PPTP + VLAN + Bridge
Добавлено: 21 янв 2013, 09:26
Добрый день! Прошу помощи в настройке микротика.
Имеется Mikrotik RB750, задача такая:
Есть хост-машина, на которой в виртуалке (KVM) крутятся несколько разных машин, каждая виртуальная машина - в своём влане, белый IP только один, поэтому было решено раздавать доступ к вирт.машинам через PPTP/L2TP, задача:
На микротике поднять PPTP/L2TP сервер, пользователи должны подключаться к микротик и в зависимости от логина (от pptp-профиля) попадать в vlan именно к своей виртуальной машине, (т.е. в зависимости от логина получить доступ к одной виртуальной машине).
Попытался реализовать так: создал на микротике vlan-ы для каждой вирт. машины, создал ppp-профили, в каждом ppp-профиле указал отдельный бридж, далее в бриджи добавляю vlan-ы, получилось, что при дозвоне, пользователю применяется профиль с бриджом куда добавлен влан, например:
пользователь user1, bridge1 и в этот bridge1 добавляю vlan1, но возникает проблема,
если бриджу (или vlan) не назначить IP - пользователь не видит вирт. машину, если же я назначаю ip бриджу (или влану), то пользователь видит вирт машину, но когда этот ип указываешь пользователю шлюзу - он начинает видеть всё, что на микротике подключено, и сети из соседних вланов, и интернет, в общем всё в кучу.
Подскажите пожалуйста, как расово-верно построить такую схему подключения (раздавать доступ к вирт. машинам из вне), и что я делаю неправильно. (пробовал копать в сторону bridge -> filter, но совсем непонятно как создавать правила).
Так же отмечу, что в связке ppp + bridge + vlan нужно как-то запихать инет, на вирт. машину, с ограничением к двум адресам. (т.е. сама вирт машина должна в инете видеть всего 2 ip, чтобы на них регистрироваться (sip-транки)).
p.s. может это облегчит понять суть задачи, на виртуальных машинах крутятся воипные атс (asterisk pbx), нужно дать клиентам (voip телефонным аппаратам), подклчюаться по pptp/l2tp к mikrotik, попадать в одну подсеть со своим сервером pbx и регистрироваться на нем, при этом сам сервер pbx должен зарегистрировать на себя sip транки, и предоставлять пользователям телефонию).
Заранее благодарю за ответ, приношу свои извинения за сумбурность мыслей и растянутость задачи (пост как война и мир получился).
Имеется Mikrotik RB750, задача такая:
Есть хост-машина, на которой в виртуалке (KVM) крутятся несколько разных машин, каждая виртуальная машина - в своём влане, белый IP только один, поэтому было решено раздавать доступ к вирт.машинам через PPTP/L2TP, задача:
На микротике поднять PPTP/L2TP сервер, пользователи должны подключаться к микротик и в зависимости от логина (от pptp-профиля) попадать в vlan именно к своей виртуальной машине, (т.е. в зависимости от логина получить доступ к одной виртуальной машине).
Попытался реализовать так: создал на микротике vlan-ы для каждой вирт. машины, создал ppp-профили, в каждом ppp-профиле указал отдельный бридж, далее в бриджи добавляю vlan-ы, получилось, что при дозвоне, пользователю применяется профиль с бриджом куда добавлен влан, например:
пользователь user1, bridge1 и в этот bridge1 добавляю vlan1, но возникает проблема,
если бриджу (или vlan) не назначить IP - пользователь не видит вирт. машину, если же я назначаю ip бриджу (или влану), то пользователь видит вирт машину, но когда этот ип указываешь пользователю шлюзу - он начинает видеть всё, что на микротике подключено, и сети из соседних вланов, и интернет, в общем всё в кучу.
Подскажите пожалуйста, как расово-верно построить такую схему подключения (раздавать доступ к вирт. машинам из вне), и что я делаю неправильно. (пробовал копать в сторону bridge -> filter, но совсем непонятно как создавать правила).
Так же отмечу, что в связке ppp + bridge + vlan нужно как-то запихать инет, на вирт. машину, с ограничением к двум адресам. (т.е. сама вирт машина должна в инете видеть всего 2 ip, чтобы на них регистрироваться (sip-транки)).
p.s. может это облегчит понять суть задачи, на виртуальных машинах крутятся воипные атс (asterisk pbx), нужно дать клиентам (voip телефонным аппаратам), подклчюаться по pptp/l2tp к mikrotik, попадать в одну подсеть со своим сервером pbx и регистрироваться на нем, при этом сам сервер pbx должен зарегистрировать на себя sip транки, и предоставлять пользователям телефонию).
Заранее благодарю за ответ, приношу свои извинения за сумбурность мыслей и растянутость задачи (пост как война и мир получился).