VPN в подсеть за вторым роутером

Тут размещаем отчеты о готовых работающих решениях на оборудовании Mikrotik
anna
Сообщения: 8
Зарегистрирован: 29 окт 2019, 20:09

xvo писал(а): 30 окт 2019, 09:13 Как-то так:

Изображение
Спасибо за картинку. Тут появилось аж 4 (172.16.1.0, 172.16.2.0, 10.0.0.1 и 10.0.0.2) сети :sh_ok: . Нужно разбираться. Мне нужно назначить их на некие интерфейсы первого роутера? И поменять шлюз у второго роутера? И там ко второму роутеру идут две сети (10.0.0.1 и 172.16.2.0) - первая это шлюз видимо а вторая это роутинг ?


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Ну почему 4 то, только 2 новых:

1) 10.0.0.1 и 10.0.0.2 - это одна транспортная сеть 10.0.0.0/30 между двумя роутерами.
Так оно и правильнее, чтобы второй роутер не болтался в локалке первого, и настраивать проще.
2) 172.16.1.0 и 172.16.2.0 - это два диапазона адресов pptp (или l2tp) сервера, по одному для клиентов каждой локалки.
Сейчас у вас там один диапазон какой-то, сделайте 2, чтобы удобно было разделять клиентов в firewall'е.

Ну и разумеется сами подсети/адреса выберите какие хотите. Это просто пример.

В такой схеме, у вас firewall, nat, vpn-сервер - все на первом микротике.
+ на нем нужно добавить руками маршрут до 192.168.2.0/24 через 10.0.0.2.

А на втором микротике конфиг вообще тривиальный получается:
- один порт отдельно, на нем адрес 10.0.0.2/30
- остальные порты в бридж, на бридж адрес 192.168.2.1/24 и dhcp-сервер локалки
- и дефолтный маршрут через 10.0.0.1
Все, весь конфиг.


Telegram: @thexvo
anna
Сообщения: 8
Зарегистрирован: 29 окт 2019, 20:09

xvo писал(а): 30 окт 2019, 12:33 Ну почему 4 то, только 2 новых:

1) 10.0.0.1 и 10.0.0.2 - это одна транспортная сеть 10.0.0.0/30 между двумя роутерами.
Так оно и правильнее, чтобы второй роутер не болтался в локалке первого, и настраивать проще.
2) 172.16.1.0 и 172.16.2.0 - это два диапазона адресов pptp (или l2tp) сервера, по одному для клиентов каждой локалки.
Сейчас у вас там один диапазон какой-то, сделайте 2, чтобы удобно было разделять клиентов в firewall'е.

Ну и разумеется сами подсети/адреса выберите какие хотите. Это просто пример.

В такой схеме, у вас firewall, nat, vpn-сервер - все на первом микротике.
+ на нем нужно добавить руками маршрут до 192.168.2.0/24 через 10.0.0.2.

А на втором микротике конфиг вообще тривиальный получается:
- один порт отдельно, на нем адрес 10.0.0.2/30
- остальные порты в бридж, на бридж адрес 192.168.2.1/24 и dhcp-сервер локалки
- и дефолтный маршрут через 10.0.0.1
Все, весь конфиг.
Правда на маску сети не обратила внимание.
1.Значит на первом роуторе делаем так:
Изображение

2.На втором, из уже собранного бриджа, выковыриваем один порт и говорим ему через ip->adresses, что он 10.0.0.2/30
Изображение

3. Дефолтный маршрут - это я не поняла о чём речь... :ne_vi_del:

И ещё про два диапазона адресов для pptp сервера - а разве диапазоны не должны быть от сети в которою попадает пользователь после подключения?


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Только надо еще не забыть выковырять из бриджа и на первом роутере порт и повесить на него 10.0.0.1

Дефолтный маршрут: до 0.0.0.0/0 через 10.0.0.1 с дистанцией 1.


Telegram: @thexvo
anna
Сообщения: 8
Зарегистрирован: 29 окт 2019, 20:09

xvo писал(а): 30 окт 2019, 13:13 Только надо еще не забыть выковырять из бриджа и на первом роутере порт и повесить на него 10.0.0.1

Дефолтный маршрут: до 0.0.0.0/0 через 10.0.0.1 с дистанцией 1.
Выковыриваем на первом и на втором, ясно, но физически их соединять не нужно?
И по остальным вопросам, всё правильно я поняла?


Аватара пользователя
algerka
Сообщения: 407
Зарегистрирован: 14 дек 2011, 12:31

anna писал(а): 30 окт 2019, 11:39 Собственно, топология на картинке прикреплённой мною. В чём на ваш первый взгляд её кривость?
По картинке не понятно что за расстояние и канал между двумя маршрутизаторами? Это одна компания или разные? Доступы без ограничений ?
Но это уже не важно.
А на счёт "кривости", я бы использовал vlan.
Последний раз редактировалось algerka 30 окт 2019, 14:16, всего редактировалось 1 раз.


Александр
xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

anna писал(а): 30 окт 2019, 13:27 Выковыриваем на первом и на втором, ясно, но физически их соединять не нужно?
И по остальным вопросам, всё правильно я поняла?
Как это не нужно?! Как раз таки те порты, которыми роутеры соединены физически мы и выносим в отдельную подсеть! :)

По остальным вопросам: конечно при большом желании и некоторой "ловкости рук" можно раздавать в впн адреса из той же подсети, что и в локалке, но какой в этом практический смысл? Это и не очень правильно, и не очень удобно.


Telegram: @thexvo
Ответить