Eoip + IPsec одна сеть

помогите понять, что я не так делаю, к сожалению я только начинаю, возможно где то ошибся. нужна сеть одна, 2 точки, соединить 2 роутерами. DHCP один, на первой. но бог с ним пока, не могу понять почему туннель не поднимается. фаерволл вообще отключил. на втором тоже самое только в eoip адреса местами поменяны

 

Пришлите хотя бы настройку EoIP на одном и на втором маршрутизаторе. А лучше вообще более подробно опишите задачу и сеть с адресами

 

Спасибо за ответ а я вроде скрины прикладывал, там на нем есть настройка Eoip. как в инструкции я там в сущности прописал локальный адрес и удаленный, пароль ipsec secret , ну там есть на фото. и больше ничего другого.

 

Без IPSec пробовали?

 

если честно, то нет, не догадался. попробую, дома все лежит, я сейчас отъехал часа на 4. пришлось WAN симулировать через свитч, что бы как то имитировать Сеть. А в целом все что на скринах, верно?

 

Сложно сказать потому что не понятно некоторое... Почему два бриджа (bridge и bridge1)? И вообще лучше конфиг в текстовом виде пришлите, так будет гораздо удобнее

 

Я понял, доберусь попробую скинуть bridge1, по инструкции делал для eiop туннеля, что бы связать его и локальные порты

 

Щас понял что похоже вы решили выполнить инструкцию поверх дефолтной конфигурации и отсюда путаница с бриджами, вам интерфейс eoip надо положить в один бридж с eth2-5, он уже создан с названием bridge. А в интерфейс LAN видимо вы зачем-то переименовали ether1, подозреваю что это как бы WAN, он вообще не должен быть в бридже.

 

Я не знаю, можно ли дать ссылку на статью, но надеюсь меня не забанят посмертно, я ещё не дома. но вот статья:
https://mikrotik.wiki/wiki/VPN:EoIP_и_IPsec_(быстрая_настройка,_аутентификация_с_помощью_пароля)

 

Добрый день!
Вот обновился до 7.18 Все сбросил на дефолтный конфиг. собрал опять туннель , но не лезет "каменный цветок".. Вот конфиги, прикладываю конфиги.
ВОТ Типа Основной офис:

# 2025-03-10 12:53:12 by RouterOS 7.18.2
# software id = TFFU-1USB
#
# model = RBD52G-5HacD2HnD
# serial number = **************
/interface bridge
add admin-mac=D4:01:C3:3A:AF:85 auto-mac=no comment=defconf name=bridge
/interface eoip
add allow-fast-path=no comment=Office local-address=192.168.100.1 \
mac-address=02:85:BA:E3:87:69 name=eoip-tunnel1 remote-address=\
192.168.100.2 tunnel-id=5
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/ip pool
add name=dhcp ranges=192.168.1.100-192.168.1.120
/ip dhcp-server
add address-pool=dhcp disabled=yes interface=bridge name=defconf
/disk settings
set auto-media-interface=bridge auto-media-sharing=yes auto-smb-sharing=yes
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge interface=eoip-tunnel1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/ip address
add address=192.168.1.1/24 comment=defconf interface=bridge network=\
192.168.1.0
add address=192.168.100.1/24 interface=ether1 network=192.168.100.0
/ip dhcp-client
add comment=defconf disabled=yes interface=ether1
/ip dhcp-server network
add address=192.168.1.0/24 comment=defconf dns-server=192.168.1.1 gateway=\
192.168.1.1 netmask=24
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.1.1 comment=defconf name=router.lan type=A
/ip firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
"defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN
add action=accept chain=input dst-port=500,4500 protocol=udp
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
ipsec-policy=out,none out-interface-list=WAN
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" \
dst-port=33434-33534 protocol=udp
add action=accept chain=input comment=\
"defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
ipsec-esp
add action=accept chain=input comment=\
"defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
"defconf: drop everything else not coming from LAN" in-interface-list=\
!LAN
add action=fasttrack-connection chain=forward comment="defconf: fasttrack6" \
connection-state=established,related
add action=accept chain=forward comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
"defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
ipsec-esp
add action=accept chain=forward comment=\
"defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
"defconf: drop everything else not coming from LAN" in-interface-list=\
!LAN
/system note
set show-at-login=no
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

 

