Несколько локальных сетей за Mikrotik

Обсуждение оборудования и его настройки
Ответить
andrew_polyanski
Сообщения: 5
Зарегистрирован: 06 апр 2017, 08:19

Ребята всем привет!
Вопрос у меня в следующем, уже который день ломаю голову, в общем картина такая
Есть Mikrotik CRS125-24G-1S-RM в качестве PPTP и IPSEC сервера
к нему подключаются по белому Ip офисы, в основном IPSEC тунелями
в итоге трафик ходит из офиса к этим филиалам,
но как только я включаю маскарадинг для того чтобы был интернет, я их теряю.
если добавить в src-adr локалку одного удаленного офиса то всё работает, но как охватить другие сети?
либо я как то делаю коряво правило нат.
Подскажите решение пожалуйста.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Ну это же просто...
а) сделайте адрес-лист и туда впишите все сети Ваших филиалов
б) правило НАТ сделайте более "деликатным", указав и исходящий интерфейс явно (через который у Вас Интернет собственно),
и также явно во второй закладке укажите созданный адрес-лист сделанный согласно пункту а).
При таком подходе пакеты будут маскарадиться не только для списка исходящих адресов,
но и явно от нужного внешнего интерфейса.

P.S.
Железка Ваша много таких связей не потянет, не совсем правильно подобрали оборудование..



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
andrew_polyanski
Сообщения: 5
Зарегистрирован: 06 апр 2017, 08:19

Большое спасибо!! Разобрался, ну пока 190 туннелей держит


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Снимаю шляпу...из свитча сделать роутер со 190 туннелями....жестоко Вы с железкой...
Лениво залезать в Вики,но кажется какие то ограничения и для чего-то начинается с цифры 200...
так что будьте аккуратны при приближении к цифре 200 :))



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
andrew_polyanski
Сообщения: 5
Зарегистрирован: 06 апр 2017, 08:19

Vlad-2 писал(а):Ну это же просто...
а) сделайте адрес-лист и туда впишите все сети Ваших филиалов
б) правило НАТ сделайте более "деликатным", указав и исходящий интерфейс явно (через который у Вас Интернет собственно),
и также явно во второй закладке укажите созданный адрес-лист сделанный согласно пункту а).
При таком подходе пакеты будут маскарадиться не только для списка исходящих адресов,
но и явно от нужного внешнего интерфейса.

P.S.
Железка Ваша много таких связей не потянет, не совсем правильно подобрали оборудование..



CCR1009-7G-1C-PC Данная модель подойдет для порядка 400 IPSEC туннелей?


andrew_polyanski
Сообщения: 5
Зарегистрирован: 06 апр 2017, 08:19

Vlad-2 писал(а):Снимаю шляпу...из свитча сделать роутер со 190 туннелями....жестоко Вы с железкой...
Лениво залезать в Вики,но кажется какие то ограничения и для чего-то начинается с цифры 200...
так что будьте аккуратны при приближении к цифре 200 :))


Просто хочу испытать в боевых условиях на что он способен.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Трудно однозначно сказать...туннели они же разные, тем более Вы не указали тип туннелей, а то
можно и 100 туннелей иметь холостых, и их совокупная нагрузка не будет вообще иметь вес и
как-то их замечать, а может быть так, что есть 10-20 туннелей - которые могут всё на себя забирать...

В любом случаи 9-ядерный процессор + другая архитектура, 1 гигабайт оперативной памяти, отсутствие свитч-чипа и
значит все порты напрямую подключены к процессору, и слегка более глубокая адаптация данного девайса
под повышенные системные нагрузки - точно должно быть лучше и быстрее ....



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
andrew_polyanski
Сообщения: 5
Зарегистрирован: 06 апр 2017, 08:19

Vlad-2 писал(а):Трудно однозначно сказать...туннели они же разные, тем более Вы не указали тип туннелей, а то
можно и 100 туннелей иметь холостых, и их совокупная нагрузка не будет вообще иметь вес и
как-то их замечать, а может быть так, что есть 10-20 туннелей - которые могут всё на себя забирать...

В любом случаи 9-ядерный процессор + другая архитектура, 1 гигабайт оперативной памяти, отсутствие свитч-чипа и
значит все порты напрямую подключены к процессору, и слегка более глубокая адаптация данного девайса
под повышенные системные нагрузки - точно должно быть лучше и быстрее ....


Показалось что указал, шифрованые IPSEC в них удалённые офисы бродят по 80 порту иногда smb и другие сервисы, на железке в ЦО около 30-40 правил


Ответить