Настройка сети между 3 микротиками

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
Disabled_g
Сообщения: 4
Зарегистрирован: 10 янв 2022, 19:45

10 янв 2022, 19:56

Здравствуйте!

Подскажите в какую сторону копать и что учить.
Имеется 3 микротика hap ac lite с прошивкой 7.1.
Все 3 микротика подключены к одному маршрутизатору который раздаёт на них свои ip ( настройке не подлежит - маршрутизатор провайдера ).
У 1 микротика статический ип у двух остальных - динамические.

Каким образом можно можно организовать сеть между этими тремя микротиками так что бы все они видели друг друга ( на динамических микротиках свои подсети ) ( на статическом множество сетей интернет / локальная / итд ) и не надо было каждому прописывать маршруты до друг друга? В теории количество микротиков вырастет в дальнейшем до 20 динамических ( 1 статический так и останется - к нему в теории должны все цепляться ).

Изначально думал про GRE тунели но подключиться с статического к динамическим невозможно не зная ип ( возможности использования dyndns нет ).
Куда копать? Rip 2 ospf 3 eoip bgp? К сожалению не нахожу особо информации про настройку именно 7 версии. Думал сделать l2tp + ipsec но нужно что бы сети от динамических микротиков различались а не все в одну подсеть за nat.

Требуется наличие какой нибудь парольной защиты при маршрутизации. В идеале - шифрование.

Спасибо если кто направит в нужную сторону. Буду благодарен за ссылочки.


gmx
Модератор
Сообщения: 2709
Зарегистрирован: 01 окт 2012, 14:48

11 янв 2022, 09:03

Нужно больше информации, а еще лучше схема.

Не совсем ясно. Микротики все находятся в одном здании??? Или между ними километры? Как они соединены сейчас? Что вы вообще делаете и для чего???

Что за маршрутизатор провайдера? Почему к нему нет доступа? А потянет ли он вашу планируемую нагрузку??? А может его можно перевести в бридж, а потом поставить после него микротик??? А может его вообще можно выбросить? Это gpon??? Какой тип подключения???

Почему сети за каждым микротиком должны быть своими и зачем между ними маршрутизация? Может наоборот между ними не должно быть связи, а доступ только избранным?? А может проще все это в одну сеть???

То есть нужно больше информации.

Ну и последнее. Какие скорости будут, какой тип трафика? Какая скорость UPLINK и какие скорости будут нужны двадцати Hap AC lite? Вы хорошо подумали насчет шифрования? Вы уверены, что это все нужно с учетом, что из оборудования hap ac lite (всего лишь)??? А как настроить шифрование на роутере провайдера, если к нему нет доступа? А он потянет шифрование?? А какое нужно шифрование??? По принципу "что бы было"??? Зачем??? Или нужно шифрование по требованиям ФСТЭК (тогда вообще микротик не при делах) ???

Почему нужна ROS 7.1? Вы же видели тесты, пока она на 30% медленнее 6 версии. А HAP ac lite и так не быстр, сам по себе. Для чего все это???


Пока все ваши хотелки - "...Смешались в кучу кони, люди, и залпы..."


Disabled_g
Сообщения: 4
Зарегистрирован: 10 янв 2022, 19:45

11 янв 2022, 10:06

gmx писал(а):
11 янв 2022, 09:03
Пока все ваши хотелки - "...Смешались в кучу кони, люди, и залпы..."
Примерная схема сети:
https://ibb.co/RBzr2DS

Изображение

Нужно что бы "районные офисы" видели подсеть центрального офиса, подсети друг друга и получали интернет от центрального офиса. При этом центральный офис видит все районы. На роутере с закрытой сетью помимо наших устройств висит так же куча стороннего. Эти сторонние не должны получать доступа до сетей центрального и районных офисов.

