Доступ к другим сетям через впн

Inner · 13 дек 2021, 14:05

ArtVAnt писал(а): ↑13 дек 2021, 14:00 Может дело в том, что с микрота у меня не пингуется ни 10.78.1.2 (адрес интерфейса wireguard второго микрота) и 192.168.11.1 (адрес второго микрота во внутренней сети)?
И со второго микрота на первый аналогично, при этом с компа из внутренней сети мне доступен 192.168.11.1

Так как ospf работает между маршрутизаторами, достаточно только чтобы оба микрота увидели друг друга. Если не увидели, значит что-то упустили или сам wireguard недонастроен. Если не ошибаюсь это всё тот же туннель. Адреса ему заданы?

ArtVAnt · 13 дек 2021, 14:15

Так, я разобрался с первоначальным вопросом!
Оказалось что в ip-adresses я ip для WG интерфейса прописал как просто 10.78.1.1 на первом микроте и 10.78.1.2 на втором, добавил и там и там /24 и теперь при подключении по впн по l2tp к микроту1 пингуется и микрот2 тоже!

иначе в ip-routes оно добавлялось с маской 32

но идея с ospf не дает мне покоя теперь, не получается настроить...

ArtVAnt · 13 дек 2021, 14:21

Микротик1

Код: Выделить всё

/routing ospf instance
add name=default-v2 router-id=192.168.10.1
/routing ospf area
add instance=default-v2 name=backbone-v2
/routing ospf interface-template
add area=backbone-v2 interfaces=LAN networks=192.168.10.0/24
add area=backbone-v2 interfaces=l2tp-out2 networks=192.168.42.0/24
add area=backbone-v2 interfaces=WG networks=10.78.1.0/24

микротик2

Код: Выделить всё

/routing ospf instance
add name=default-v2 router-id=192.168.11.1
/routing ospf area
add instance=default-v2 name=backbone-v2
/routing ospf interface-template
add area=backbone-v2 interfaces=WG networks=10.78.1.0/24
add area=backbone-v2 interfaces=LAN networks=192.168.11.0/24

на обоих роутерах в фаерволе добавил разрешающее правило на протокол ospf, но на обоих роутерах счетчик 0 на этом правиле

Inner · 13 дек 2021, 14:25

ArtVAnt писал(а): ↑13 дек 2021, 14:21 Микротик1
Код: Выделить всё
/routing ospf instance
add name=default-v2 router-id=192.168.10.1
/routing ospf area
add instance=default-v2 name=backbone-v2
/routing ospf interface-template
add area=backbone-v2 interfaces=LAN networks=192.168.10.0/24
add area=backbone-v2 interfaces=l2tp-out2 networks=192.168.42.0/24
add area=backbone-v2 interfaces=WG networks=10.78.1.0/24
микротик2
Код: Выделить всё
/routing ospf instance
add name=default-v2 router-id=192.168.11.1
/routing ospf area
add instance=default-v2 name=backbone-v2
/routing ospf interface-template
add area=backbone-v2 interfaces=WG networks=10.78.1.0/24
add area=backbone-v2 interfaces=LAN networks=192.168.11.0/24
на обоих роутерах в фаерволе добавил разрешающее правило на протокол ospf, но на обоих роутерах счетчик 0 на этом правиле

А вот и ответ. Они у Вас в разных подсетях. Для большего понимания ознакомьтес со статьёй

Inner · 13 дек 2021, 14:29

То есть имееет смысл сделать отдельную подсеть для OSPF и уже через неё маршрутить остальные устройства. Себе я для этих целей реализовал туннели в виде EoIP между филиалами. На каждом устройстве поместил концы туннелей в Bridge и уже на Bridge задал IP адреса из одной подсети. И, собственно, как итог, через эти IP выстроил маршрутизацию, которая раздаётся за счёт ospf.

ArtVAnt · 13 дек 2021, 14:32

Inner писал(а): ↑13 дек 2021, 14:29 То есть имееет смысл сделать отдельную подсеть для OSPF и уже через неё маршрутить остальные устройства. Себе я для этих целей реализовал туннели в виде EoIP между филиалами. На каждом устройстве поместил концы туннелей в Bridge и уже на Bridge задал IP адреса из одной подсети. И, собственно, как итог, через эти IP выстроил маршрутизацию, которая раздаётся за счёт ospf.

так, но микроты соединяются через интерфейс wireguard с адресацией 10.78.1.1 и 10.78.1.2, т.е. они соединяются в рамках одной сети, собственно через это и маршрутим. Данные ip добавлены в ospf, почему он не видит второй микрот?
Или я неправильно понял?

