Добрый день, камрады
Дурацкий (скорее всего) вопрос от начинающего микротиковода - есть два роутера (офис 192.168.10.0/24 и филиал 192.168.20.0/24), между ними поднят L2TP+IPSEC туннель, маршруты прописаны (тут все нормально работает). Хочу сделать отдельную подсеть (192.168.100.0/24)для доступа к роутерам (чтобы из рабочих подсетей их не дергали). Ничего лучше, чем поднять еще один туннель между двумя роутерами мне в голову не приходит... Вопрос - а как правильно подобное организовать?
Несколько L2TP туннелей между двумя роутерами
-
xvo
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Пока не ясно ни зачем второй туннель, ни что за отдельная подсеть.
Telegram: @thexvo
-
dinosaur
- Сообщения: 19
- Зарегистрирован: 08 окт 2019, 12:57
ок, перефразирую. Две рабочие подсети (офис 192.168.10.0/24 и филиал 192.168.20.0/24), в которых живут обычные пользователи. Эти подсети соединены между собой по этому мануалу - https://mikrotik.wiki/wiki/VPN:L2TP_sit ... %BE%D0%B2)
Есть подсеть в которой живут железки 192.168.100.0/24, и у моего компа одна карта смотрит в неё. Сейчас я пытаюсь поднять (между этими же двумя роутерами) отдельный туннель с адресами роутеров 192.168.100.1 и 192.168.100.2 (по тому же самому мануалу), роутеры настроены принимать запросы по 8291 порту только с этой подсети. Пользователи из рабочих подсетей доступа к подсети 192.168.100.0/24 не имеют.
Насколько это правильно в принципе (то есть два отдельных туннеля)
Есть подсеть в которой живут железки 192.168.100.0/24, и у моего компа одна карта смотрит в неё. Сейчас я пытаюсь поднять (между этими же двумя роутерами) отдельный туннель с адресами роутеров 192.168.100.1 и 192.168.100.2 (по тому же самому мануалу), роутеры настроены принимать запросы по 8291 порту только с этой подсети. Пользователи из рабочих подсетей доступа к подсети 192.168.100.0/24 не имеют.
Насколько это правильно в принципе (то есть два отдельных туннеля)
-
xvo
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Вообще не надо все это.
Если под "железками" подразумевается только два этих роутера, то повесьте на них просто по /32 адресу на loopback бриджи (просто пустой бридж без портов в нем), добавьте маршруты через туннель, а доступ дайте кому надо в firewall'е на обоих роутерах.
Если там все-таки сети, и в них что-то ещё есть, то не надо делать их общими для двух локаций - на одном пусть будет 192.168.100.0/24, на втором 192.168.200.0/24
Все остальное аналогично: маршруты и firewall для управления доступом.
Вторую сетевую компа тогда вполне можно оставить в 100ой подсети.
Если под "железками" подразумевается только два этих роутера, то повесьте на них просто по /32 адресу на loopback бриджи (просто пустой бридж без портов в нем), добавьте маршруты через туннель, а доступ дайте кому надо в firewall'е на обоих роутерах.
Если там все-таки сети, и в них что-то ещё есть, то не надо делать их общими для двух локаций - на одном пусть будет 192.168.100.0/24, на втором 192.168.200.0/24
Все остальное аналогично: маршруты и firewall для управления доступом.
Вторую сетевую компа тогда вполне можно оставить в 100ой подсети.
Telegram: @thexvo