Настройка удалённого доступа к сети из микротик когда шлюз операторский.. Как правильно сделать?

Обсуждение ПО и его настройки
georghacker
Сообщения: 41
Зарегистрирован: 24 янв 2019, 07:34

Всем доброго дня. Имеется операторский модем, являющийся шлюзом для сети. Настройки в нём менять никакие нельзя. После этого модема стоит маршрутизатор RB750. После RB750 точка доступа RB912, к ней подключаются абонентские станции RB SXT Lite5 и абонентский роутер RB hAP mini. На RB750 сеть оператора закинул в VLAN 100, сеть управления в VLAN 200 со своей подсетью и соответственно DHCP. Точка доступа и абонентская станция настроены в бридже и пропускают всё насквозь в неизменном виде. На абонентском роутере сеть оператора развиланивается и отдаётся абоненту. Управление абоненту естественно не даётся и VLAN200 на роутере висит просто для управления. У себя дома поднял L2TP сервер, на RB750 обслуживаемой сети соответственно клиента. Для того чтоб попасть на все микротики, на них надо прописать шлюз (в моём случае RB750), однако дефолт занят для операторской сети. Попробовал добавить шлюз с указанием dst. adress и RB750 в качестве шлюза, не помогло. Понимаю что надо чтото ещё сделать, но не понимаю что именно. Как мне заставить работать мою задумку?
P.S. Если ставить дефолтом RB750 то управление извне работает на ура. Но естественно не работает интернет у клиентов.
Заранее спасибо за помощь!


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Для подобных случаев был придуман Romon.
https://habr.com/ru/post/419149/
https://wiki.mikrotik.com/wiki/Manual:RoMON

Если есть доступ к одному микротику в сети, то через Romon (предварительно настроив) можно получить доступ ко всем остальным.


Что касается маршрутов, то вы что-то делаете не так. Если ваш VPN имеется свою собственную адресацию, отличную от локальной сети дома и на работе. То нет никаких проблем добавить еще одно правило в маршрутизацию конкретно для этой подсети, не трогая дефолтный маршрут.

В случае с Romon, если все микротики в одной подсети, то настраивать дополнительные маршруты на всех микротиках не требуется.


Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

Согласен на 100%. С Romon сталкивался с проблемой - не хотел он работать через VPN типа L2TP и PPTP. Где-то писали не раз, что Romon нормально работает только в локальных сетях.
Не знаю кто-как решал и как правильно решается - я решил поднятием MRRU на VPN интерфейсе Микротика сервера и клиента до 1600 и поднятием поверх PPTP или L2TP тоннеля EOIP. Тогда Romon начинал нормально "видеть" роутеры, стоящие "за VPN".

Здесь на форуме писал об этом ...

viewtopic.php?f=1&t=8963&p=56731&hilit= ... mon#p56731


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
georghacker
Сообщения: 41
Зарегистрирован: 24 янв 2019, 07:34

Кроме Romon нет вариантов? Те микротики, к которым нужен доступ, находятся в одной сети в спутниковом сегменте. Но я по другую сторону L2TP туннеля, хоть и с оптикой.
У моего домашнего маршрутизатора например сеть 192.168.1.0/24, сервер L2TP 11.0.0.10, клиент 11.0.0.17, ну и сеть куда надо попасть 192.168.2.0/24. Операторская сеть 10.10.10.0/26. Маршруты друг друга по обе стороны туннеля сделал, пингуется, всё есть. Нет доступа к самому крайнему устройству сети, это к клиентскому микротику, который работает в режиме роутера. Если ему прописать дефолтным шлюзом RB750 то доступ появится, но инет упадёт, соответственно если дефолтом ставить операторский модем то инет поднимется, но упадёт управление.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Я не совсем всё равно понял Вашу схему, но и vqd показывал с год назад,
да и я сам в своё время ещё на линуксах так делал, такой выкрутас:

Вам надо на предпоследнем роутере заНАТить себя(спрятать), от адреса локального
той адресации в которой находиться нужный Вам роутер (или того адреса который он знает)
и куда хотите попасть.
А как известно, в рамках одной маски, два адреса общаются напрямую.

P.S.
Извините, вечером мозги уставшие, особенно сегодня, надеюсь моя
мысль дойдёт до Вас...



