VPN между клиентом удаленной сети и центральным сервером

[Ivan.Pupkin]

Добрый день.
Пытаюсь организовать запись с камер из удаленных офисов на видеорегистратор в центральном офисе.
Есть в центральном офисе микротик с белым айпи адресом (к нему подключен регистратор). В удаленных офисах установлены микротики с серым айпи, в них включены камеры.
Между центральным микротиком и удаленными офисами VPN на основе l2tp.
Мне нужно, чтобы все клиенты удаленных офисов ходили в интернет напрямую БЕЗ VPN и не имели доступа ни к сети главного офиса, ни к регистратору, ни к центральному микротику. В тоже время с главного офиса должен быть доступ к удаленным микротикам и камерам.
Использовать EoIP поверх L2TP я не хотел бы.
Помогите пожалуйста понять как реализовать следующий момент: VPN мне нужен лишь только для камер, чтобы они видели регистратор.
Какую лучше выбрать адресацию, чтобы регистратор видел камеры напрямую, как будто они в одной сети?
Подойдет ли для такой задачи (15-20 клиентов VPN с битрейдом 4мегабита) центральный микротик RB750Gr3?
-----
На данный момент VPN между офисами поднят, прописаны маршруты, галку add default route я убрал. Как ограничить теперь доступность центрального офиса
Спасибо.

[Inner]

Диапазоны любые. Изучите IP - Routes. Там и есть ответ на Ваш вопрос.

[Dan]

Добрый день.

На данный момент VPN между офисами поднят, прописаны маршруты, галку add default route я убрал. Как ограничить теперь доступность центрального офиса
Спасибо.

в фаерволе дропни весь трафик с входящих vpn, а выше разреши до регистратора

[Ivan.Pupkin]

Какую лучше выбрать адресацию для туннелей? На удаленных сторонах будут стоять микротики и их будет больше 15. На центральном микротике подсеть 192.168.99.1/24 . На каждом удаленном микротике подсеть 192.168.88.1/24 в него воткнута камера. Какую адресацию надо сделать на камере, чтобы её прозрачно видел регистратор? Прописывать для каждой камеры статический IP из подсети регистратора 192.168.99.*. Ведь если камера будет получать IP из пула удаленного микротика, то может получиться так, что для нескольких клиентов будет пересекаться. Или я что-то не понимаю. Или как-то изящнее можно решить этот вопрос?

[Dan]

а вы уверены, что это хорошая идея гнать видео трафик в центральный офис? там как бы, объем будет приличный
если не хотите дальнейших проблем, то в филиалах ip должны быть 1филиал-192.168.88.1/24, 2филиал 192.168.87.1/24 и т.д.. IP камерам прописывать из пула выданного под филиал1,2 и т.д..
Что бы регистратор увидел удаленные камеры, после того как поднимете туннели, нужно будет прописать маршрутизацию и микротиках
адресация для туннелей может быть любой из доступных для LAN

[Ivan.Pupkin]

а вы уверены, что это хорошая идея гнать видео трафик в центральный офис? там как бы, объем будет приличный
если не хотите дальнейших проблем, то в филиалах ip должны быть 1филиал-192.168.88.1/24, 2филиал 192.168.87.1/24 и т.д.. IP камерам прописывать из пула выданного под филиал1,2 и т.д..
Что бы регистратор увидел удаленные камеры, после того как поднимете туннели, нужно будет прописать маршрутизацию и микротиках
адресация для туннелей может быть любой из доступных для LAN

В удаленных офисах будет максимум 1-2 камеры, ставить в каждый филиал регистратор или покупать камеру с сд картой не вариант, так как нужна запись 24/7.
В центральном офисе канал 200 мегабит/c. Я больше не уверен в том, что MIKROTIK RB951G-2HND в центральном офисе все это вытянет. По трафику-то много получиться не должно 15 филиалов по 1-2 камеры, камеры едят 2 мегабита, 30-40 мегабит входящего трафика.