с выключенными правилами ната на сайте А (та что 192.168.22.0/24)

Врубай и тестируй

что тестировать?

трейс

Ну с каким у тебя перестаёт работать? То включай и запускай трейс

ну я и так знаю где

я не вижу тот конец тоннеля

я же предварительно проверил, и первое что сделал - с микротиков друг друга просто 10.255.1.4/30 попинговал

ответ отрицательный, связности нет

а вот почему ее нет - вот это я к вам и пришел

а что указанно в качестве локального адреса у гре тунеля?

а что указанно в качестве локального адреса у гре тунеля?

внешний айпи свой, внешний айпи удаленный

покажи в циферках

У меня GRE+IPSEC и вот такие правила

в NAT

Трассировку покажи все же. Затык после какого хопа?

Чудно!

наааастроооойкииии иииинтеееерфеееейсооооов

dst лист покажи ка

наааастроооойкииии иииинтеееерфеееейсооооов

?

обожаю кумамона :3

обожаю кумамона :3

в каком смысле настройки интерфейсов то?

ну, знаешь, /interface gre export

один смотрит на А с айпи Б, с другой стороны смотрят в Б со своего А

я один хрен всё замажу, ну щас ок

да замазывай все что хочешь, последние октеты оставь

1)IPSEC-PEER c PUB IP 2)IPSEC политики с PUB IP 3)GRE c PUB IP 4)ADD IP GRE to ADDRESS(/30) (серая подсеть) 5)ROUTE REMOTE SUB (/24) to GRE-tun 6)NAT by pass Мой алгоритм GRE+IPSEC+NAT

может поможет

Вот вы мне скажите - если ни под одного правило в нате не подпало, тогда ... ?

dst-list выключи

В нём никакого смысла в нате нет

В нём никакого смысла в нате нет

т.е. просто напросто подпадает под это правило?

Вот вы мне скажите - если ни под одного правило в нате не подпало, тогда ... ?

что будет то?

мне там нужно вверх дописать еще accept?

да

Мне просто интересно, что будет, если лист убрать.

Мне просто интересно, что будет, если лист убрать.

убрал, same

Он на gre не распространяется так и так

Он на gre не распространяется так и так

ну вот и я думаю нахрена я буду писать эти accept

если я тебя правильно понял, посмотри мой скриншот выше, у меня accept выше всего

чтобы не натить трафик локальный

(но я пробовал писать акцепты, на всякий случай сообщаю)

чтобы не натить трафик локальный

так у меня трафик локальный летит в трубу gre, а ее же не указано в нат правиле

если я верно понимаю как оно работает - то это единственное правило не должно стать помехой

ты попробуй

у меня тоже все в тунель уходит

gre поверх ipsec

А вообще может сработать)

сделал, не сработало

подскажите RB3011 но не RB3011 :) Мне в стойку его за глаза, но их с производства сняли :(

сделал, не сработало

Ты в маршрутизации интерфейсы на ip поменял?

в обе стороны правило?

Ты в маршрутизации интерфейсы на ip поменял?

я кароч ошибся, у меня адресами всё прописано было

я кароч ошибся, у меня адресами всё прописано было

Ок

в обе стороны правило?

всмысле на обоих ли ровтерах?

Бред какой-то кароч

да, на обоих с 2 сторон

вопрос - а вот сам ровтер ставит тоннель - ему же ваще пофигу есть ли там src-nat или нет так?

ну вот смотри, сниху маскарад

ERROR: S client not available

ну да да так и сделал ты же выше уже

маскарад мне не нужн, у мея src-nat

в самом верху правило локальной сети и сетей вне этого миркротика

(я чот сразу презентацию вспомнил где чувак грит на постоянных интерфейсах вместо маскарадинга делать всегда src-nat)

чтото с листами

Два правило

для маскарад

щас оставлю только RFC1918

и выше его два

для сети локальной и внешней

и наоброт

те две /24 что тестишть

попробуй чисто три правила

те две /24 что тестишть

ну а разницы? ну добавил я ваще все RFC1918

сделал, не работает

добавил в правило если ты идешь с приватного адреса на приватный адрес - то accept

а, и обратно ты имеешь ввиду

щаас

бгг, а какая разница

оно и туда и сюда у меня работает

просто я твои 2 правила одним прописал

не работает

уже наверно не акктуален скрин

Это глюк!

уже наверно не акктуален скрин

ну я и говорю, что у меня тож самое только 1 правилом

Это глюк!

че ребут?

Рось какая?

давай