И еще раз о туннелировании

Обсуждение оборудования и его настройки
Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Вопрос меня очень интересует не академически. Есть необходимость создать туннель, но пока попытки его создать как-то не слишком удачны.

Имеется две точки, обе подключены к интернету. Одна по PPTP, другая по PPOE. На первую точку получили реальный айпишник. Подняли РРТР-сервер, на второй точке клиен. Все подключилось норм. Подняли EoIP-туннель на обоих и закинули в бридж. В итоге с первой точки вторая и компы за ней пингуются, со второй на первую не пингуется сеть, хотя роутер пингуется. Понимаю, что все достаточно просто, но запарился. Задача - объединить компы в единую сеть, чтобы любой юзер видел все компьютеры во всей сети.
Изображение
 Первый роутер

Код: Выделить всё

/interface bridge
add l2mtu=1522 name=bridge1
/interface ethernet
set 0 name=ether1
set 1 name=ether2
set 2 name=ether3
/interface pptp-server
add name=pptp-in1 user=123456
/interface pptp-client
add add-default-route=yes connect-to=172.18.1.1 disabled=no name=MyPPTP password=****** user=******
/interface eoip
add mac-address=FE:55:61:C0:EE:85 name=eoiptunnel remote-address=192.168.10.2 tunnel-id=101
/ip pool
add name=Pool ranges=192.168.100.2-192.168.100.254
/ip dhcp-server
add address-pool=Pool disabled=no interface=bridge1 name=DHCP
/interface bridge port
add bridge=bridge1 interface=ether1
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=eoiptunnel
/interface pptp-server server set enabled=yes
/ip address
add address=172.18.2.242/16 interface=ether3
add address=192.168.100.10/24 interface=bridge1
/ip dhcp-server network
add address=192.168.100.0/24 dns-server=192.168.100.10 domain=home gateway=192.168.100.10
/ip dns
set allow-remote-requests=yes servers=194.190.5.24,8.8.8.8
/ip firewall nat
add action=masquerade chain=srcnat src-address=192.168.100.0/24 to-addresses=0.0.0.0
/ip route
add distance=1 dst-address=172.18.0.0/16 gateway=172.18.1.1
/ppp secret
add local-address=192.168.10.1 name=123456 password=123456 remote-address=192.168.10.2 service=pptp


 Второй роутер

Код: Выделить всё

/interface bridge
add l2mtu=1598 name=bridge1
/interface ethernet
set 0 name=ether1
set 1 name=ether2
set 2 name=ether3
set 3 name=ether4
set 4 name=ether5
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=SOUTH password=****** use-peer-dns=yes user=******
/interface pptp-client
add connect-to=12.12.12.3 disabled=no name=pptp-in1 password=123456 user=123456
/interface eoip
add mac-address=FE:9C:F7:89:19:6B name=eoiptunnel remote-address=192.168.10.1 tunnel-id=101
/ip pool
add name=pool1 ranges=192.168.101.2-192.168.101.254
/ip dhcp-server
add address-pool=pool1 disabled=no interface=bridge1 name=DHCP1
/interface bridge port
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=wlan1
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=eoiptunnel
/ip address
add address=192.168.101.1/24 interface=bridge1
add address=10.0.14.10/24 interface=ether1
add address=12.12.12.3/32 disabled=yes interface=eoiptunnel network=12.12.12.3
/ip dhcp-server network
add address=192.168.101.0/24 dns-server=192.168.101.1 domain=home gateway=\
    192.168.101.1
/ip dns
set allow-remote-requests=yes servers=77.73.88.83,77.73.91.91
/ip firewall nat
add action=masquerade chain=srcnat src-address=192.168.101.0/24


И еще вопрос: В руководствах в сети часто советуют по туннетю EoIP объединять две сетки в одном диапазоне, создавая одну. То есть и за одним и за другим роутером советуют сеть 192.168.100.0/24 . Но я раздаю адреса по DHCP на обоих, у меня могут пересекаться адреса, выйдет конфликт. Как обойти эту проблему?

Прошу прощения за корявый рисунок, если где-то я непонятно объяснил ситуацию, укажите. Я постараюсь быть поконкретнее.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

в одном широковещательном домене не может быть два dhcp сервера. это правило. работать будет как на душу ляжет, в лучшем случае.
обойти эту проблему можно не заморачиваясь с объединением двух сетей в одну, если это действительно не обусловлено необходимостью. либо делать какой то релей, что в итоге сведет количество серверов к одному, но опять же, при обрыве связи, что то где то не будет работать.