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
georghacker
Сообщения: 41
Зарегистрирован: 24 янв 2019, 07:34

gmx писал(а): 24 янв 2019, 09:54 Для подобных случаев был придуман Romon.
Добрый день. Через Romon действительно всё заработало. Спасибо за совет!


georghacker
Сообщения: 41
Зарегистрирован: 24 янв 2019, 07:34

Vlad-2 писал(а): 24 янв 2019, 11:41 Я не совсем всё равно понял Вашу схему, но и vqd показывал с год назад,
да и я сам в своё время ещё на линуксах так делал, такой выкрутас:

Вам надо на предпоследнем роутере заНАТить себя(спрятать), от адреса локального
той адресации в которой находиться нужный Вам роутер (или того адреса который он знает)
и куда хотите попасть.
А как известно, в рамках одной маски, два адреса общаются напрямую.

P.S.
Извините, вечером мозги уставшие, особенно сегодня, надеюсь моя
мысль дойдёт до Вас...
Спасибо за участие. Позже посмотрю как такое делать.


georghacker
Сообщения: 41
Зарегистрирован: 24 янв 2019, 07:34

gmx писал(а): 24 янв 2019, 09:54 Для подобных случаев был придуман Romon.
https://habr.com/ru/post/419149/
https://wiki.mikrotik.com/wiki/Manual:RoMON

Если есть доступ к одному микротику в сети, то через Romon (предварительно настроив) можно получить доступ ко всем остальным.


Что касается маршрутов, то вы что-то делаете не так. Если ваш VPN имеется свою собственную адресацию, отличную от локальной сети дома и на работе. То нет никаких проблем добавить еще одно правило в маршрутизацию конкретно для этой подсети, не трогая дефолтный маршрут.

В случае с Romon, если все микротики в одной подсети, то настраивать дополнительные маршруты на всех микротиках не требуется.
Доброго времени суток. В общем с микротиками всё прошло на ура. Однако в других сетях присутствуют железки от UBNT, и вопрос снова стал открытым. Статическая маршрутизация почему то не помогает на конечных устройствах, на промежуточных просто поставил дефолтом нужный шлюз, а не шлюз оператора (работают в бридже. поэтому не страшно). Как всё таки победить доступ к каждой железке?


georghacker
Сообщения: 41
Зарегистрирован: 24 янв 2019, 07:34

Кстати. У оператора идёт связка IP адрес + логин и пароль. То есть абонент вводит логин и пароль на выданном ему адресе и у него появляется интернет. Может тут что-то можно придумать? Было бы неплохо если сделать свой RB 750 роутером и каким то образом эту связку перекинуть в мою подсеть. Тогда вопрос снимется сам собой. Но это находится за пределами моего понимания микротика.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

georghacker писал(а): 17 фев 2019, 14:07 Кстати. У оператора идёт связка IP адрес + логин и пароль. То есть абонент вводит логин и пароль на выданном ему адресе и у него появляется интернет.
У операторов это кажется что всё просто. На самом деле там всё сложнее. Работает ПО + списки доступов по свитчам/портам привязаны.
Там при смене железки, меняется связка IP+MAK, свитчи видят, система контроля заметила, Интернет не работает,
а у клиента идёт переадресация на сайт оператора для авторизации по логину и паролю. То есть вводишь
свой логин и пароль, и новый роутер или если ты с компа выходишь = новый МАК привязывается в системе, и Интернет работает.
Это для провайдеров которые дают просто провод(порт) и всё, все настройки автоматом получает клиент.
georghacker писал(а): 17 фев 2019, 14:07 Может тут что-то можно придумать? Было бы неплохо если сделать свой RB 750 роутером и каким то образом эту связку перекинуть в мою подсеть. Тогда вопрос снимется сам собой. Но это находится за пределами моего понимания микротика.
Мне кажется Вы усложняете схему, где можно надо делать маршрутизацию, потом взять, посмотреть какая сеть (IP)
используется для связи с операторским шлюзом, и если есть возможность, эту сеть у себя изменить на оборудовании,
если нет, сделать НАТ ТОЛЬКО для этой сети, и всё.
Поэтому нарисуйте схему, и Вам легче будет и нам.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Ответить