Inner · 13 дек 2021, 14:59

ArtVAnt писал(а): ↑13 дек 2021, 14:32
Inner писал(а): ↑13 дек 2021, 14:29 То есть имееет смысл сделать отдельную подсеть для OSPF и уже через неё маршрутить остальные устройства. Себе я для этих целей реализовал туннели в виде EoIP между филиалами. На каждом устройстве поместил концы туннелей в Bridge и уже на Bridge задал IP адреса из одной подсети. И, собственно, как итог, через эти IP выстроил маршрутизацию, которая раздаётся за счёт ospf.
так, но микроты соединяются через интерфейс wireguard с адресацией 10.78.1.1 и 10.78.1.2, т.е. они соединяются в рамках одной сети, собственно через это и маршрутим. Данные ip добавлены в ospf, почему он не видит второй микрот?
Или я неправильно понял?

Правильно поняли. В Вашем случае задайте им id соответствующие ip портов wireguard. То есть 10.71.1.1 на одном и 10.78.1.2 на другом. Должно заработать

ArtVAnt · 13 дек 2021, 15:04

Inner писал(а): ↑13 дек 2021, 14:59
ArtVAnt писал(а): ↑13 дек 2021, 14:32
Inner писал(а): ↑13 дек 2021, 14:29 То есть имееет смысл сделать отдельную подсеть для OSPF и уже через неё маршрутить остальные устройства. Себе я для этих целей реализовал туннели в виде EoIP между филиалами. На каждом устройстве поместил концы туннелей в Bridge и уже на Bridge задал IP адреса из одной подсети. И, собственно, как итог, через эти IP выстроил маршрутизацию, которая раздаётся за счёт ospf.
так, но микроты соединяются через интерфейс wireguard с адресацией 10.78.1.1 и 10.78.1.2, т.е. они соединяются в рамках одной сети, собственно через это и маршрутим. Данные ip добавлены в ospf, почему он не видит второй микрот?
Или я неправильно понял?
Правильно поняли. В Вашем случае задайте им id соответствующие ip портов wireguard. То есть 10.71.1.1 на одном и 10.78.1.2 на другом. Должно заработать

вот здесь?

Inner · 13 дек 2021, 15:08

ArtVAnt писал(а): ↑13 дек 2021, 15:04
Inner писал(а): ↑13 дек 2021, 14:59
ArtVAnt писал(а): ↑13 дек 2021, 14:32

так, но микроты соединяются через интерфейс wireguard с адресацией 10.78.1.1 и 10.78.1.2, т.е. они соединяются в рамках одной сети, собственно через это и маршрутим. Данные ip добавлены в ospf, почему он не видит второй микрот?
Или я неправильно понял?
Правильно поняли. В Вашем случае задайте им id соответствующие ip портов wireguard. То есть 10.71.1.1 на одном и 10.78.1.2 на другом. Должно заработать
вот здесь?

По логике да. Но буду честен. 7.1 пока не рискую ставить в продакшн. Поэтому подсказать на практике не смогу. Но по логике 6.х всё верно.

losenmann · 14 дек 2021, 06:18

Присоединяюсь к обсуждению.
Есть 3 микрота, идея следующая, поднять wg + ospf. Обновил 2 микрота до v7.1, WireGuard поднял, сети пингуются. Но вот ospf не заводится через wg, через l2tp/ipsec все ок. На головном микроте в neighbors подключенный микрот отображается и находится в стадии инициализации(1). На клиентском, головной микрот в neighbors не отображается и счетчик ospf в firewall 0, правило самое первое. Не могу разобраться в чем дело. Уточню, что я не супер спец, это всего лишь мое хобби

Головной микрот

Код: Выделить всё

/routing ospf instance
add name=ospf-instance-1 originate-default=never redistribute=static router-id=172.16.32.1 \
    routing-table=main
/routing ospf area
add instance=ospf-instance-1 name=ospf-area-0
/routing ospf interface-template
add area=ospf-area-0 auth=md5 auth-id=1 auth-key=kuyhmjholh1Q cost=10 networks=\
    192.168.8.0/24,172.16.32.0/26 priority=1 type=ptp
add area=ospf-area-0 cost=10 interfaces=bridge1 passive priority=1

Клиентский микрот

Код: Выделить всё

/routing ospf instance
add name=ospf-instance-1 router-id=172.16.32.5
/routing ospf area
add instance=ospf-instance-1 name=ospf-area-0
/routing ospf interface-template
add area=ospf-area-0 auth=md5 auth-id=1 auth-key=kuyhmjholh1Q cost=10 networks=172.16.32.0/26 \
    priority=2
add area=ospf-area-0 cost=10 interfaces=bridge1 passive priority=1

Доступ к другим сетям через впн

Вход • Регистрация