我试图用另一台(Mikrotik RB951G-2HnD)replace防火墙/ VPN设备(Snapgear SG300)。 我目前的路由器工作,但是,对于新的mikrotik路由器,当我添加阶段2隧道,我不能再访问路由器。
我怀疑这个问题是由于我的局域网是隧道传输到我的办公室的一个子集造成的。
如果我有一个10.0.0.0/8阶段2隧道,我的本地局域网是10.1.1.0/24(和路由器是10.1.1.1),我该如何设置?
我确实试图创build一个排除了10.1.1.0/24 – > 10.1.1.0/24的策略,但是我做错了,或者这不是正确的做法。
避免路由不一致的唯一方法是configuration一个不与你的LAN段重叠的隧道。
看看RouterOS的数据包stream程图 。 如果隧道的CIDR很宽,所有的数据包都将到达IPsecencryption步骤,并且一旦IPsec策略不会提供您想要configuration的“忽略IPsec”行为; 数据包可能不会被encryption(IPsec action = none),但IPsec协议头将被添加,IP地址可能会根据SA进行修改。