Объединение микротиков в одну сеть для управления

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Аватара пользователя
grinder
Сообщения: 29
Зарегистрирован: 28 окт 2020, 19:32

Прошу сильно не пинать, только начал изучать mikrotik. :smu:sche_nie:
Есть CHR - server с одним интерфейсом в мир.
1. На нем настроен айпи 111.111.111.111 на внешнем интерфейсе, внешний интерфейс добавил в список WAN
2. Настроил правила Firewall

Код: Выделить всё

add action=accept chain=input comment="accept establish & related"     connection-state=established,related
add action=accept chain=input comment="accept establish & related"     connection-state=established,related
add action=accept chain=input comment="accept ICMP" protocol=icmp
add action=accept chain=input comment="accept management for white-list"     dst-port=8291 in-interface-list=WAN protocol=tcp src-address-list= winbox_remote
add action=accept chain=input comment="accept to l2tp server" dst-port= 1701,500,4500 in-interface-list=WAN protocol=udp
add action=accept chain=input comment="accept protocol ipsec-esc" in-interface-list=WAN protocol=ipsec-esp
add action=drop chain=input comment="drop all from WAN" in-interface-list=WAN
add action=accept chain=forward comment="accept established,related" connection-state=established,related
add action=drop chain=forward comment="drop invalid" connection-state=invalid
add action=drop chain=forward comment="drop all from WAN"  connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
3. Настроил NAT

Код: Выделить всё

add action=src-nat chain=srcnat out-interface-list=WAN to-addresses=111.111.111.111
4. Создал пул айпи адресов для впна 10.10.0.1-10.10.0.50
5. Настроил и запустил l2tp/ipsec сервер
6. Создал тестового пользователя для впн сервера и интерфейс L2tp Server Binding
В результате L2tp Server работает и пользователь с мобильного устройства выходит в интернет через сервер.

Дальше мне нужно к CHR - serverу подключить mikrotik-client01 (для возможности управлять им удаленно) с серым айпи,- эго я подключу через l2tp/ipsec сервер, но не понимаю какой айпи ему выдавать, из уже существующего пула или создавать новый пул айпи адресов для удаленных микротиков, чтобы они не видили друг друга и ничего внутри роутера, а с мобильного устройства ими можно было управлять??
Подскажите куда копать дальше.
Спасибо.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Не надо ничего копать.
Это все мелочи, и более того легко обратимые.
Делайте, как делается.
Всё равно по мере того, как будете глубже разбираться, всё ещё 100 раз переделаете.


Telegram: @thexvo
Аватара пользователя
grinder
Сообщения: 29
Зарегистрирован: 28 окт 2020, 19:32

В том и проблема что нужна подсказка как дальше настроить что бы можно было разделить.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

"Разделять" l2tp удобнее всего использованием разных профилей, с автоматическим добавлением в разные списки, а уж что конкретно вы там будете использовать - списки интерфейсов, списки адресов, или и то и то - это уже ваше дело. С чем вам удобнее и привычнее оперировать в firewall'е, то и используйте.


Telegram: @thexvo
Аватара пользователя
grinder
Сообщения: 29
Зарегистрирован: 28 окт 2020, 19:32

Подскажите как выпустить vpn клиента в интернет если нет бриджа? (что и как клиенту назначать в роли шлюза)
P.S. CHR с 1 внешним интерфейсом, куда ему назначить айпи адрес, чтобы его можно было сделать шлюзом? Или все таки нужно создавать бриджи?


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Ну какой-то то адрес у него есть, правильно? :)
Значит его можно использовать шлюзом.
Тем более если это впн, то у серверного конца туннеля точно должен быть какой-то адрес, которым управляете вы, а не который прилетает откуда-то.

Если это вдруг не удобно по какой-то причине, то так-то адрес можно на любой интерфейс повесить.
На пустой бридж просто удобнее.


Telegram: @thexvo
Ответить