PPTP + VLAN + Bridge

Обсуждение оборудования и его настройки
Ответить
Neo`
Сообщения: 4
Зарегистрирован: 15 янв 2013, 08:29

21 янв 2013, 09:26

Добрый день! Прошу помощи в настройке микротика.

Имеется Mikrotik RB750, задача такая:

Есть хост-машина, на которой в виртуалке (KVM) крутятся несколько разных машин, каждая виртуальная машина - в своём влане, белый IP только один, поэтому было решено раздавать доступ к вирт.машинам через PPTP/L2TP, задача:

На микротике поднять PPTP/L2TP сервер, пользователи должны подключаться к микротик и в зависимости от логина (от pptp-профиля) попадать в vlan именно к своей виртуальной машине, (т.е. в зависимости от логина получить доступ к одной виртуальной машине).

Попытался реализовать так: создал на микротике vlan-ы для каждой вирт. машины, создал ppp-профили, в каждом ppp-профиле указал отдельный бридж, далее в бриджи добавляю vlan-ы, получилось, что при дозвоне, пользователю применяется профиль с бриджом куда добавлен влан, например:

пользователь user1, bridge1 и в этот bridge1 добавляю vlan1, но возникает проблема,
если бриджу (или vlan) не назначить IP - пользователь не видит вирт. машину, если же я назначаю ip бриджу (или влану), то пользователь видит вирт машину, но когда этот ип указываешь пользователю шлюзу - он начинает видеть всё, что на микротике подключено, и сети из соседних вланов, и интернет, в общем всё в кучу.

Подскажите пожалуйста, как расово-верно построить такую схему подключения (раздавать доступ к вирт. машинам из вне), и что я делаю неправильно. (пробовал копать в сторону bridge -> filter, но совсем непонятно как создавать правила).

Так же отмечу, что в связке ppp + bridge + vlan нужно как-то запихать инет, на вирт. машину, с ограничением к двум адресам. (т.е. сама вирт машина должна в инете видеть всего 2 ip, чтобы на них регистрироваться (sip-транки)).

p.s. может это облегчит понять суть задачи, на виртуальных машинах крутятся воипные атс (asterisk pbx), нужно дать клиентам (voip телефонным аппаратам), подклчюаться по pptp/l2tp к mikrotik, попадать в одну подсеть со своим сервером pbx и регистрироваться на нем, при этом сам сервер pbx должен зарегистрировать на себя sip транки, и предоставлять пользователям телефонию).

Заранее благодарю за ответ, приношу свои извинения за сумбурность мыслей и растянутость задачи (пост как война и мир получился).


iSupport
Сообщения: 2360
Зарегистрирован: 06 фев 2011, 20:44

22 янв 2013, 21:20

бр........ три раза перечитывал.

По хорошему, вам надо нарисовать схему и проанализировать ее.

я так понимаю, что для пользователей РРТР и для Вирт машин выделяется посдеть /24 с локальными адресами

и все это запихивается в бридж. В бридже вместе с РРТР живет Влан на котором крутится вирт машина?

рисуйте схему и пишите что уже настроили. Будем думать


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Neo`
Сообщения: 4
Зарегистрирован: 15 янв 2013, 08:29

03 фев 2013, 02:16

Вы всё правильно поняли, существует бридж, в него запихиваю клиента PPTP и vlan вирт машины, проблема в том, что клиенты в находящиеся в разных бриджах всёравно видят друг друга. Нарисовал простенькую схему. Задача заключается в том, чтобы разные PPTP клиенты не видели друг друга, а видели только свой vlan, сразу оговорюсь, что внутренние IP адреса в вланах могут совпадать (!) вот в чем проблема. Т.е. нельзя просто взять и разделить клиентов фаерволом, мне нужно чтобы именно клиенты попадали в разные "интерфейсы", это позволит разным клиентам назначать одинаковые внутренние IP адреса в vlan. (например на виртуальной машине в vlan1 клиенту до зарезу надо поставить ip 192.168.0.1, но и клиенту 2 в vlan2 тоже до зарезу надо поставить на своей вирт. машине 192.168.0.1, мне нужно чтобы они оба могли ставить такие адреса, но при этом друг друга не видели и не возникал конфликт IP адресов, вот в чем вся соль). На данный момент настроил так, что PPTP цепляется, видит нужный VLAN, но так же видит и все остальные VLAN и вирт машины в соседних VLANах.
Заранее благодарю за ответ.
Вложения
shema.PNG
shema.PNG (15.24 КБ) 1123 просмотра


Neo`
Сообщения: 4
Зарегистрирован: 15 янв 2013, 08:29

05 фев 2013, 16:01

iSupport писал(а):рисуйте схему и пишите что уже настроили. Будем думать

схему нарисовал, что уже настроил написал, подумайте плз?


Ответить