Объединить две локальные сети

Обсуждение оборудования и его настройки
Yuriy
Сообщения: 9
Зарегистрирован: 06 июл 2017, 09:40

Добрый день, подскажите как правильнее объединить две локальные сети.
Сейчас сети соединены через vlan провайдера(отдельный порт свитча), имеют единое адресное пространство 192.168.0.0/24.
Есть два роутера rb750gr3.
Планируется изменить адреса для сети второго офиса, и поставить с каждой стороны vlan соединения роутер.

Спасибо.


Erik_U
Сообщения: 1752
Зарегистрирован: 09 июл 2014, 12:33

"правильность" - она исключительно от потребностей.

Формально, если внешние адреса роутеров друг друга в сети видят - все, локальные сети объединены.
А дальше начинается информационная безопасность.

Здесь достаточность тоже невозможно обсуждать, не зная что вы защищаете, от кого, и от каких способов.
Если вам достаточно vlan в условиях, когда операторским оборудованием вы не управляете, значит все правильно планируете.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Более того, многие провайдеры в услуге VPN могут сами организовать маршрутизацию и даже клиентский роутер не требуется, достаточно будет свича, который у вас уже есть. Попробуйте обратиться к провайдеру.


Yuriy
Сообщения: 9
Зарегистрирован: 06 июл 2017, 09:40

gmx писал(а):Более того, многие провайдеры в услуге VPN могут сами организовать маршрутизацию и даже клиентский роутер не требуется, достаточно будет свича, который у вас уже есть. Попробуйте обратиться к провайдеру.


Сейчас как раз так все и работает, два свича соединены через vlan соединение провайдера(прозрачно).

Главные проблемы:
1. Трафик между офисами не контролируется
2. При большом количестве соединений (бродкасты) срабатывает защита и теряется связь (проблема решена, но вероятность возникновения остается)

Видимое решение:
Поставить по роутеру, с каждой стороны. Организовать vpn соединение. Фильтровать трафик.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Так в чем вопрос-то тогда??
Ставьте и подключайте. От VPN провайдера тогда можно будет отказаться, предварительно выяснив не режет ли провайдер протокол gre. Еще будет нужен хотя бы один белый IP.

А можно VPN провайдера и оставить, а микротики использовать только для контроля.
Простейшее решение для блокировки броадкаста - поднять свой собственный туннель (PPtP, L2TP).

Вы ничего не написали про желаемые скорости, тип передаваемого трафика, размер локальных сетей и так далее. Собственный VPN может легко положить ваши роутеры.


Yuriy
Сообщения: 9
Зарегистрирован: 06 июл 2017, 09:40

gmx писал(а):Так в чем вопрос-то тогда??
Ставьте и подключайте. От VPN провайдера тогда можно будет отказаться, предварительно выяснив не режет ли провайдер протокол gre. Еще будет нужен хотя бы один белый IP.

А можно VPN провайдера и оставить, а микротики использовать только для контроля.
Простейшее решение для блокировки броадкаста - поднять свой собственный туннель (PPtP, L2TP).

Вы ничего не написали про желаемые скорости, тип передаваемого трафика, размер локальных сетей и так далее. Собственный VPN может легко положить ваши роутеры.


Я рассматривал вариант PPtP без шифрования, так как канал не открытый, это самый подходящий вариант если использовать vlan провайдера?
Сеть не большая вроде. Сейчас скорость между сетями 40Мбит, порядка 30 пользователей в каждой сети, файловый сервер, sip телефония на астериск, сервер терминалов(10 пользователей).
Интернет канала во втором офисе как такого нет, весь трафик через прокси сервер в главном офисе.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Может и не вытянуть 750g. Надо пробовать.


Yuriy
Сообщения: 9
Зарегистрирован: 06 июл 2017, 09:40

gmx писал(а):Может и не вытянуть 750g. Надо пробовать.


Хорошо, буду пробовать.

Еще вопрос, может я что-то не понимаю, но как созданный pptp туннель в бридж добавить?

[admin@MikroTik] > /interface bridge port add bridge=bridge1 interface=pptp-in1
failure: pptp-in1 is not allowed to be put in bridge

Может вместо PPtP использовать EoIP?


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Никак его в бридж не добавлять. Все объединять через route. В филиалах должны быть разные подсети.

EoIP - пропускает броадкаст, а вы вроде бы пытаетесь его заблокировать?

Про EoIP написано здесь:
Почитайте здесь http://podarok66.livejournal.com/4101.html


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Yuriy писал(а):Я рассматривал вариант PPtP без шифрования, так как канал не открытый, это самый подходящий вариант если использовать vlan провайдера?
Сеть не большая вроде. Сейчас скорость между сетями 40Мбит, порядка 30 пользователей в каждой сети, файловый сервер, sip телефония на астериск, сервер терминалов(10 пользователей).
Интернет канала во втором офисе как такого нет, весь трафик через прокси сервер в главном офисе.

Пользователь gmx дал важные и полезные советы, я лишь от себя добавлю:
зачем внутри вилана делать соединение по РРТР ? Зачем Вам достаточно не лёгкий протокол, и ещё и сеансового типа?

Если gre не ограничивает провайдер, поднимаете туннели на основе GRE (в микротике это вообще просто) и всё.
И не надо делать сервер РРТР, а с другой стороны клиент РРТР настраивать, GRE туннели проще, и думаю в Вашем
случаи то, что надо, а если приспичит - то в туннелях GRE можно и IPSec включить позже(потеряете скорость).
У меня так работает, тем более что GRE это уже 3-уровень, а значит бродкастов не будет, и
только маршрутизацией разрулить доступы к тем или иным сетям. Опять же, туннели можно поднять не только
между филиал=цент-офис, но и филиал=филиал, и локальный траф между филиалами гнать напрямую.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Ответить