Доброго времени суток, Уважаемые постояльцы.
Подскажите как правильно организовать управление микротиками с серыми ip?
Есть 1 микротик с белым ip.
Какой тип тунеля для этой задачи лучше всего использовать?
И как из практики это лучше всего или правильнее настроить?
Спасибо.
Объединение микротиков в одну сеть для управления
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
l2tp+ipsec
Telegram: @thexvo
- grinder
- Сообщения: 29
- Зарегистрирован: 28 окт 2020, 19:32
Все запихивать в отдельный влан, бридж или через нат пробрасывать порты?
Что можете сказать про IKEv2?
Что можете сказать про IKEv2?
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Ничего из вышеперечисленного.
Тот, кторый с белым ip - сервером.
Остальные - к нему клиентами.
Дальше либо из сети первого, либо цепляться к нему так же по l2tp.
Ну и firewall на первом настроить так, чтобы они друг друга не видели, если этого не нужно.
Для того, чтобы пользователей удаленных подключать - ок, есть свои преимущества.
А роутеры друг с другом, лучше l2tp/gre и т.д., в общем что-то маршрутизируемое обычными средствами.
Telegram: @thexvo
- grinder
- Сообщения: 29
- Зарегистрирован: 28 окт 2020, 19:32
1. Если я правильно понял, мне нужно настроить соединения с каждого роутера на основной по принципу сайт-точка, для этих целей лучше использовать l2tp/ipsec.
2. Подскажите пожалуйста как настроить firewall на первом так, чтобы они друг друга не видели?
Спасибо.
2. Подскажите пожалуйста как настроить firewall на первом так, чтобы они друг друга не видели?
Спасибо.
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Если плясать от дефолтного firewall'а, то достаточно будет:
1) В PPP-профиле для всех таких подключающихся микротиков пихать их в какой-нибудь interface-list.
2) Для своего "клиентского" впн используете другой профиль, и его либо в другой лист, либо создаете для него l2tp-server-binding.
3) Дальше разрешаете в firewall'е в цепочке forward доступ из того, что в пункте (2) в то, что в пункте (1) (плюс из локалки в (1)).
4) И разбиваете нижнее drop all from WAN not dst-nated на два правила со смыслом drop all и allow dst-nated from WAN.
Остальное все сделают дефолтное же accept established,related и нижнее drop all.
Telegram: @thexvo
- grinder
- Сообщения: 29
- Зарегистрирован: 28 окт 2020, 19:32
Спасибо, с этим пока разобрался но не совсем понял как работает.
Для дальнейшего знакомства с mikrotik установил chr на хостинге, есть только один интерфейс.
Подскажите пожалуйста как на chr настроить:
1. vpn для выхода в интернет с мобильных устройств
2. vpn для выхода в интернет с домашней сети (mikrotik RB4011)
3. l2tp/ipsec для подключения удаленных mikrotik с целью их удаленного управления
4. vpn для объединения двух офисов
5. vpn между домашним роутером (для доступа к домашнему фтп серверу) и chr, с тестового сервера windows к chr для доступа только к ftp серверу (если я правильно понимяю фаерволом нужно открыть 21 порт, а все остальное закрыть) для сохранения бекапов.
6. Как это все разграничивать между собой (bridge, VLAN)?
P.S. Какие типы VPN и для чего лучше использовать? (на просторах интернета очень много информации и она противоречива, чему верить не знаю, а у самого опыта пока 0((( )
Заранее спасибо за понимание и за помощь.
Буду признателен за ссылки на инструкции.
Для дальнейшего знакомства с mikrotik установил chr на хостинге, есть только один интерфейс.
Подскажите пожалуйста как на chr настроить:
1. vpn для выхода в интернет с мобильных устройств
2. vpn для выхода в интернет с домашней сети (mikrotik RB4011)
3. l2tp/ipsec для подключения удаленных mikrotik с целью их удаленного управления
4. vpn для объединения двух офисов
5. vpn между домашним роутером (для доступа к домашнему фтп серверу) и chr, с тестового сервера windows к chr для доступа только к ftp серверу (если я правильно понимяю фаерволом нужно открыть 21 порт, а все остальное закрыть) для сохранения бекапов.
6. Как это все разграничивать между собой (bridge, VLAN)?
P.S. Какие типы VPN и для чего лучше использовать? (на просторах интернета очень много информации и она противоречива, чему верить не знаю, а у самого опыта пока 0((( )
Заранее спасибо за понимание и за помощь.
Буду признателен за ссылки на инструкции.
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Везде, где у вас с обоих сторон белые адреса: стройте gre (+ipsec: с ним медленнее, но безопаснее, для домашней сети - по желанию).
Там где белых адресов нет, оттуда: l2tp + ipsec (уже без вариантов).
Естественно все "road warrior'ы" - тоже l2tp + ipsec (либо IKEv2).
Там где белых адресов нет, оттуда: l2tp + ipsec (уже без вариантов).
Естественно все "road warrior'ы" - тоже l2tp + ipsec (либо IKEv2).
Telegram: @thexvo
- grinder
- Сообщения: 29
- Зарегистрирован: 28 окт 2020, 19:32
Извините, но так и не понял:xvo писал(а): ↑29 ноя 2020, 23:44 Везде, где у вас с обоих сторон белые адреса: стройте gre (+ipsec: с ним медленнее, но безопаснее, для домашней сети - по желанию).
Там где белых адресов нет, оттуда: l2tp + ipsec (уже без вариантов).
Естественно все "road warrior'ы" - тоже l2tp + ipsec (либо IKEv2).
Для каждой задачи использовать отдельный впн тунель и розносить все бриджами? или использовать один общий впн под все и каким образом тогда все разделить между собой?
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Странные вопросы, чесслово.
Как у вас один туннель может вести из дома одновременно и в офис, и до chr (и к мобильным клиентам)?
Естественно, сколько точек соединяете, столько и туннелей.
И какими бриджами, зачем? Это все L3 туннели, они маршрутизируются, а не бриджуются.
Telegram: @thexvo