http://mikrotik.moscow Новое в теме Маршрутизация между VLAN через IPSec VPN форума RouterOS на сайте Mikrotik.moscow [mikrotik.moscow] ru http://backend.userland.com/rss2 Sun, 10 May 2026 18:05:59 +0300 Маршрутизация между VLAN через IPSec VPN RouterOS в форуме RouterOS.
Нет. Нет таких «IPsec-интерфейсов», к которым можно применить маршруты, потому что Mikrotik не реализует аналог Cisco VTI или аналогичный вариант от других производителей. Политики IPsec сопоставляют трафик для передачи или туннелирования на основе комбинации адресов, протоколов и портов. Пакет, соответствующий политике, инкапсулируется при выходе и декаркапсулируется при входе. Подробнее см. https://help.mikrotik.com/docs/display/ROS/Packet+Flow+in+RouterOS#PacketFlowinRouterOS-LogicalInterfaces
14.05.2022 23:34:00, tdw.]]> http://mikrotik.moscow/forum/forum57/89244-marshrutizatsiya-mezhdu-vlan-cherez-ipsec-vpn/message435017 http://mikrotik.moscow/forum/forum57/89244-marshrutizatsiya-mezhdu-vlan-cherez-ipsec-vpn/message435017 Sat, 14 May 2022 23:34:00 +0300 RouterOS Маршрутизация между VLAN через IPSec VPN RouterOS в форуме RouterOS.
Привет! При просмотре этого я не совсем понял, какую конкретно конфигурацию ты хочешь, чтобы я предоставил? Думаю, я не объяснил всё полностью, но с обеих сторон в IPSec VPN подключении используются не Mikrotik-устройства. С той стороны, о которой идёт речь, Mikrotik подключён к фаерволу, который обеспечивает WAN, NAT, интернет-фильтрацию и VPN. Mikrotik отвечает за локальную маршрутизацию и файервол между VLAN. Проблема в том, что когда я подключаюсь к Management VLAN, могу получить доступ только к ресурсам этого подсети, что логично. Я пытаюсь сделать так, чтобы были доступны и другие VLAN-подсети, поэтому предполагаю, что мне нужно маркировать и маршрутизировать IPSec-трафик или что-то в этом роде? Спасибо, t04s
14.05.2022 22:04:00, t04s.]]> http://mikrotik.moscow/forum/forum57/89244-marshrutizatsiya-mezhdu-vlan-cherez-ipsec-vpn/message435016 http://mikrotik.moscow/forum/forum57/89244-marshrutizatsiya-mezhdu-vlan-cherez-ipsec-vpn/message435016 Sat, 14 May 2022 22:04:00 +0300 RouterOS Маршрутизация между VLAN через IPSec VPN RouterOS в форуме RouterOS.
Я не совсем понимаю, о какой компании или организации ты говоришь. Уже есть более удобное решение, так что это не проблема. Вопрос был задан просто ради понимания. Если ты не хочешь участвовать, обсуждать или помогать, то не понимаю, зачем вообще отвечать.
11.05.2022 18:48:00, t04s.]]> http://mikrotik.moscow/forum/forum57/89244-marshrutizatsiya-mezhdu-vlan-cherez-ipsec-vpn/message435015 http://mikrotik.moscow/forum/forum57/89244-marshrutizatsiya-mezhdu-vlan-cherez-ipsec-vpn/message435015 Wed, 11 May 2022 18:48:00 +0300 RouterOS Маршрутизация между VLAN через IPSec VPN RouterOS в форуме RouterOS.
Ну, надеюсь, кто-нибудь зайдёт и поможет. Раз у вас есть временное решение, бизнес, который вы поддерживаете, может подождать, пока найдут более подходящий вариант, или можно нанять специалиста с нужной подготовкой.
11.05.2022 18:37:00, anav.]]> http://mikrotik.moscow/forum/forum57/89244-marshrutizatsiya-mezhdu-vlan-cherez-ipsec-vpn/message435014 http://mikrotik.moscow/forum/forum57/89244-marshrutizatsiya-mezhdu-vlan-cherez-ipsec-vpn/message435014 Wed, 11 May 2022 18:37:00 +0300 RouterOS Маршрутизация между VLAN через IPSec VPN RouterOS в форуме RouterOS.
Извините, я думал, это форум для вопросов и просьб о помощи… иначе в чём тогда смысл? Спасибо, t04s
11.05.2022 17:36:00, t04s.]]> http://mikrotik.moscow/forum/forum57/89244-marshrutizatsiya-mezhdu-vlan-cherez-ipsec-vpn/message435013 http://mikrotik.moscow/forum/forum57/89244-marshrutizatsiya-mezhdu-vlan-cherez-ipsec-vpn/message435013 Wed, 11 May 2022 17:36:00 +0300 RouterOS Маршрутизация между VLAN через IPSec VPN RouterOS в форуме RouterOS.
Наверняка в вашей организации есть сертифицированный специалист по MT IPSEC? Если нет — вот ссылка: https://mikrotik.com/consultants
11.05.2022 17:30:00, anav.]]> http://mikrotik.moscow/forum/forum57/89244-marshrutizatsiya-mezhdu-vlan-cherez-ipsec-vpn/message435012 http://mikrotik.moscow/forum/forum57/89244-marshrutizatsiya-mezhdu-vlan-cherez-ipsec-vpn/message435012 Wed, 11 May 2022 17:30:00 +0300 RouterOS Маршрутизация между VLAN через IPSec VPN RouterOS в форуме RouterOS.
Кто-нибудь может предложить лучший способ это сделать? Спасибо, t04s
11.05.2022 16:29:00, t04s.]]> http://mikrotik.moscow/forum/forum57/89244-marshrutizatsiya-mezhdu-vlan-cherez-ipsec-vpn/message435011 http://mikrotik.moscow/forum/forum57/89244-marshrutizatsiya-mezhdu-vlan-cherez-ipsec-vpn/message435011 Wed, 11 May 2022 16:29:00 +0300 RouterOS Маршрутизация между VLAN через IPSec VPN RouterOS в форуме RouterOS.
Привет, Ларса, спасибо за ответ. К сожалению, местная сторона — это Draytek 3910, но я вполне могу получить это с удалённой стороны. Без проблем, я вернусь к этому вопросу. Спасибо, t04s
11.05.2022 19:28:00, t04s.]]> http://mikrotik.moscow/forum/forum57/89244-marshrutizatsiya-mezhdu-vlan-cherez-ipsec-vpn/message435010 http://mikrotik.moscow/forum/forum57/89244-marshrutizatsiya-mezhdu-vlan-cherez-ipsec-vpn/message435010 Wed, 11 May 2022 19:28:00 +0300 RouterOS Маршрутизация между VLAN через IPSec VPN RouterOS в форуме RouterOS.
Привет, t04s! Если и на удалённой, и на локальной стороне стоят устройства Mikrotik, было бы полезно, если бы ты мог показать соответствующую конфигурацию (то есть команду «/export -hide-sensitive»), чтобы мы могли её проанализировать и дальше обсудить.
11.05.2022 19:01:00, Larsa.]]> http://mikrotik.moscow/forum/forum57/89244-marshrutizatsiya-mezhdu-vlan-cherez-ipsec-vpn/message435009 http://mikrotik.moscow/forum/forum57/89244-marshrutizatsiya-mezhdu-vlan-cherez-ipsec-vpn/message435009 Wed, 11 May 2022 19:01:00 +0300 RouterOS Маршрутизация между VLAN через IPSec VPN RouterOS в форуме RouterOS.
RouterOS: v6.48.4  
Router: CCR1036-12G-4S  

