Объединение микротиков в одну сеть для управления

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Аватара пользователя
grinder
Сообщения: 29
Зарегистрирован: 28 окт 2020, 19:32

Доброго времени суток, Уважаемые постояльцы.
Подскажите как правильно организовать управление микротиками с серыми ip?
Есть 1 микротик с белым ip.
Какой тип тунеля для этой задачи лучше всего использовать?
И как из практики это лучше всего или правильнее настроить?
Спасибо.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

l2tp+ipsec


Telegram: @thexvo
Аватара пользователя
grinder
Сообщения: 29
Зарегистрирован: 28 окт 2020, 19:32

Все запихивать в отдельный влан, бридж или через нат пробрасывать порты?
Что можете сказать про IKEv2?


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

grinder писал(а): 25 ноя 2020, 15:35 Все запихивать в отдельный влан, бридж или через нат пробрасывать порты?
Ничего из вышеперечисленного.
Тот, кторый с белым ip - сервером.
Остальные - к нему клиентами.

Дальше либо из сети первого, либо цепляться к нему так же по l2tp.
Ну и firewall на первом настроить так, чтобы они друг друга не видели, если этого не нужно.
grinder писал(а): 25 ноя 2020, 15:35 Что можете сказать про IKEv2?
Для того, чтобы пользователей удаленных подключать - ок, есть свои преимущества.
А роутеры друг с другом, лучше l2tp/gre и т.д., в общем что-то маршрутизируемое обычными средствами.


Telegram: @thexvo
Аватара пользователя
grinder
Сообщения: 29
Зарегистрирован: 28 окт 2020, 19:32

1. Если я правильно понял, мне нужно настроить соединения с каждого роутера на основной по принципу сайт-точка, для этих целей лучше использовать l2tp/ipsec.
2. Подскажите пожалуйста как настроить firewall на первом так, чтобы они друг друга не видели?
Спасибо.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

grinder писал(а): 25 ноя 2020, 17:09 2. Подскажите пожалуйста как настроить firewall на первом так, чтобы они друг друга не видели?
Если плясать от дефолтного firewall'а, то достаточно будет:
1) В PPP-профиле для всех таких подключающихся микротиков пихать их в какой-нибудь interface-list.
2) Для своего "клиентского" впн используете другой профиль, и его либо в другой лист, либо создаете для него l2tp-server-binding.
3) Дальше разрешаете в firewall'е в цепочке forward доступ из того, что в пункте (2) в то, что в пункте (1) (плюс из локалки в (1)).
4) И разбиваете нижнее drop all from WAN not dst-nated на два правила со смыслом drop all и allow dst-nated from WAN.
Остальное все сделают дефолтное же accept established,related и нижнее drop all.


Telegram: @thexvo
Аватара пользователя
grinder
Сообщения: 29
Зарегистрирован: 28 окт 2020, 19:32

Спасибо, с этим пока разобрался но не совсем понял как работает.
Для дальнейшего знакомства с mikrotik установил chr на хостинге, есть только один интерфейс.
Подскажите пожалуйста как на chr настроить:
1. vpn для выхода в интернет с мобильных устройств
2. vpn для выхода в интернет с домашней сети (mikrotik RB4011)
3. l2tp/ipsec для подключения удаленных mikrotik с целью их удаленного управления
4. vpn для объединения двух офисов
5. vpn между домашним роутером (для доступа к домашнему фтп серверу) и chr, с тестового сервера windows к chr для доступа только к ftp серверу (если я правильно понимяю фаерволом нужно открыть 21 порт, а все остальное закрыть) для сохранения бекапов.
6. Как это все разграничивать между собой (bridge, VLAN)?

P.S. Какие типы VPN и для чего лучше использовать? (на просторах интернета очень много информации и она противоречива, чему верить не знаю, а у самого опыта пока 0((( )

Заранее спасибо за понимание и за помощь.
Буду признателен за ссылки на инструкции.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Везде, где у вас с обоих сторон белые адреса: стройте gre (+ipsec: с ним медленнее, но безопаснее, для домашней сети - по желанию).
Там где белых адресов нет, оттуда: l2tp + ipsec (уже без вариантов).
Естественно все "road warrior'ы" - тоже l2tp + ipsec (либо IKEv2).


Telegram: @thexvo
Аватара пользователя
grinder
Сообщения: 29
Зарегистрирован: 28 окт 2020, 19:32

xvo писал(а): 29 ноя 2020, 23:44 Везде, где у вас с обоих сторон белые адреса: стройте gre (+ipsec: с ним медленнее, но безопаснее, для домашней сети - по желанию).
Там где белых адресов нет, оттуда: l2tp + ipsec (уже без вариантов).
Естественно все "road warrior'ы" - тоже l2tp + ipsec (либо IKEv2).
Извините, но так и не понял:
Для каждой задачи использовать отдельный впн тунель и розносить все бриджами? или использовать один общий впн под все и каким образом тогда все разделить между собой?


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

grinder писал(а): 30 ноя 2020, 10:24 Для каждой задачи использовать отдельный впн тунель и розносить все бриджами?
Странные вопросы, чесслово.
Как у вас один туннель может вести из дома одновременно и в офис, и до chr (и к мобильным клиентам)?
Естественно, сколько точек соединяете, столько и туннелей.
И какими бриджами, зачем? Это все L3 туннели, они маршрутизируются, а не бриджуются.


Telegram: @thexvo
Ответить