Buongiorno,
è da un pò che sto cercando di configurare e gestire il routing tra mikrotik e cisco asa in vpn ipsec ma ho qualche difficoltà a capire una cosa...
La VPN tra mikrotik e ASA sale correttamente, riesco anche a pingare entrambe le sedi senza problemi. Il problema sorge quando cerco di far ruotre tutto il traffico del mikrotik nel tunnel ipsec per farlo uscire su internet dalla sede principale dove ho l'ASA.
Ho creato modificato le seguanti regole per il routing:
/ip ipsec policy add dst-address=192.168.1.0/24 level=unique proposal=proposal1 sa-dst-address=xx.xx.xx.xx sa-src-address=0.0.0.0 src-address=192.168.88.0/24 tunnel=yes
Con questa regola il ping funziona correttamente.
Poi ho aggiunto quest'altra regola:
/ip ipsec policy add disabled=yes dst-address=0.0.0.0/0 level=unique proposal=proposal1 sa-dst-address=xx.xx.xx.xx sa-src-address=0.0.0.0 src-address=192.168.88.0/24 tunnel=yes
Con questa riesco a ruotare tutto il traffico sul tunnel.
Il mio problema è questo:
1) perchè è necessario scrivere entrambe le regole perchè io possa continuare a pingare le due sottreti interne? Non basta solo la seconda regola (0.0.0.0/0 dovrebbe comprendere anche la sottorete 192.168.88.0/24)
2) perchè quando attivo la seconda regola generale, il ping verso il mikrotik gw dalla sottorete dell'ASA non va più? (senza la regola 0.0.0.0 funziona perfettamente)
Quancuno sa darmi delle spiegazioni?
Grazie in anticipo.
