Проблема с DHCP Relay, который не работает через IPSec туннель. Нашёл несколько предыдущих сообщений и попробовал предложенные там решения — без результата. Это временная схема на несколько месяцев, поэтому не хочу тратить на это слишком много времени, но было бы здорово, если бы всё заработало.
Сейчас использую встроенный DHCP сервер RouterOS на «удалённой» стороне, но хотел бы при помощи релэя обслуживать «удалённую» сторону с помощью Windows 2008R2 DHCP сервера на «основной» стороне.
Настройка осложнена небольшим «костылём», который пришлось сделать на «удалённом» роутере, чтобы IPSec туннель поднялся, из-за неидеальной конфигурации вне моего контроля.
Основный сайт: RB750 — интерфейс PPPoE Client выступает в роли шлюза в Интернет.
Удалённый сайт: RB750 — интерфейс Ether1 настроен как шлюз с адресом 192.168.0.250. Он подключается к другому устройству с адресом 192.168.0.1, которое через NAT выходит в Интернет.
Чтобы IPSec туннель заработал, пришлось добавить публичный IP удалённого сайта на RB750 как дополнительный IP для интерфейса Ether1. Есть правило src-nat masquerade по умолчанию, плюс правило src-nat с источником 10.10.0.0/16 (удалённый сайт), назначение 10.0.0.0/16 (один VLAN на основном сайте) с действием ‘accept’. Также пробовал добавить правило src-nat с источником без указания, назначением 10.0.0.0/16 и src-nat на адрес 10.10.0.254 — не сработало.
Есть идеи? Как уже сказал, это временная настройка, которая будет отключена через пару месяцев — удалённый сайт заменят другим, где RB750GL будет напрямую получать публичный IP через PPPoE клиент.
Сейчас использую встроенный DHCP сервер RouterOS на «удалённой» стороне, но хотел бы при помощи релэя обслуживать «удалённую» сторону с помощью Windows 2008R2 DHCP сервера на «основной» стороне.
Настройка осложнена небольшим «костылём», который пришлось сделать на «удалённом» роутере, чтобы IPSec туннель поднялся, из-за неидеальной конфигурации вне моего контроля.
Основный сайт: RB750 — интерфейс PPPoE Client выступает в роли шлюза в Интернет.
Удалённый сайт: RB750 — интерфейс Ether1 настроен как шлюз с адресом 192.168.0.250. Он подключается к другому устройству с адресом 192.168.0.1, которое через NAT выходит в Интернет.
Чтобы IPSec туннель заработал, пришлось добавить публичный IP удалённого сайта на RB750 как дополнительный IP для интерфейса Ether1. Есть правило src-nat masquerade по умолчанию, плюс правило src-nat с источником 10.10.0.0/16 (удалённый сайт), назначение 10.0.0.0/16 (один VLAN на основном сайте) с действием ‘accept’. Также пробовал добавить правило src-nat с источником без указания, назначением 10.0.0.0/16 и src-nat на адрес 10.10.0.254 — не сработало.
Есть идеи? Как уже сказал, это временная настройка, которая будет отключена через пару месяцев — удалённый сайт заменят другим, где RB750GL будет напрямую получать публичный IP через PPPoE клиент.