На текущий момент используется в такой сети оборудование cisco и их протокол EIGRP. Увы железо умирает и нужно переезжать на mikrotik.


gmx
Модератор
Сообщения: 2709
Зарегистрирован: 01 окт 2012, 14:48

12 янв 2022, 08:27

Да... Честно? Понятнее не стало. Вы не ответили на мои вопросы, кроме одного.


Все-таки, между микротиками километры??? Они как сейчас-то соединены??? VPN от провайдера??? Или все-таки свой VPN???

Какие скорости UPLINK, какие нужны скорости в VPN? Что будет за трафик?? Сколько будет пользователей в районах за маленькими микротиками???

В целом, все реализуемо с помощью микротика. В центральном офисе после роутера провайдера ставьте микротик, по мощнее, например, 4011. Очень желательно роутер провайдера перевести в бридж. Или придется пробрасывать порты. В районах ставьте hap AC2, или hex s. А вот VPN - это все зависит от ваших желаний и требований. В простейшем случае и PPtP сойдет (хотя и устарел сильно), а так можно и GRE, и L2TP, а можно чего и посложнее, типа IPSEC. А может даже SSTP или OpenVPN придется использовать, особенно если в районах мобильный интернет. Общепринятые протоколы VPN мобильные операторы часто блокируют.

Кстати, а у провайдера точно роутер??? Может все-таки коммутатор, а после уже ваша циска, которая и есть ваш роутер???

Если у провайдера роутер и доступ к нему никак не получить, то арендуете в инете VPS с белым IP, ставите на него ROS CHR, получаете виртуальный микротик, и на нем все разруливаете. И этот микротик, фактически, становится главным.


Disabled_g
Сообщения: 4
Зарегистрирован: 10 янв 2022, 19:45

13 янв 2022, 09:58

gmx писал(а):
12 янв 2022, 08:27
Все-таки, между микротиками километры??? Они как сейчас-то соединены??? VPN от провайдера??? Или все-таки свой VPN???
Между микротиками да много километров. И интернета как такогового нет у них. Есть некая закрытая сеть ( на схеме это 192.168.88.1 ) и все они через неё могут друг до друга достучаться. Проблема в том что все они dhcp ( кроме центрального ) и рассылать маршруты кому то кроме своих микротиков нельзя.

Вот и встаёт вопрос как их соединить что бы закрытая сеть не лезла в нашу сеть и не знала о ней в принципе. Просто пропускала трафик как сейчас и есть.

На текущий момент попытался настроить EoIP ( для того что бы ходил любой трафик ) поверх OpenVPN ( что бы появилась статика и были известны адреса всех микротиков ) и поверх включил rip что бы все микротики знали друг о друге и обращались друг к другу через центральный микротик. Но вот только: 1. Кажется я делаю какую то фигню. 2. Рип без настройки разослал всем маршруты через закрытую сеть 192.168.88.1 и теперь закрытая сеть знает все маршруты нашей сети, а микротики общаются друг с другом по ip закрытой сети.


gmx
Модератор
Сообщения: 2709
Зарегистрирован: 01 окт 2012, 14:48

13 янв 2022, 11:19

Схема сложная. В рамка форума не помочь.
Уверен, что вы и половины всех трудностей не рассказываете.
Надо обсуждать все это с тем, кто строил впн.


Disabled_g
Сообщения: 4
Зарегистрирован: 10 янв 2022, 19:45

14 янв 2022, 08:05

gmx писал(а):
13 янв 2022, 11:19
Схема сложная. В рамка форума не помочь.
Уверен, что вы и половины всех трудностей не рассказываете.
Надо обсуждать все это с тем, кто строил впн.
Приходишь и так шепотом "мне бы конденсатор на 22Мф", тебя громко спрашивают "какой? Электролит? Тантал? Выводной? SMD?", ты "я не знаааааю" и все оборачиваются сразу, смотрят на тебя осуждающе и пальцами тычут
(c) bash

Уйду от конкретики немного к общей схеме. Как оно получилось сделать сейчас.

