https://89.19.215.112/openforum/vsluhforumID6/2655.html Доброго дня Уважаемые!<br><br>Есть два микрота в интернете: 1.1.1.1 и 2.2.2.2<br>Между ними подняли L2TP + IPSec туннель. После этого пропал доступ с 1.1.1.1 к внешним сервисам 2.2.2.2 (25, 143, 465 и т.п. порты). Как будто всё что идёт на 2.2.2.2 пытается завернуться в туннель. Подскажите как это решить?<br> https://89.19.215.112/openforum/vsluhforumID6/2655.html#7 Thu, 22 Dec 2022 06:28:18 GMT &gt;&gt; Если не хочешь, чтобы в IPSEC заворачивался весь трафик, укажи в настройках <br>&gt;&gt; IPSEC Policy только нужный для туннеля протокол (gre или ipip).<br>&gt; +1 <br><br>Да, в policy стоял all - изменил на нужный протокол и вроде всё ок. Спасибо!<br> https://89.19.215.112/openforum/vsluhforumID6/2655.html#6 Thu, 22 Dec 2022 06:18:16 GMT &gt; Если не хочешь, чтобы в IPSEC заворачивался весь трафик, укажи в настройках <br>&gt; IPSEC Policy только нужный для туннеля протокол (gre или ipip).<br><br>+1<br> https://89.19.215.112/openforum/vsluhforumID6/2655.html#5 Sat, 10 Dec 2022 04:54:32 GMT &gt; У меня сложилось впечатление, что все пакеты идущие с 1.1.1.1 на 2.2.2.2 <br>&gt; оформляются в IPSEC. Может где-то в настройках профиля IPSEC что-то для <br>&gt; этого есть?<br><br>Так оно и есть - все пакеты идущие с 1.1.1.1 на 2.2.2.2 оформляются в IPSEC.<br>Правда 2.2.2.2 по идее должен быть доступен по этому IPSEC-стыку, как минимум с 1.1.1.1 -<br>ведь туннель то у вас работает. Возможно что файрвол что-то фильтрует. <br><br>Если не хочешь, чтобы в IPSEC заворачивался весь трафик, укажи в настройках IPSEC Policy только нужный для туннеля протокол (gre или ipip).<br><br><br> https://89.19.215.112/openforum/vsluhforumID6/2655.html#4 Fri, 09 Dec 2022 04:29:14 GMT &gt; /ip ipsec export чтоли <br>&gt; а то какие-то гадания <br><br>Да, вот данные:<br>----------------------------------<br>[code]/ip ipsec profile<br>add dh-group=modp1024 enc-algorithm=aes-128 name=EXT_Prof1 prf-algorithm=sha1<br><br>/ip ipsec peer<br>add address=2.2.2.2/32 exchange-mode=ike2 local-address=1.1.1.1 name=\<br> EXT_Peer1 profile=EXT_Prof1<br><br>/ip ipsec proposal<br>set [ find default=yes ] lifetime=1h<br>add name=EXT_Prop1<br><br>/ip ipsec identity<br>add peer=EXT_Peer1 secret=UWp2OwmWOqmxXoals1<br><br>/ip ipsec policy<br>add dst-address=2.2.2.2/32 peer=EXT_Peer1 proposal=EXT_Prop1 src-address=\<br> 1.1.1.1/32[/code]<br> https://89.19.215.112/openforum/vsluhforumID6/2655.html#3 Thu, 08 Dec 2022 14:03:22 GMT /ip ipsec export чтоли<br>а то какие-то гадания<br> https://89.19.215.112/openforum/vsluhforumID6/2655.html#2 Thu, 08 Dec 2022 10:36:50 GMT &gt; Галочку Add default route снять в свойствах туннеля/соединения <br><br>Там маршрут по-умолчанию и не стоит.<br><br>Я может непонятно объяснил: Весь остальной траффик идёт, т.е. и интернет у микрота 1.1.1.1 есть, и у клиентов за ним интернет есть. И сам туннель 1.1.1.1 &lt;=&gt; 2.2.2.2 работает (допустим за 2.2.2.2 сеть 172.16.11.0/24 - доступна из-за микрота 1.1.1.1)<br>А вот если я с микрота 1.1.1.1 или из сети за ним пытаюсь достучаться каким-либо образом до внешнего адреса 2.2.2.2 - то он чёрная дыра. И трассировка с 1.1.1.1 до 2.2.2.2 не идёт ни одного хопа.<br><br>У меня сложилось впечатление, что все пакеты идущие с 1.1.1.1 на 2.2.2.2 оформляются в IPSEC. Может где-то в настройках профиля IPSEC что-то для этого есть? <br> https://89.19.215.112/openforum/vsluhforumID6/2655.html#1 Thu, 08 Dec 2022 09:58:40 GMT &gt; Доброго дня Уважаемые!<br>&gt; Есть два микрота в интернете: 1.1.1.1 и 2.2.2.2 <br>&gt; Между ними подняли L2TP + IPSec туннель. После этого пропал доступ с <br>&gt; 1.1.1.1 к внешним сервисам 2.2.2.2 (25, 143, 465 и т.п. порты). <br>&gt; Как будто всё что идёт на 2.2.2.2 пытается завернуться в туннель. <br>&gt; Подскажите как это решить?<br><br> Галочку Add default route снять в свойствах туннеля/соединения<br><br>