Объединить две локальные сети

Обсуждение оборудования и его настройки
Yuriy
Сообщения: 9
Зарегистрирован: 06 июл 2017, 09:40

Vlad-2 писал(а):
зачем внутри вилана делать соединение по РРТР ? Зачем Вам достаточно не лёгкий протокол, и ещё и сеансового типа?

Если gre не ограничивает провайдер, поднимаете туннели на основе GRE (в микротике это вообще просто) и всё.
И не надо делать сервер РРТР, а с другой стороны клиент РРТР настраивать, GRE туннели проще, и думаю в Вашем
случаи то, что надо, а если приспичит - то в туннелях GRE можно и IPSec включить позже(потеряете скорость).
У меня так работает, тем более что GRE это уже 3-уровень, а значит бродкастов не будет, и
только маршрутизацией разрулить доступы к тем или иным сетям. Опять же, туннели можно поднять не только
между филиал=цент-офис, но и филиал=филиал, и локальный траф между филиалами гнать напрямую.


Спасибо за совет, провайдер вроде ничего не режет, кроме большого количества соединений(бродкаст). Я для этого сюда и пришел, что-бы посоветоваться.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Всем хорош gre, но белые IP должны быть с двух сторон.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

gmx писал(а):Всем хорош gre, но белые IP должны быть с двух сторон.

Зачем?

Провайдер даёт им вилан, то есть L2 у них есть между филиалами, адресация есть (но по условию её в одном
офисе хотят изменить), задача стоит объединение сетей, просто дал совет - РРТР поменять на GRE.
Про реальные адреса ничего не сказано, вилан у провайдера так же продолжать использовать,
просто внутри него использовать другой протокол.


У меня три роутера работают по такой схеме, провайдер по городу дал вилан (в рамках своей сети)
на объекты (многие) приходит трафик (с порта свитча провайдера уже нетегированный), ну и внутри этого вилана
трафик и адресация уже наша (там бегает грязный внутренний траф + випнет).
Отлично работают туннели по такому принципу, GRE-туннелю нужно видеть адреса друг друга и всё, белые там не обязательно,
если конечно нет более тонких условий, но вроде их ТС не ставил.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Да, правда, я забыл, что у топикстартера провайдер уже все организовал.
Я просто всегда стараюсь уйти от провайдера, чтобы не зависеть от его заморочек.
Так если vpn провайдера оставлять, зачем вообще туннель? Безопасность? Так может она и не нужна топикстартеру? До этого же он как-то жил? Разделить сеть на сегменты при помощи микротиков. Контроль трафика будет и достаточно...


Yuriy
Сообщения: 9
Зарегистрирован: 06 июл 2017, 09:40

gmx писал(а):Да, правда, я забыл, что у топикстартера провайдер уже все организовал.
Я просто всегда стараюсь уйти от провайдера, чтобы не зависеть от его заморочек.
Так если vpn провайдера оставлять, зачем вообще туннель? Безопасность? Так может она и не нужна топикстартеру? До этого же он как-то жил? Разделить сеть на сегменты при помощи микротиков. Контроль трафика будет и достаточно...


Безопасность всем нужна, правда без IPSec я как понимаю, GRE не такой уж безопасный. Попробую, отпишусь о результате, если нагрузка будет не большая, то можно IPSec включить, а если не будет тянуть, то придется от туннеля отказываться и просто роутинг настраивать.


Yuriy
Сообщения: 9
Зарегистрирован: 06 июл 2017, 09:40

Vlad-2 писал(а):У меня три роутера работают по такой схеме, провайдер по городу дал вилан (в рамках своей сети)
на объекты (многие) приходит трафик (с порта свитча провайдера уже нетегированный), ну и внутри этого вилана
трафик и адресация уже наша (там бегает грязный внутренний траф + випнет).
Отлично работают туннели по такому принципу, GRE-туннелю нужно видеть адреса друг друга и всё, белые там не обязательно,
если конечно нет более тонких условий, но вроде их ТС не ставил.


А у вас у каждого объекта для выхода в интернет отдельный канал или тоже через главный офис?


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Yuriy писал(а):А у вас у каждого объекта для выхода в интернет отдельный канал или тоже через главный офис?

Это как бы большая сеть между организациями, она закрытая, без доступа в интернет, но если поставят срочно
задачу сделать доступ/выход в интернет, то да, реализовано будет через головной офис, туннели есть, связь
с центральным офисом есть и интернет есть тоже в центральном офисе.
В любом случаи делается сначала связь между филиалами, маршрутизация, а уже интернет дело второе.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
seregaelcin
Сообщения: 176
Зарегистрирован: 27 фев 2016, 17:12

Erik_U писал(а):"правильность" - она исключительно от потребностей.

Формально, если внешние адреса роутеров друг друга в сети видят - все, локальные сети объединены.


Про маршрутизацию забыли. 2 роутра с 2 мя сетями+отдельная сеть на стыке, тут как минимум статика нужна, если реализовывать как автор темы хочет


Обладатель Mikrotik RB2011UAS-2HnD-IN
gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

seregaelcin писал(а):
Erik_U писал(а):"правильность" - она исключительно от потребностей.

Формально, если внешние адреса роутеров друг друга в сети видят - все, локальные сети объединены.


Про маршрутизацию забыли. 2 роутра с 2 мя сетями+отдельная сеть на стыке, тут как минимум статика нужна, если реализовывать как автор темы хочет


Вы почитайте получше. Им провайдер сделал продолжение их локальной сети по своим каналам, они могут там использовать любые IP адреса, хоть статикой, хоть динамикой. И подсетей можно сделать сколько угодно.


seregaelcin
Сообщения: 176
Зарегистрирован: 27 фев 2016, 17:12

Я и прочитал, может понял не так

"Сейчас сети соединены через vlan провайдера(отдельный порт свитча), имеют единое адресное пространство 192.168.0.0/24" - т.е. это L2- канал ? я правильно понял ??? между 2 мя точками?

192.168.0.1/24 офис1 ----- L2-канал-----офис2 192.168.0.2/24 хосты у нас доступны, т.к. лежат в одной сети

Читаем далее "Планируется изменить адреса для сети второго офиса, и поставить с каждой стороны vlan соединения роутер.", например для офис2 меняем сеть на 192.168.1.0/24

т.е. схема получается 192.168.0.0/24-| микротик офис1 ----- L2-канал-----офис2 микротик |-192.168.1.0/24

Ну и как тут без роутинга сетки будут видеть друг друга??? ))))

Итого что должно получится примерно так 192.168.0.0/24-| микротик офис1 172.16.0.1/30 ----- L2-канал-----172.16.0.2/30 офис2 микротик |-192.168.1.0/24

для микротик офис1 статик роут 192.168.1.0/24 некс хоп 172.16.0.2
для офис2 микротик статик роут 192.168.0.0/24 некс хоп 172.16.0.1

Пусть автор темы поправит


Обладатель Mikrotik RB2011UAS-2HnD-IN
Ответить