?? Молитесь, чтобы вас не заставили гонять VOIP через такие каналы.
Мне кажется, что вы путаете туннель Site-to-Site с подключением клиента. В первом случае ваши конечные точки туннелей знают о существовании подсетей за ними, во тором случае — нет. Вы хоть какой статический маршрут пропишите на Mikrotik — для Kerio Control трафик из локальной сети за Mikrotik будет «чужим» и будет отброшен. Из локальной сети за Kerio Control доступ будет возможен исключительно к самому клиенту VPN (железка Mikrotik). Схема подключения, описанная в этой части статьи — это схема создания именно клиентского подключения к серверу Kerio Control.
вот теперь мы поняли друг друга. Пожалуйста, старайтесь писать проще. Мне, сетевому инженеру, понадобилась переписка, чтобы понять, что сделано в статье. Удачи.
Вопрос к джедаям IPSec немного не по теме: у меня есть несколько различных конфигураций VPN на OpenVPN. С целью повышения производительности (например там, где в соединении участвую микротики, которые, как мне кажется IPSec VPN умеют лучше, чем OpenVPN) хотел настроить IPSec VPN, где клиентом выступает микротик с динамическим IPv4, а сервером линукс со статикой и FreeSWAN. Остановило меня то, что IPSec VPN нельзя построить (показалось?), если хотя бы один из концов не имеет статический IP (NAT пробить можно, но если динамический внешний IP — облом). Прав ли я? И если не прав, ткните носом в пример необходимой мне конфигурации, пожалуйста.
Отличная статья, спасибо.

Однако, хотел бы позанудствовать и сделать одно замечание: в случае, когда Микротик является клиентом, он получает от Керио адрес 172.10.100.54, который не попадает в зарезервированную для локальных нужд сеть 172.16.0.0/12, т.е. вы пересекаетесь с реальными адресами интернета:

#>tracepath 172.10.100.54
...
24:  cr1.hs1tx.ip.att.net                                213.960ms asymm 26 
25:  12.122.103.61                                       203.435ms asymm 26 
26:  no reply
27:  adsl-172-10-100-54.dsl.hstntx.sbcglobal.net         226.079ms reached
Здесь я густо покраснел и пошел перепиливать адреса. Большое спасибо за замечание. Отнюдь не занудство.
Only those users with full accounts are able to leave comments. Log in, please.