Объедининение офисов через VLAN провайдера

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
AndriyLL
Сообщения: 0
Зарегистрирован: 11 июн 2016, 09:57

Всем привет. помогите решить проблему.
Не могу объединить офисы.
Есть несколько офисов один главный, инет через одного провайдера, ай пи статическая только на главном ( пров по каким то только ему понятных причинах не может дать статику на остальные ) но пров. прокинул VLAN между ими .
На одном микротике на интерфейсе который смотрит на провайдера создал ВЛАН интерфейс присвоил ему айпи, на другом аналогично , инерфейсы ВЛАН запихнул в бридж к локальным портам. С одного на другой ВЛАНы пингуются , какой то мизерный трафик бегает. Но с одной сети в другую ничего не видно и нет пинга.
Не могу понять что я пропустил. Буду очень благодарен за помощь.


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО



Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
AndriyLL
Сообщения: 0
Зарегистрирован: 11 июн 2016, 09:57

Да все так и есть , но могу пинговать только ВЛАН интерфейсь с одного на другой . Внутенние айпи никак ((((


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

А верхнюю часть страницы читать религия не позволяет? Или задача стоит "А давайте погадаем!"" ?
Пункты 4, 5 и 6 в полном объеме к исполнению, пожалуйста. Без этого тема будет закрыта.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

AndriyLL писал(а):Да все так и есть , но могу пинговать только ВЛАН интерфейсь с одного на другой . Внутенние айпи никак ((((


Может мой совет покажется наивно-глупым, но временно уберите бридж из вилана...или вилан из бриджа.

1) И хотелось бы уточнить, адресация виланов и вашей локальной сети разная?

2) Торч прямо с микротика/ов что показывает? Торч надо запустить и с интерфейса на котором создан вилан и на самом вилане,
проверить что на основном интерфейсе приходит тэгированный трафик, а на вилане он есть также уже без тэга.

(может опять смешно показаться, но опыт - но мне пров умудрился в служебный канал, на котором у меня 6 виланов загнать своих клиентов "физиков" в виде нативного вилана + весь их трафик и нетбиос ещё и его BRAS также светился,пришлось трафик этот отдельным виланом "окрашивать" и не пускать далее)

3) Ну и соглашусь с последним ответом, что хотелось бы побольше информации, или скринов хотя бы с винбокса/экспорта части конфигов.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
AndriyLL
Сообщения: 0
Зарегистрирован: 11 июн 2016, 09:57

в архиве два конфига . 1 глваный . 2 второй офис

Пинги идут

Изображение


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

AndriyLL писал(а):в архиве два конфига . 1 глваный . 2 второй офис
Пинги идут


Спасибо за картинки и конфиги, и всё же остаётся осущения или я туплю или чё-то не допонимаю.

Подытожим:
У вас вилан работает, пингуются офис1 (172.16.0.1) и офис2 (172.16.0.2), сетка у вас в обоих офисах одна (192.168.88.0/24).
Тогда вопрос - что вы хотите или как вы именно хотите увидеть работу вилана?
Если вы хотите обращаться с одного компа (офиса1) на другой комп в (офис2), то надо значит компы переводить в 172.16.0.ххх адресацию,
или наоборот, 192.168.88.хх адресацию вводить в вилан (на интерфейсе).
Или второй уточняющий вопрос - вы хотите через подсеть вилана (172.16.0.0/24) сделать маршрутизацию между офисами (видеть 192.168.88.0/24)?
(тогда это уже маршрутизация как я и сказал и это уже L3 и вперёд, пару статических правил и увидите, правда в филиале в одном придётся локальную сетку сменить или сети масками "порезать").

Итог:
в рамках модели OSI, первый и вторые уровни у вас настроены, либо второй уровень подкорректируйте, или переходите к 3-ему (я бы так и сделал, подняв GRE-туннель и маршрутами...)



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
AndriyLL
Сообщения: 0
Зарегистрирован: 11 июн 2016, 09:57

Забыл предупредить что я чайник :-):
Если вы хотите обращаться с одного компа (офиса1) на другой комп в (офис2), то надо значит компы переводить в 172.16.0.ххх адресацию,
или наоборот, 192.168.88.хх адресацию вводить в вилан (на интерфейсе).

Только что поменял айпи на вилан интерфейсах . пинг пропал :wo)(ll:
Или второй уточняющий вопрос - вы хотите через подсеть вилана (172.16.0.0/24) сделать маршрутизацию между офисами (видеть 192.168.88.0/24)?