ВОТ ТИПА ФИЛИАЛ:
# 2025-03-10 13:03:25 by RouterOS 7.18.2
# software id = RFFU-QATF
#
# model = E50UG
# serial number = *************
/interface bridge
add admin-mac=F4:1E:57:6B:77:32 auto-mac=no comment=defconf name=bridge
/interface eoip
add allow-fast-path=no local-address=192.168.100.2 mac-address=\
02:84:B4:C0:8E:7A name=eoip-tunnel1 remote-address=192.168.100.1 \
tunnel-id=5
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/ip pool
add name=dhcp ranges=192.168.1.200-192.168.1.220
/ip dhcp-server
add address-pool=dhcp interface=bridge name=defconf
/disk settings
set auto-media-interface=bridge auto-media-sharing=yes auto-smb-sharing=yes
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge interface=eoip-tunnel1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/ip address
add address=192.168.1.2/24 comment=defconf interface=bridge network=\
192.168.1.0
add address=192.168.100.2/24 interface=ether1 network=192.168.100.0
/ip dhcp-client
add comment=defconf disabled=yes interface=ether1
/ip dhcp-server network
add address=192.168.1.0/24 comment=defconf dns-server=192.168.1.2 gateway=\
192.168.1.2 netmask=24
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.1.2 comment=defconf name=router.lan type=A
/ip firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
"defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN
add action=accept chain=input dst-port=500,4500 protocol=udp
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
ipsec-policy=out,none out-interface-list=WAN
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" \
dst-port=33434-33534 protocol=udp
add action=accept chain=input comment=\
"defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
ipsec-esp
add action=accept chain=input comment=\
"defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
"defconf: drop everything else not coming from LAN" in-interface-list=\
!LAN
add action=fasttrack-connection chain=forward comment="defconf: fasttrack6" \
connection-state=established,related
add action=accept chain=forward comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
"defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
ipsec-esp
add action=accept chain=forward comment=\
"defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
"defconf: drop everything else not coming from LAN" in-interface-list=\
!LAN
/system note
set show-at-login=no
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

 

Именно туннель не поднимается или пингов нет? Также лучше отключите все правила firewall filter чтоб убедиться что проблема не в дефолтных правилах

 

Сорри, не заметил... Вообщем файерволл если отключить то работает, правило вот это не пускает: add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN

А так вроде работает, да с IPSec по паролю, но тем не менее.. И даже если в филиале отключить DHCP то получает по туннелю от центрального оффиса типа... Надо с правилом разобраться как тогда разрешить трафик с eoip при том что я его в бридж по умолчанию завернул. который типа локальный.
. Вы не пробежитесь по конфигурации если конечно время будет, все ли относительно нормально?

 

Ну это дефолтная конфигурация с добавленным туннелем, лучше конечно научиться потом настраивать с "нуля" а не с дефолта чтоб не попадать в ситуации когда какое-то дефолтное правило которые вы не писали вам мешает, но не забудьте про безопасность (без дефолтных настроек микрот открыт для всего), про базовую настройку много где написано

 

Спасибо за ответ, у меня просьба не могли бы вы помочь с правилом для firewall я уже сломал половину черепа, пытаясь понять как пропустить, везде опять пишут что лучше вывести в отдельный бридж, и уже потом его в правилах прописывать.. Типа вот такого: Проблема связана с тем, что интерфейс eolp-tunnel1 является подчиненным (slave) и входит в состав моста (bridge). В MikroTik правила фаервола не могут напрямую ссылаться на slave-интерфейсы — вместо этого нужно использовать мастер-интерфейс (например, сам мост). И все начинает сыпаться... и туннель не работает...

 

Так а правило какое хотите написать?

 

что бы туннель пропускало в локалку.

 

EoIP это L2 туннель, учитывая что он в одном bridge с локалкой никакие правила для его прохода не нужны + вы сами написали что DHCP получает на другом филиале то есть трафик идёт

 

Да, написал, но.. это только при отключенном файеровлле

 

Вы отключили как писали одно правило:
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
Оно запрещало обращаться к маршрутизатору не из локальной сети, под "обращаться" понималось всё - управление, DNS запросы и т.п.
Вам нужно настроить более точные запреты, по типу:
add action=drop chain=input in-interfaces=ether1 dst-port=80 /// закрываем web по внешнему адресу
add action=drop chain=input in-interfaces=ether1 dst-port=8291 /// закрываем winbox по внешнему адресу
и т.п.
Лишние возможности для управления лучше вообще отключить в IP Services если точно не будете ими пользоваться