VPN в подсеть за вторым роутером

Тут размещаем отчеты о готовых работающих решениях на оборудовании Mikrotik
anna
Сообщения: 8
Зарегистрирован: 29 окт 2019, 20:09

Доброго времени суток господа. Помогите решить задачу, взваленную на мои хрупкие плечи по моей же инициативе. Не могу понять как прокинуть vpn для доступа к сетевым ресурсам в подсети (это которая 192.168.2.0/24) которую образует роутер (mikrotik#2), являющийся участником сети (это которая 192.168.88.0/24), которую образует роутер (mikrotik#1) с белым ip и доступом в интернет. Понимая, что, я как ни старалась - а объяснила очень сумбурно, подготовила картинку. В общем стоит задача: с любого пк в интернете по белему ip (77.88.99.11) [ip вымышленный, любые совпадения случайны :smu:sche_nie: ] получать доступ к сети, которая 192.168.2.0\24. В частности - доступ к ресурсам NAS. Разумеется доступ этот завернуть нужно в vpn. Готова предоставить любую дополнительную информацию по теме. И ещё, чуть не забыла! Доступ к первой сети я таки победила через pptp. Так что нужно иметь в виду, что на роутере с белым ip уже работает pptp сервер. Спасибо. очень рассчитываю на помощь.
Изображение


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

А для второго микротика нужен свой отдельный впн или все-таки можно использовать в качестве впн-сервера первый микротик?

И да, pptp из соображений безопасности лучше не использовать.


Telegram: @thexvo
anna
Сообщения: 8
Зарегистрирован: 29 окт 2019, 20:09

xvo писал(а): 29 окт 2019, 20:37 А для второго микротика нужен свой отдельный впн или все-таки можно использовать в качестве впн-сервера первый микротик?

И да, pptp из соображений безопасности лучше не использовать.
А что лучше? L2TP? Я было сунулась openvpn, но там сертификаты туда сюда создавать нужно и копировать - в общем не мой уровень пока. Даже с мануалами(в которых, кстати по разному эти процессы описаны).
В идеале отдельный, если сложно/невозможно то можно и существующий. Только нужно чтобы сети не пересекались. И из одной в другую ни-ни)).


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Если оба микротика под вашим управлением, то поднимите сервер на внешнем (L2TP с включенным IPSECом подойдет).
Две группы клиентов, с разными диапазонами адресов.
Дальше в firewall'е разрешаете одной группе в одну подсеть, другой - в другую.

Ну и я бы ещё второй микротик вынес из подсети первого, пусть между ними какая-то своя адресация будет.
А то так получается, что вам на обоих микротиках надо firewall держать, а если вынести - то можно только на первом.


Telegram: @thexvo
anna
Сообщения: 8
Зарегистрирован: 29 окт 2019, 20:09

xvo писал(а): 29 окт 2019, 22:02 Если оба микротика под вашим управлением, то поднимите сервер на внешнем (L2TP с включенным IPSECом подойдет).
Две группы клиентов, с разными диапазонами адресов.
Дальше в firewall'е разрешаете одной группе в одну подсеть, другой - в другую.

Ну и я бы ещё второй микротик вынес из подсети первого, пусть между ними какая-то своя адресация будет.
А то так получается, что вам на обоих микротиках надо firewall держать, а если вынести - то можно только на первом.
Во первых спасибо за ответы. Во вторых - да оба роутера могу конфигурировать, с переходом на l2tp есть проблемы - очень долго на клиентах придется перенастраивать подключения. Но я в конце концов этим займусь, я для себя так решила. Сейчас мне нужно решить побыстрее текущую проблему.
Вы рекомендуете вынести второй микротик из под сети первого - я не совсем поняла, что вы имеете ввиду. Ведь он в любом случае будет подключен к первому микротику, так как белый ip и интернет на нём(на первом)


bst-botsman
Сообщения: 184
Зарегистрирован: 13 окт 2018, 20:53
Откуда: Беларусь

anna писал(а): 30 окт 2019, 04:24
Вы рекомендуете вынести второй микротик из под сети первого - я не совсем поняла, что вы имеете ввиду. Ведь он в любом случае будет подключен к первому микротику, так как белый ip и интернет на нём(на первом)
Имеется ввиду - создайте между ними отдельную (транспортную сеть) с маленькой маской... ну например 10.10.10.0/30


RB3011UiAS x 1
RB4011iGS+5HacQ2HnD x 3
951Ui-2nD x 2
hAP ac^2 x 24
CheckPoint 1590 x 1
anna
Сообщения: 8
Зарегистрирован: 29 окт 2019, 20:09

bst-botsman писал(а): 30 окт 2019, 07:25
anna писал(а): 30 окт 2019, 04:24
Вы рекомендуете вынести второй микротик из под сети первого - я не совсем поняла, что вы имеете ввиду. Ведь он в любом случае будет подключен к первому микротику, так как белый ip и интернет на нём(на первом)
Имеется ввиду - создайте между ними отдельную (транспортную сеть) с маленькой маской... ну например 10.10.10.0/30
По поводу транспортной сети - получается пользователь регится на pptp сервере первого роутера, но его пакеты идут через транспортную сеть в сеть второго роутера и он не видит сеть первого? Вынуждена попросить пример на основе моей картинки :smu:sche_nie: . А как-то через проброс по порту нельзя сделать? что-то типа пользователь второй сети, зарегившийся на сервере pptp первого сервера, получает ip от второй сети и указать маршрут от внешнего (белого) ip в сеть второго...


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Как-то так:

Изображение


Telegram: @thexvo
Аватара пользователя
algerka
Сообщения: 407
Зарегистрирован: 14 дек 2011, 12:31

anna писал(а): 29 окт 2019, 20:29 В общем стоит задача: с любого пк в интернете по белему ip (77.88.99.11) получать доступ к сети, которая 192.168.2.0\24. В частности - доступ к ресурсам NAS. Разумеется доступ этот завернуть нужно в vpn.
Если остальные настройки нормальные, то на первом маршрутизаторе добавьте маршрут для 192.168.2.0/24 на 192.168.88.2.
А так сеть спланирована криво, но чтобы давать советы по её изменению надо понимать полную топологию.


Александр
anna
Сообщения: 8
Зарегистрирован: 29 окт 2019, 20:09

algerka писал(а): 30 окт 2019, 10:46
anna писал(а): 29 окт 2019, 20:29 В общем стоит задача: с любого пк в интернете по белему ip (77.88.99.11) получать доступ к сети, которая 192.168.2.0\24. В частности - доступ к ресурсам NAS. Разумеется доступ этот завернуть нужно в vpn.
Если остальные настройки нормальные, то на первом маршрутизаторе добавьте маршрут для 192.168.2.0/24 на 192.168.88.2.
А так сеть спланирована криво, но чтобы давать советы по её изменению надо понимать полную топологию.
Собственно, топология на картинке прикреплённой мною. В чём на ваш первый взгляд её кривость? Кстати второй роутер добавлен с целью в последствии добавить второго провайдера и сделать на нём балансировку трафика (тьфу тьфу не моя задача :men: ). Свою я озвучила.
Если я добавлю маршрут то участники первой сети будут гулять по второй и наоборот, нет?


Ответить