Mikrotik как клиент сети и клиент OpenVPN

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
ultro
Сообщения: 0
Зарегистрирован: 09 мар 2017, 12:08

Вопрос о возможности построения такого решения:
1. Есть локальная сеть предприятия (ЛАН1) с доступом в Интернет
2. Есть OpenVPN сервер с белым IP

Нужно подключить к ЛАН1 (просто в одну из розеток в офисе) железку Mikrotik (RB2011-2Hnd) и раздать с нее доступ в ЛАН1 (и в Интернет) по проводам и Wi-Fi от Mikrotik.
Плюс нужно подключить Mikrotik к OpenVPN серверу как клиент и чтобы все, кто подключен к этому Mirkotik могли ходить на сервера в этой VPN сети.

Это возможно вообще или нужно искать какое-то другое решение?


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

ultro писал(а):Вопрос о возможности построения такого решения:
1. Есть локальная сеть предприятия (ЛАН1) с доступом в Интернет
2. Есть OpenVPN сервер с белым IP
Нужно подключить к ЛАН1 (просто в одну из розеток в офисе) железку Mikrotik (RB2011-2Hnd) и раздать с нее доступ в ЛАН1 (и в Интернет) по проводам и Wi-Fi от Mikrotik.
Плюс нужно подключить Mikrotik к OpenVPN серверу как клиент и чтобы все, кто подключен к этому Mirkotik могли ходить на сервера в этой VPN сети.
Это возможно вообще или нужно искать какое-то другое решение?

Задачу я понял лишь частично, но если абстрагироваться и принять что сеть за микротиком это будет лан2, и сеть впна будет лан3,
и если принять во внимание что лан2 будет ещё с интернетом, то простой статической маршрутизацией две сети разрулить можно,
описать явно лан3, а всё остальное как по-умолчанию пусть уходит в лан2....Это если по-простому, ......
Ну а если нужно сложно и чересчур правильно и изысканно, то маркируем пакеты, навешиваем таблицы маршрутизации с метками и вперёд.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
ultro
Сообщения: 0
Зарегистрирован: 09 мар 2017, 12:08

Спасибо за ответ.
Большой нюанс в том, что не хотелось бы иметь сеть ЛАН2 вообще. Т.е. Микротик и все, кто к нему подлючаются получают адреса от DHCP ЛАН1 (или статически назначены в сети ЛАН1). Но при этом все, кто подключаются к Микротик должны иметь доступ в ЛАН3, которая доступна через VPN. Доступ в ЛАН3 из остальных участников ЛАН1 не нужен. Так сделать можно?

Сразу еще вопрос. Если же используется вариант, когда сеть ЛАН2 есть. Может ли она брать интернет из ЛАН1? так как у ЛАН2 своего интернета точно не будет?


ultro
Сообщения: 0
Зарегистрирован: 09 мар 2017, 12:08

Удалось все настроить в варианте с наличием ЛАН2. Настраивал по местному гайду про FreeVPN. Спасибо большое за него, отличное руководство. Даже удалось сделать так, чтобы можно было писать на клиентах белый адрес сервера VPN (на нем поднят веб-сервер) и трафик при этом шел через VPN, а не как весь остальной трафик через основной шлюз. Сделал через mangle, routing mark и специальный роут по routing mark. Нюанс в том, что нужно включить forwarding на сервере, на котором стоит VPN сервер. На Windows Server 2012R2 это делается включением службы Routing and Remote Access в службах, она выключена по умолчанию, даже если эта фича на сервере установлена. Без этого доступ по VPN через белый IP не работал.


Ответить