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Тогда, если Вам не сложно, набросайте правила для маршрутизации. Там ведь нужно прописывать не только роутинг, но и адрес-лист как-то дописывать.
Первый роутер - сеть 192.168.100.0/24, туннель EoIP 192.168.10.1(PPTP-server) и реальник 12.12.12.3
Второй роутер - сеть 192.168.101.0/24, туннель EoIP 192.168.10.2 (PPTP-client)
Нужно сети объединить, чтобы все видели всех, разрыв связи не влиял на работу каждой сети. У нас пока время терпит, суета начнется после Нового Года. Хочется к этому времени всё подготовить.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

вот эту тему почитайте
viewtopic.php?f=3&t=2933
там все расписано. разницы, чем вы объединяете сети нет.
Там ведь нужно прописывать не только роутинг, но и адрес-лист как-то дописывать.

совсем не ясно что в вашем понимании адрес-лист? в моем понимании это список адресов, который применяется куда либо, например к маршрутизации.


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

2 DHCP сервера в одном домене =) круто конечно, но работать не будет

Вам нужен 1 сервер и подсеть побольше (если 250 адресов мало)

как только у Вас есть EOIP и бридж - считайте все что в бриджах единой сетью и ошибок будет меньше


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Так. Спасибо огромное за советы. Значит мне ни в коем случай не нужна единая сеть. А просто две сети, которые будут друг для друга видны, доступны и прозрачны. Вся суть в том, что обе точки независимы, имеют свой доступ в сеть и свои небольшие сетки, которые они должны обслуживать независимо от того, есть ли туннель между ними или его нет.
Адрес-лист я имел ввиду тот, что по пути

Код: Выделить всё

[admin@MikroTik] > ip address 


2 DHCP сервера в одном домене =) круто конечно, но работать не будет

Я тут спросить хотел вот что. Если я один из DHCP-серверов ограничу пулом на конкретные IP-адреса, намертво закреплю их за определенными MAC-адресами, то конфликта не должно возникать? Или я недопонимаю чего-то. У меня на одном из роутеров количество пользователей известно, не изменяется в течение времени и к роутеру доступ есть всегда.

И что вы мне посоветуете для соединения моих роутеров? Какой способ наиболее реализуем с точки зрения простоты и надежности.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

Вам надо определиться на каком уровне соединять Ваши сети

если нужно L2 - то единый бридж, 1 DHCP сервер и т.д.

L3 - (то есть достаточно чтобы машины пинговали друг друга) - делайте роутинг


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

[quote=iSupport]Вам надо определиться на каком уровне соединять Ваши сети[/quote]

Я все-таки не IP-специалист. Мне достаточно сложно все это решить самому. Поэтому я и попросил совета. При L3 я смогу заходить на машины другой сети? Или только пинговать?
Прошу прощения за наивные вопросы.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
vkrum
Сообщения: 86
Зарегистрирован: 10 ноя 2012, 00:23

podarok66 писал(а):
Я все-таки не IP-специалист. Мне достаточно сложно все это решить самому. Поэтому я и попросил совета. При L3 я смогу заходить на машины другой сети? Или только пинговать?
Прошу прощения за наивные вопросы.

У Вас и так л3 по верх которой впн. чтобы заработало надо указать маршрут до сети 1. ток вроде статистическая маршрутизация на пппое не поддерживается.


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

podarok66 писал(а):[quote=iSupport]Вам надо определиться на каком уровне соединять Ваши сети


Я все-таки не IP-специалист. Мне достаточно сложно все это решить самому. Поэтому я и попросил совета. При L3 я смогу заходить на машины другой сети? Или только пинговать?
Прошу прощения за наивные вопросы.[/quote]
всё достаточно просто:
http://ru.wikipedia.org/wiki/%D0%A1%D0% ... %D1%8C_OSI
если по человечески то L2 это коммутация в пределах одного сегмента, L3 это маршрутизация между сегментами. просто каждый из протоколов работает на определенном уровне, если у вас есть необходимость в L2, то формируйте единое пространство, объединяйте все в бридж, со всеми вытекающими в отношении 2х серверов DHCP. Если такой необходимости нет, то стройте маршрутизацию на L3, и используйте 2 DHCP.
Хотя в бридже можно резать своим фаерволом, и не пропускать dhcp из одного сегмента в другой, но на мой взгляд это изврат в исключительно узких случаях.


Ответить