A kapcsolódás sikeres, viszont amint felkonfigurálom a második helyi subnetet, onnantól az első subnet felől már pingelni se tudom a túloldalon található netet, csak az utoljára felkonfigurált subnet felől. Cisco - Cisco eszközök közt már több Site-to-Site VPN sikeresen működik mindkét subnet felől.
config részlet:
---------------
access-list 114 remark Site2Site - CEG01
access-list 114 remark SDM_ACL Category=4
access-list 114 remark IPSec Rule
access-list 114 permit ip 192.168.0.0 0.0.1.255 10.1.0.0 0.0.255.255
---------------
ebben az esetben a 192.168.0.0/23 tartomány felől elérhető a túloldali 10.1.0.0/16
Ha az alábbi sor is bekerül a konfigba:
config részlet folytatása:
--------------------------
access-list 114 permit ip 192.168.2.0 0.0.1.255 10.1.0.0 0.0.255.255
--------------------------
ebben az esetben a 192.168.2.0/23 tartomány felől is elérhető kellene legyen a túloldali 10.1.0.0/16
viszont ekkor a 192.168.0.0/23 tartomány felől már nem megy a ping sem.
És ezt eddig csak Mikrotik eszközök irányában produkálja.
Találkoztatok már ilyen hibával?
- 4984 megtekintés
Hozzászólások
Ilyen akkor szokott lenni, ha a túloldalon (mikrotik) nem ugyanígy vannak az ACL-ek definiálva.
- A hozzászóláshoz be kell jelentkezni
Nekem volt hasonló problémám, a mikrotik oldalon kell módosítani:
1. IPsec policy Level=unique (mindegyik subneten)
2. Firewall NAT fülön srcnat szabályok felvétele subneteknek megfelelően a masq elé.
3. eszköz restart, mert általában csak akkor érvénysül.
- A hozzászóláshoz be kell jelentkezni
Köszönöm, ezt kipróbáltatom a mikrotik oldalon.
- A hozzászóláshoz be kell jelentkezni
1. ez a pont hiányzott nálunk
2. ez be volt állítva
3. restart megtörtént
Sajnos, nem segített az 1-es pont (+3-as), esetleg egyéb ötlet?
Több jól működő VPN is van ugyanezen a Cisco 1811-es routeren, de csak a mikrotik eszköz irányba van ez a hiba?!
- A hozzászóláshoz be kell jelentkezni
Ha van rá lehetőséged akkor próbáld egybe.
Így: 192.168.0.0 0.0.3.255 10.1.0.0 0.0.255.255
- A hozzászóláshoz be kell jelentkezni