Доброго времени всем.
Сразу скажу, я не прошу за меня решить задачу, мне просто нужен толчек в правильном направлении. Есть два объекта. На обоих в качестве шлюза микротики RBD52G-5HacD2HnD. Провайдеры разные. Один из микротиков получает внешнюю статику.
Мне нужно настроить безопасное (некоторый трафик через http и telnet) соединение между подсетями за обоими микротиками, чтобы из подсети за первым микротиком иметь доступ к ресурсам за вторым микротиком и наоборот, при этом выход и интернет из подсетей должен осуществляться напрямую.
Пока нашел только одно решение - организация между микротиками vpn канала (l2tp+ipsec, к примеру). Если правильно понимаю, тогда могу на обоих микротиках настроить маршрутизацию, допустим, одной сети 192.168.0.0/24 и другой сети 192.168.1.0/24 так, чтобы для обращения в неродную сеть 192.168.1.0/24 на втором микротике использовалься в качестве шлюза внутрненний vpn адрес первого микротика и наоборот.
Я в правильном направлении думаю или нужно/можно что-то другое? Проброс портов тоже решает проблему, но по-моему я утону с количеством пробросов, потому что в подсетях довольно много устройств (до 20) и нужны разные порты, в том числе на каждом устройстве по несколько портов. Ну и зашифрованный канал проброс портов не обеспечивает.
Объединение сетей двух микротиков
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
N2L82B1
- Сообщения: 14
- Зарегистрирован: 06 май 2021, 18:42
-
xvo
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Все правильно думаете.
Только 192.168.1.0/24 и 192.168.1.1/24 это одна и та же сеть
Только 192.168.1.0/24 и 192.168.1.1/24 это одна и та же сеть
Telegram: @thexvo
-
N2L82B1
- Сообщения: 14
- Зарегистрирован: 06 май 2021, 18:42
Точно, очепятка
Спасибо за отзыв. Какой из vpn, доступных на микротике, порекомендуете поднять? Исходя из соображений стабильности и безопасности соединения? Я задумывался над p2p wireguard, но что-то 7 версия ROS все еще в бете.
-
xvo
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Если и там и там белые адреса - gre+ipsec.
Если только на одной из сторон - l2tp+ipsec.
Как ROS7 выйдет из беты - можно будет переделать все на wireguard при желании.
Если только на одной из сторон - l2tp+ipsec.
Как ROS7 выйдет из беты - можно будет переделать все на wireguard при желании.
Telegram: @thexvo
-
mafijs
- Сообщения: 536
- Зарегистрирован: 03 сен 2017, 03:08
- Откуда: Marienburga
Какие преимущества GRE перед L2TP ?
В случае - и там и там белые адреса. Хочется понять.
В случае - и там и там белые адреса. Хочется понять.
-
xvo
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Оверхед меньше.
Он stateless - нет никакого установления соединения и т.д.
При желании можно для каждого туннеля настройки ipsec делать свои.
Ну и уже субъективно, ipv6-префикс мне, например, как-то привычнее передать DHCPv6-PD сервером, чем через профиль/сикрет.
Но так то оно не особо принципиально все, если нет никаких особых требований, скорее вопрос личных предпочтений.
Telegram: @thexvo
-
N2L82B1
- Сообщения: 14
- Зарегистрирован: 06 май 2021, 18:42
Спасибо за помощь. Буду настраивать. Тему пока оставлю открытой, если возникнут вопросы по реализации.
-
mafijs
- Сообщения: 536
- Зарегистрирован: 03 сен 2017, 03:08
- Откуда: Marienburga
xvo писал(а): ↑31 май 2021, 15:43 Оверхед меньше.
Он stateless - нет никакого установления соединения и т.д.
При желании можно для каждого туннеля настройки ipsec делать свои.
Ну и уже субъективно, ipv6-префикс мне, например, как-то привычнее передать DHCPv6-PD сервером, чем через профиль/сикрет.
Но так то оно не особо принципиально все, если нет никаких особых требований, скорее вопрос личных предпочтений.
Спасибо!
Пока все тунели L2TP , надо будет попробовать GRE.