PPTP + EOIP

Обсуждение оборудования и его настройки
qwery2004
Сообщения: 7
Зарегистрирован: 26 янв 2019, 17:15

26 янв 2019, 17:29

Доброго дня!
Помогите с настройками разобраться.
Роутер А (сервер)
Роутер В (клиент)
устанавливается соединение пптп и поверх еоип, все вроде бы классно, сети видят друг друга прекрасно, но сеть В начинает гонять интеренет через роутер А.
т.е. клиенты на роутере В получают гетвей роутера А. Как локализовать выход в интренет?


Ca6ko
Сообщения: 379
Зарегистрирован: 23 ноя 2018, 11:08

26 янв 2019, 18:02

В IP/Routes правильно прописать маршрут по умолчанию 0.0.0.0/0


RB3011UiAS, RB2011, CRS328, CSS326, cAP ac, wAP ac, hex PoE, RB260GSP, hAP ac lite и hAP lite
Аватара пользователя
Vlad-2
Модератор
Сообщения: 1961
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

26 янв 2019, 18:06

1) ну как бы всё правильно, EoIP = это туннель L2-уровня, всё бегает там,
начиная от бродкастов и другими нюансами.
2) Если на разных сторонах разные тарифы, "тормоза" ещё получите.

Вообще, EoIP - нужен для того, чтобы при сложности маршрутизации подать почти чистый L2-уровень,
я не думаю, чтобы объединить два филиала надо гнать весь мусор одного филиала в другой и также наоборот?!
Также, хочу напомнить, что сам туннель EoIP = ресурсоёмкий протокол для процессора микротика (не берём мощные роутеры).

Если всё же надо как-то ограничивать, то обычно разделяют сети, + путём файрволов на уровне бриджа(ей) фильтруют
какие-то запросы и так далее, часто ещё бывает проблема при EoIP = каждый DHCP пытается дать адрес
другой сети (напоминаю, EoIP - это сеть L2-уровня).

Я бы сделал другой тип туннеля, через туннель сделал маршрутизацию L3-уровня, и всё.
Сети сами по себе работали, а через туннель получали доступ к другой сети только.
Бродкаста нету, маршрутизация есть. Не работает сетевое окружение, оно и не нужно,
IP-адресация есть, сетевые диски есть.
А вот EoIP оставьте для чего-то уникального, специфического. Для связки двух офисов,
он и не удобен, и избыточен.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
qwery2004
Сообщения: 7
Зарегистрирован: 26 янв 2019, 17:15

26 янв 2019, 18:17

Ca6ko писал(а):
26 янв 2019, 18:02
В IP/Routes правильно прописать маршрут по умолчанию 0.0.0.0/0
так и есть, первый маршрут 0.0.0.0/0


qwery2004
Сообщения: 7
Зарегистрирован: 26 янв 2019, 17:15

26 янв 2019, 18:20

Vlad-2 писал(а):
26 янв 2019, 18:06
1) ну как бы всё правильно, EoIP = это туннель L2-уровня, всё бегает там,
начиная от бродкастов и другими нюансами.
2) Если на разных сторонах разные тарифы, "тормоза" ещё получите.

Вообще, EoIP - нужен для того, чтобы при сложности маршрутизации подать почти чистый L2-уровень,
я не думаю, чтобы объединить два филиала надо гнать весь мусор одного филиала в другой и также наоборот?!
Также, хочу напомнить, что сам туннель EoIP = ресурсоёмкий протокол для процессора микротика (не берём мощные роутеры).

Если всё же надо как-то ограничивать, то обычно разделяют сети, + путём файрволов на уровне бриджа(ей) фильтруют
какие-то запросы и так далее, часто ещё бывает проблема при EoIP = каждый DHCP пытается дать адрес
другой сети (напоминаю, EoIP - это сеть L2-уровня).

Я бы сделал другой тип туннеля, через туннель сделал маршрутизацию L3-уровня, и всё.
Сети сами по себе работали, а через туннель получали доступ к другой сети только.
Бродкаста нету, маршрутизация есть. Не работает сетевое окружение, оно и не нужно,
IP-адресация есть, сетевые диски есть.
А вот EoIP оставьте для чего-то уникального, специфического. Для связки двух офисов,
он и не удобен, и избыточен.
Дело в том что L2 это необходимость. Там сервис работает с маками. трафик по идее не о чем с сервисом. каким то образом я настраивал год назад ограничение а сейчас никак не могу не найти не вспомнить что делал. может быть правило какое на стороне В.


Ca6ko
Сообщения: 379
Зарегистрирован: 23 ноя 2018, 11:08

26 янв 2019, 18:57

qwery2004 писал(а):
26 янв 2019, 18:17

так и есть, первый маршрут 0.0.0.0/0
Разумеется это первый маршрут и его нужно
Ca6ko писал(а):
26 янв 2019, 18:02
В IP/Routes правильно прописать маршрут по умолчанию 0.0.0.0/0
Через него завернуть трафик на нужный шлюз, а не через тунель на офис А


RB3011UiAS, RB2011, CRS328, CSS326, cAP ac, wAP ac, hex PoE, RB260GSP, hAP ac lite и hAP lite
qwery2004
Сообщения: 7
Зарегистрирован: 26 янв 2019, 17:15

26 янв 2019, 19:02

Ca6ko писал(а):
26 янв 2019, 18:57
qwery2004 писал(а):
26 янв 2019, 18:17

так и есть, первый маршрут 0.0.0.0/0
Разумеется это первый маршрут и его нужно
Ca6ko писал(а):
26 янв 2019, 18:02
В IP/Routes правильно прописать маршрут по умолчанию 0.0.0.0/0
Через него завернуть трафик на нужный шлюз, а не через тунель на офис А
так и есть, 0.0.0.0/0 идет на провайдерский гетвей


Ca6ko
Сообщения: 379
Зарегистрирован: 23 ноя 2018, 11:08

26 янв 2019, 19:09

Чудес не бывает, трафик идет в туннель потому что туда есть маршрут. Посмотрите как меняются маршруты при включенном vpn и отключенном и поправите как нужно Вам
В туннель должен идти маршрут только для в сети Офиса А . Посмотрите как настроено в Офисе А и так же настройте для Офиса Б


RB3011UiAS, RB2011, CRS328, CSS326, cAP ac, wAP ac, hex PoE, RB260GSP, hAP ac lite и hAP lite
qwery2004
Сообщения: 7
Зарегистрирован: 26 янв 2019, 17:15

26 янв 2019, 19:17

Изображение


Ca6ko
Сообщения: 379
Зарегистрирован: 23 ноя 2018, 11:08

28 янв 2019, 09:44

Извините я забыл что способов реализации VPN на микротике с десяток.


RB3011UiAS, RB2011, CRS328, CSS326, cAP ac, wAP ac, hex PoE, RB260GSP, hAP ac lite и hAP lite
Ответить