如何从 IPSEC 策略中排除 LAN 流量

如何从 IPSEC 策略中排除 LAN 流量

我正在尝试用另一个 (Mikrotik RB951G-2HnD) 替换防火墙/VPN 设备 (Snapgear SG300)。我当前的路由器可以工作,但是,对于新的 mikrotik 路由器,当我添加第 2 阶段隧道时,我无法再访问路由器。

我怀疑该问题是由于我的 LAN 只是传输到我办公室的隧道的一个子集而引起的。

如果我有一条第 2 阶段隧道 10.0.0.0/8,并且我的本地 LAN 是 10.1.1.0/24(路由器是 10.1.1.1),我该如何设置?

我确实尝试创建一个排除 10.1.1.0/24 --> 10.1.1.0/24 通过的策略,但要么我做错了,要么这不是正确的做法。

答案1

避免路由不一致的唯一方法是配置与 LAN 段不重叠的隧道。

看看RouterOS 的数据包流图表。如果你的隧道的 CIDR 这么宽,所有的数据包都会到达 IPsec 加密步骤,一旦到达那里,IPsec 策略不会提供您想要配置的“忽略 IPsec”行为;数据包可能未加密(IPsec 操作=无),但会添加 IPsec 协议标头,并且 IP 地址可能会根据 SA 被破坏。

相关内容