Изображение

1 роутер не наш 192.168.88.1:

Код: Выделить всё

/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=default-dhcp interface=bridge name=defconf
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=\
    192.168.88.0
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
2 роутер наш центральный RCenter где настроен OSPF и добавлены зоны остальных роутеров:

Код: Выделить всё

/ip pool
add name=dhcp ranges=10.100.10.10-10.100.10.254
/ip dhcp-server
add address-pool=dhcp interface=bridge name=defconf
/routing ospf instance
add name=default redistribute=connected,static,ospf router-id=10.100.10.1
/routing ospf area
add instance=default name=ospf-area-1
/ip address
add address=10.100.10.1/24 comment=defconf interface=bridge network=\
    10.100.10.0
add address=192.168.88.2/24 interface=ether1 network=192.168.88.0
/ip dhcp-server network
add address=10.100.10.0/24 comment=defconf dns-server=192.168.88.1 gateway=\
    10.100.10.1 netmask=24
/ip dns static
add address=10.100.10.1 comment=defconf name=router.lan
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
/routing ospf interface-template
add area=ospf-area-1 auth=md5 auth-key=123456 networks=10.100.1.0/24
add area=ospf-area-1 auth=md5 auth-key=123456 networks=10.100.2.0/24
add area=ospf-area-1 auth=md5 auth-key=123456 networks=192.168.88.0/24
/system identity
set name=RCenter
3 и 4 роутеры - районы которые через ospf смотрят маршруты в 192.168.88.0/24

Код: Выделить всё

/ip pool
add name=dhcp ranges=10.100.1.10-10.100.1.254
/ip dhcp-server
add address-pool=dhcp interface=bridge name=defconf
/routing ospf instance
add name=ospf-instance-1 redistribute=connected,static,ospf router-id=\
    10.100.1.1
/routing ospf area
add instance=ospf-instance-1 name=ospf-area-1
/ip address
add address=10.100.1.1/24 comment=defconf interface=bridge network=10.100.1.0
/ip dhcp-server network
add address=10.100.1.0/24 comment=defconf dns-server=192.168.88.1 gateway=\
    10.100.1.1 netmask=24
/ip dns static
add address=10.100.1.1 comment=defconf name=router.lan
/routing ospf interface-template
add area=ospf-area-1 auth=md5 auth-key=123456 networks=192.168.88.0/24
/system identity
set name=RRaion1

Код: Выделить всё

/ip pool
add name=dhcp ranges=10.100.2.10-10.100.2.254
/ip dhcp-server
add address-pool=dhcp interface=bridge name=defconf
/routing ospf instance
add name=ospf-instance-1 redistribute=connected,static,ospf router-id=\
    10.100.2.1
/routing ospf area
add instance=ospf-instance-1 name=ospf-area-1
/ip address
add address=10.100.2.1/24 comment=defconf interface=bridge network=10.100.2.0
/ip dhcp-server network
add address=10.100.2.0/24 comment=defconf dns-server=192.168.88.1 gateway=\
    10.100.2.1 netmask=24
/ip dns static
add address=10.100.2.1 comment=defconf name=router.lan
/routing ospf interface-template
add area=ospf-area-1 auth=md5 auth-key=123456 networks=192.168.88.0/24
/system identity
set name=RRaion2
Таким образом сейчас все роутеры динамически получают маршруты подсетей друг друга ( 10.1 1.1 2.1 ) и прекрасно общаются друг с другом.

НО

Любой пользователь из сети 192.168.88.* может сделать следующее:

Код: Выделить всё

route add 10.100.10.0 mask 255.255.255.0 192.168.88.2
И получить полный доступ в подсеть 10.100.10.*

Так что текущий вопрос: как запретить подобное что бы никто не мог залезть в внутренние подсети кроме самих роутеров?


gmx
Модератор
Сообщения: 2709
Зарегистрирован: 01 окт 2012, 14:48

14 янв 2022, 11:25



Ответить