Привет!  
У нас есть удалённый объект с четырьмя VLAN:  
- Management VLAN - 172.22.20.0/24  
- VLAN 1 - 172.22.21.0/24  
- VLAN 2 - 172.22.22.0/24  
- VLAN 3 - 172.22.23.0/24  

Между VLAN настроена маршрутизация, и мы ограничиваем трафик между VLAN с помощью встроенного фаервола. Локально мы можем подключаться к Management VLAN, пинговать шлюзы VLAN и любые устройства, которым разрешён проход через фаервол.  

На локальной сети у нас подсеть 192.168.150.0/24, которая подключена через IPSec VPN к удалённой Management VLAN 172.22.20.0/24. Это позволяет локальным администраторам получить доступ и управлять удалённой сетью.  

Проблема в том, что при подключении через VPN меж VLAN маршрутизация перестаёт работать, и мы не можем ни пинговать, ни получить доступ к шлюзам VLAN. Похоже, что это не проблема фаервола, ведь на шлюзы VLAN по идее должен приходить отклик, а правила разрешают трафик с локальной сети.  

В качестве временного обходного решения мы настроили несколько phase two на VPN — по одному для каждой подсети. Но это не оптимально с точки зрения безопасности, потому что теперь мы напрямую подключаем локальную сеть к каждой удалённой VLAN, обходя политику безопасности.  

В идеале мы хотим подключаться к management сети и нормально маршрутизировать трафик на другие VLAN, при этом учитывая правила фаервола.  

Кто-нибудь знает, как это можно сделать?  

Спасибо,  
t04s
17.03.2022 16:57:00, t04s.]]> http://mikrotik.moscow/forum/forum57/89244-marshrutizatsiya-mezhdu-vlan-cherez-ipsec-vpn/message435008 http://mikrotik.moscow/forum/forum57/89244-marshrutizatsiya-mezhdu-vlan-cherez-ipsec-vpn/message435008 Thu, 17 Mar 2022 16:57:00 +0300 RouterOS