Здравствуйте.
Я пока начинающий сисадмин и у меня нарисовалась интересная задачка.
Имею несколько филиалов и центральный офис. Филиалы соединяются с центром по L2TP/IPsec. Маршрутизация работает статическими маршрутами. Филиалы у меня друг друга не видят (им и не надо), а центр, конечно же, умеет может общаться со всеми. Данная схема масштабируется и все вроде бы ничего, но мне нужно в данную схему включить еще одно подразделение (Бухгалтерия) из которого мне нужно организовать доступ абсолютно во все сети. Как это правильно сделать? Эту задачу может быть смог бы решить тот же OSPF, но не везде стоят Микротики. А есть Zyxel Keenetic различных ревизий, на которых OSPF тупо нет.
Схема сети представлена ниже.
Маршрутизация между филиалами
-
- Сообщения: 1601
- Зарегистрирован: 15 сен 2017, 09:03
Так статические маршруты прописывайте везде куда надо ...
То есть из каждого филиала в Бухгалтерию Вашу по одному маршруту и из Бухгалтерии маршруты в каждый филиал.
То есть из каждого филиала в Бухгалтерию Вашу по одному маршруту и из Бухгалтерии маршруты в каждый филиал.
фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
viewtopic.php?f=14&t=13947
-
- Сообщения: 8
- Зарегистрирован: 28 ноя 2018, 12:17
-
- Сообщения: 1601
- Зарегистрирован: 15 сен 2017, 09:03
Если у Вас поднят любой тип VPN между двумя Микротиками, то сами Микротики (то есть шлюзы) пинговаться должны по любому по их серым внутренним адресам VPN-тоннеля (то есть в Вашей схеме шлюзы в десятых сетях). Пинги делаем с самих Микротиков, а не с компов. А вот адреса локальных сетей Микротиков и они сами в них будут пинговаться только когда пропишите статические маршруты в них через VPN-шлюзы.
Подумайте пока сами, не догадаетесь, подскажем ...
Подумайте пока сами, не догадаетесь, подскажем ...
фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
viewtopic.php?f=14&t=13947
-
- Сообщения: 8
- Зарегистрирован: 28 ноя 2018, 12:17
Шлюзы-клиенты у меня не видят друг-друга и соответственно не пингуются. Сейчас таблица адресов выглядят вот так:
Может проблема в том, что все эти сети в пространстве /32?
Код: Выделить всё
ip address print
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK INTERFACE
;;; Work LAN
10.1.254.1/24 10.1.254.0 Local_bridge
D 172.16.1.254/32 172.16.1.253 Tun1
D 172.16.1.254/32 172.16.1.11 Tun2
D 172.16.1.254/32 172.16.1.13 Tun3
D 172.16.1.254/32 172.16.5.1 Tun4
-
- Сообщения: 1601
- Зарегистрирован: 15 сен 2017, 09:03
Не надо маску /32 делать. Сделайте всем сетям маску /24.
Покажите /ip rootes роутера сервера и роутера-клиента Бухгалтерии.
И на кой у Вас все тоннельные сети разные ? Дайте Микротику серверу адрес в тоннеле скажем 10.10.10.1, а Микротикам клиентам адреса 10.10.10.2, 10.10.10.3, 10.10.10.4 и т.д... В одной сети тоннеля они все будут видеть друг друга без вcяких проблем. Потом можно кого надо заблокировать в /ip route rules
Покажите /ip rootes роутера сервера и роутера-клиента Бухгалтерии.
И на кой у Вас все тоннельные сети разные ? Дайте Микротику серверу адрес в тоннеле скажем 10.10.10.1, а Микротикам клиентам адреса 10.10.10.2, 10.10.10.3, 10.10.10.4 и т.д... В одной сети тоннеля они все будут видеть друг друга без вcяких проблем. Потом можно кого надо заблокировать в /ip route rules
фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
viewtopic.php?f=14&t=13947
-
- Сообщения: 8
- Зарегистрирован: 28 ноя 2018, 12:17
1. Маска /32 назначилась динамическиSertik писал(а): ↑03 июл 2019, 17:08 Не надо маску /32 делать. Сделайте всем сетям маску /24.
Покажите /ip rootes роутера сервера и роутера-клиента Бухгалтерии.
И на кой у Вас все тоннельные сети разные ? Дайте Микротику серверу адрес в тоннеле скажем 10.10.10.1, а Микротикам клиентам адреса 10.10.10.2, 10.10.10.3, 10.10.10.4 и т.д... В одной сети тоннеля они все будут видеть друг друга без вcяких проблем. Потом можно кого надо заблокировать в /ip route rules
2. Маршруты сервера (не полностью)
Код: Выделить всё
13 ADC 172.16.1.253/32 172.16.1.254 Buh 0
17 A S ;;; Buh
10.1.10.0/24 172.16.1.253 1
Код: Выделить всё
1 A S 10.1.254.0/24 172.16.1.254 1
2 ADC 172.16.1.254/32 172.16.1.253 GRADUS 0
-
- Сообщения: 8
- Зарегистрирован: 28 ноя 2018, 12:17
Не понял. У меня же сейчас адреса в тоннеле примерно так и сделаны, толь 172.16... Разве так не правильно?
-
- Сообщения: 1485
- Зарегистрирован: 23 ноя 2018, 11:08
- Откуда: Харкiв
У Вас концы туннелей в разных сетях. 172.16.1.1; 172.16.2.1; 172.16.3.1; 172.16.10.1, а с другой стороны 172.16.1.254/32. сделайте 172.16.1.1; 172.16.1.2; 172.16.1.3 и т.д. и маску всем задайте /24.
PS на схеме одно, в роутере совсем другое. Приведите схему в соответствие
PS на схеме одно, в роутере совсем другое. Приведите схему в соответствие
Код: Выделить всё
D 172.16.1.254/32 172.16.1.253 Tun1
D 172.16.1.254/32 172.16.1.11 Tun2
D 172.16.1.254/32 172.16.1.13 Tun3
D 172.16.1.254/32 172.16.5.1 Tun4
1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.