именно так я и хотел, и как видите не получилось :-): не знаю как маршрутизацию настроить .
Буду благодарен если подскажете как прибить ДНСР что би не бегали запросы с одного офиса на другой и на третий . айпи будет выдавать в каждом свой роутер , на тот случай если главный станет раком то пусть хоть инет у них работает.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

GRE-step-by-step1.jpg
AndriyLL писал(а):Забыл предупредить что я чайник :-):

Ну это исправимо. Главное вникать, читать и анализировать!

именно так я и хотел, и как видите не получилось :-): не знаю как маршрутизацию настроить .
Буду благодарен если подскажете как прибить ДНСР что би не бегали запросы с одного офиса на другой и на третий . айпи будет выдавать в каждом свой роутер , на тот случай если главный станет раком то пусть хоть инет у них работает.


1) БАЗИС:
1.1) Настраиваем два роутера каждый независимо друг от друга, с разными локальными сетями. Думаю основной офис лучше не трогать (не менять адресацию), а второй офис сменить и сделать там скажем сеть 192.168.89.0/24
Надеюсь как настроить роутер - Вы справитесь.
1.2) заранее совет - когда будете делать бридж (локальный), на бридж ставите локальную адресацию и DHCP на нём вешаете (что в одном роутере, что в другом).
1.3) До конца всё описывать не буду, Вы должны справиться сами.

2) VLAN:
2.1) Поднимаете вилан(ы), даёте вилан-интерфейсам адресацию, можно сетку небольшую выделить, скажем 172.16.0.0/30, но если вам не удобно, берите /24, тут не суть важно.
2.2) проверяете как и ранее, что вилан работает и Вы с одного микротика видите другой (айпи вилана одного пингуется другим, и наоборот)

3) GRE-туннель:
Так как у вас вилан сделан на статической адресации, то поднимем GRE туннель который позволит уже логически объединить сети наши:
3.1) создаёте GRE-туннель, в настройках лишь указываете (Remote Address: ip вилана удалённого микротика, и на другом микротике также) и всё;
3.2) открываете IP-Routes и вписываете статический маршрут
(в главном офисе сетка 88.0/24 а в удалённом 89.0/24), значит на главном микротике добавляете маршрут указав сетку 89.0/24 искать через GRE-туннель (прямо мышкой кликаете по полю Gateway и потом в списке выбираете ваш GRE-туннель), а на другом микротике, наоборот, что маршрут для сети 88.0/24 через GRE-туннель. Тем самым вы указали микротикам где им искать ваши сети.
3.3) трассеровкой с компьютера который подключён к сети и у которого шлюз стоит микротиком пытаетесь отрасировать адрес удалённого узла/сети/компа (при условии что в другом офисе другой комп подключён и шлюзом у него тоже стоит микротик свой).

Если приводить на примерах (условно), то компьютер с адресом скажем 192.168.88.11 должен уйти на микротик, потом запрос с адреса 172.16.0.1 уйдёт на 172.16.0.2 и на компьютер 192.168.89.12

При такой сети (если нигде не ошибётесь) каждая сеть будет независима, работать будет сама по себе (локальные клиенты получают адресацию от своего роутера, выходят в Инет от своего адреса) и лишь при запросе другой подсети, уходят в туннель и достигают другого филиала/офиса. Работать офисы смогут только по IP-адресации, виндовые шары по имени работать не будут. Почта,сайты, иные доступы, порты - всё будет прозрачно.
И всё - данная задача решена для Вас.

P.S. (для профессионалов)
1) Да, можно было сделать ещё проще;
2) Можно было сделать ещё и иначе, и/или другими средствами/возможностями;
Последний раз редактировалось Vlad-2 11 июн 2016, 21:49, всего редактировалось 2 раза.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
AndriyLL
Сообщения: 0
Зарегистрирован: 11 июн 2016, 09:57

Спасибо ! буду в понедельник настраивать. Надеюсь заработает

Объясните, пожалуйста чайнику доходчиво :-): Почему оно не хочет работать так как у меня настроєно. Провайдером проброшены Виланы. это же фактически локалка внутри его сети в обход его маршрутизатора. Теоретически я же должен видеть одну сеть из другой , но что мешает? Просто хочу понять :du_ma_et:


Ответить