Всех приветствую.
Помогите пожалуйста советом, уже всю голову сломал, решение где-то на поверхности, но не могу его найти.
Ситуация следующая:
есть головной микротик с локалкой 192.168.88.0/24
изначально к нему подключались пользователи с компьютеров по впн. Для этого был поднят PPTP и L2TP сервера. В dhcp был сделан отдельный пул в этой же подсети, на бридже включен proxy-arp и все прекрасно работало.
Теперь появился еще 1 офис. Поставили на нем микротик с локалкой 192.168.87.0/24.
Порознь все работает отлично (пользоватеи сидят в инете, подключаются по впн с компьютеров, все работает). Как только происходит подключение по впн офиса1 к головному микротику (адреса 10.20.30.1 local и 10.20.30.2 remote на головном выделены) так сразу начинается мракобесие. Прописал еще маршруты между микротиками, оба офиса видны и сети за ними тоже.
Мракобесие в том, что постоянно сыпется в логи "Detected conflict by ARP response for 192.168.87.135 from .....:17:79" - где 17:79 это мак бриджа головного офиса. При этом в dhcp lease появляются записи с нулевыми маками, соответственно ip-шники забиваются. При этом начинает падать локалка и инет - пишет "без доступа в интернет".
Если запустить IP SCAN в офис1, то весь диапазон ip-адресов занят маком бриджа головного офиса и встречаются реальные Ip-адреса (один адрес присвоен и бриджу и реальному компьютеру).
Если снять галку с бриджа головного офиса proxy-arp, то сети за микротиками чувствуют себя хорошо, но тогда удаленные пользователи не видят сеть за головным микротиком.
Я как бы понимаю, что использование proxy-arp это не хорошо и нужно от этого избавляться. Тем более еще 1 офис на подходе и придется всех их объединять.
Тут я вижу 2 выхода пока:
пока вынес впн для удаленных пользователей в отдельную подсеть 10.20.100.0/24, где 10.20.100.1 шлюз у всех
1) поставить на клиентах галку "Использовать основной шлюз в удаленной сети". Но тогда весть трафик пойдет через головной офис и будет нагружать канал и роутер. А люди могут смотреть ютуб, качать торренты и прочее. Сейчас все по домам сидят.
2) прописать маршруты вручную у каждого пользователя. Первое это пользователей уже больше 10, Второе это по 2 впн у каждого (l2tp как основной и pptp как запасной - бывает где не работает что-то одно или другое). А маршруты надо прописывать с учетом интерфейса чтобы они работали после переподключения (route -p add 192.168.88.0 mask 255.255.255.0 10.20.100.1 if ###) где ### это номер интерфейса впн из route print
Посоветуйте пожалуйста в какую сторону копать чтобы минимизировать движения на клиентах. Ведь клиентами могут быть и телефоны с планшетами, а там маршруты уже не пропишешь вручную.
Везде мануал встречается как объединить 2 офиса или как поднять впн-сервер для пользователей (при этом везде пишут что нужно включать proxy-arp). А вот мануала как объединить офисы и чтобы пользователи могли подключаться я не увидел.
Спасибо
Впн-сервер для пользователей + объединение сетей
-
gmx
- Модератор
- Сообщения: 3298
- Зарегистрирован: 01 окт 2012, 14:48
Не совсем ясна проблема если честно. Вы же решили проблему правильно: для удаленщиков отдельная подсеть, вот и все.
Как сделано у меня: все удаленщики в отдельной подсети. Все сети замаршрутизированы между собой на головном микротике. Все видят друг друга. Подсети удаленщиков доступ в инет закрыт. Тут все просто, хочешь работать удаленно, инета на твоем компе не будет, только корпоративные ресурсы. Хочешь инет - отключайся от впн.
В идеале: каждому удаленщику по микротику и там поднимать впн и разруливать подсети, но вряд ли получится даже во сне.
Как сделано у меня: все удаленщики в отдельной подсети. Все сети замаршрутизированы между собой на головном микротике. Все видят друг друга. Подсети удаленщиков доступ в инет закрыт. Тут все просто, хочешь работать удаленно, инета на твоем компе не будет, только корпоративные ресурсы. Хочешь инет - отключайся от впн.
В идеале: каждому удаленщику по микротику и там поднимать впн и разруливать подсети, но вряд ли получится даже во сне.
-
bankir82
- Сообщения: 5
- Зарегистрирован: 14 май 2013, 15:47
Разобрался с проблемой.
Решение оказалось таким:
создал еще один бридж под впн, в бридж ничего не подключено. В профилях PPP создал новый профиль и заполнил там только бридж и указал новый бридж под впн. Таким образом вынес сетку удаленного офиса в отдельный бридж. Тогда перестали забиваться ip-адреса и если запустить Ip scan, то там только мои компы в локалке видны.
Попробовал в этот новый бридж для впн засунуть еще один офис - третий - тоже возникают коллизии.
В конечном итоге под каждый удаленный офис создал отдельные бриджи и отдельные профили впн с этими бриджами.
Теперь трафик бегает между сетками, чужие сети не "флудят" своими маками и ip-адресами в моей сети.
Удаленные пользователи подключаются к впн и попадают в дефолтный бридж и видят сетку за роутером, но не имеют доступ к другим подсетям других офисов удаленных.
Решение оказалось таким:
создал еще один бридж под впн, в бридж ничего не подключено. В профилях PPP создал новый профиль и заполнил там только бридж и указал новый бридж под впн. Таким образом вынес сетку удаленного офиса в отдельный бридж. Тогда перестали забиваться ip-адреса и если запустить Ip scan, то там только мои компы в локалке видны.
Попробовал в этот новый бридж для впн засунуть еще один офис - третий - тоже возникают коллизии.
В конечном итоге под каждый удаленный офис создал отдельные бриджи и отдельные профили впн с этими бриджами.
Теперь трафик бегает между сетками, чужие сети не "флудят" своими маками и ip-адресами в моей сети.
Удаленные пользователи подключаются к впн и попадают в дефолтный бридж и видят сетку за роутером, но не имеют доступ к другим подсетям других офисов удаленных.
-
bankir82
- Сообщения: 5
- Зарегистрирован: 14 май 2013, 15:47
После всего, когда это все заработало решить отключить маршруты и замутить ospf, вдруг еще четвертый офис появится и я задолбаюсь писать маршруты. Сейчас 3 офиса и они соединены треугольником - 2 удаленных подключаются к центральному и один удаленный подключен еще к другому удаленно по впн.
Ospf должно облегчить мне жизнь с прописыванием маршрутов на всех роутерах.
Делал по видео вэбинара https://www.youtube.com/watch?v=0PyEDyX40Rc
Instsnses по умолчанию, добавил свои сетки в networks - этого достаточно чтобы все поднялось. В итоге 1 роутер видит 2 соседей, а остальные 2 роутера не видят никого в соседях. Делал разрешающее правило для 89 ospf, при этом все запрещающие выключал - не помогло ничего, не видят друг друга.
В чем проблема не могу понять.
Ospf должно облегчить мне жизнь с прописыванием маршрутов на всех роутерах.
Делал по видео вэбинара https://www.youtube.com/watch?v=0PyEDyX40Rc
Instsnses по умолчанию, добавил свои сетки в networks - этого достаточно чтобы все поднялось. В итоге 1 роутер видит 2 соседей, а остальные 2 роутера не видят никого в соседях. Делал разрешающее правило для 89 ospf, при этом все запрещающие выключал - не помогло ничего, не видят друг друга.
В чем проблема не могу понять.