Маршрутизация между филиалами

Обсуждение оборудования и его настройки
Ответить
egoris
Сообщения: 8
Зарегистрирован: 28 ноя 2018, 12:17

Здравствуйте.
Я пока начинающий сисадмин и у меня нарисовалась интересная задачка.
Имею несколько филиалов и центральный офис. Филиалы соединяются с центром по L2TP/IPsec. Маршрутизация работает статическими маршрутами. Филиалы у меня друг друга не видят (им и не надо), а центр, конечно же, умеет может общаться со всеми. Данная схема масштабируется и все вроде бы ничего, но мне нужно в данную схему включить еще одно подразделение (Бухгалтерия) из которого мне нужно организовать доступ абсолютно во все сети. Как это правильно сделать? Эту задачу может быть смог бы решить тот же OSPF, но не везде стоят Микротики. А есть Zyxel Keenetic различных ревизий, на которых OSPF тупо нет.
Схема сети представлена ниже.
Изображение


Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

Так статические маршруты прописывайте везде куда надо ...
То есть из каждого филиала в Бухгалтерию Вашу по одному маршруту и из Бухгалтерии маршруты в каждый филиал.


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
egoris
Сообщения: 8
Зарегистрирован: 28 ноя 2018, 12:17

Sertik писал(а): 03 июл 2019, 13:42 Так статические маршруты прописывайте везде куда надо ...
То есть из каждого филиала в Бухгалтерию Вашу по одному маршруту и из Бухгалтерии маршруты в каждый филиал.
Не понимаю. Я не могу даже пропинговать шлюзы филиалов из бухгалтерии.


Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

Если у Вас поднят любой тип VPN между двумя Микротиками, то сами Микротики (то есть шлюзы) пинговаться должны по любому по их серым внутренним адресам VPN-тоннеля (то есть в Вашей схеме шлюзы в десятых сетях). Пинги делаем с самих Микротиков, а не с компов. А вот адреса локальных сетей Микротиков и они сами в них будут пинговаться только когда пропишите статические маршруты в них через VPN-шлюзы.
Подумайте пока сами, не догадаетесь, подскажем ...


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
egoris
Сообщения: 8
Зарегистрирован: 28 ноя 2018, 12:17

Шлюзы-клиенты у меня не видят друг-друга и соответственно не пингуются. Сейчас таблица адресов выглядят вот так:

Код: Выделить всё

ip address print 
Flags: X - disabled, I - invalid, D - dynamic 
 #   ADDRESS            NETWORK         INTERFACE                                
    ;;; Work LAN
     10.1.254.1/24      10.1.254.0      Local_bridge                                                   
  D 172.16.1.254/32    172.16.1.253    Tun1                                                
  D 172.16.1.254/32    172.16.1.11     Tun2
  D 172.16.1.254/32    172.16.1.13     Tun3
  D 172.16.1.254/32    172.16.5.1      Tun4
Может проблема в том, что все эти сети в пространстве /32?


Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

Не надо маску /32 делать. Сделайте всем сетям маску /24.
Покажите /ip rootes роутера сервера и роутера-клиента Бухгалтерии.
И на кой у Вас все тоннельные сети разные ? Дайте Микротику серверу адрес в тоннеле скажем 10.10.10.1, а Микротикам клиентам адреса 10.10.10.2, 10.10.10.3, 10.10.10.4 и т.д... В одной сети тоннеля они все будут видеть друг друга без вcяких проблем. Потом можно кого надо заблокировать в /ip route rules


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
egoris
Сообщения: 8
Зарегистрирован: 28 ноя 2018, 12:17

Sertik писал(а): 03 июл 2019, 17:08 Не надо маску /32 делать. Сделайте всем сетям маску /24.
Покажите /ip rootes роутера сервера и роутера-клиента Бухгалтерии.
И на кой у Вас все тоннельные сети разные ? Дайте Микротику серверу адрес в тоннеле скажем 10.10.10.1, а Микротикам клиентам адреса 10.10.10.2, 10.10.10.3, 10.10.10.4 и т.д... В одной сети тоннеля они все будут видеть друг друга без вcяких проблем. Потом можно кого надо заблокировать в /ip route rules
1. Маска /32 назначилась динамически
2. Маршруты сервера (не полностью)

Код: Выделить всё

13 ADC  172.16.1.253/32    172.16.1.254    Buh                   0
17 A S  ;;; Buh
        10.1.10.0/24                     172.16.1.253              1
Маршруты со стороны бухгалтерии

Код: Выделить всё

 
 1 A S  10.1.254.0/24                      172.16.1.254              1
 2 ADC  172.16.1.254/32    172.16.1.253    GRADUS                    0


egoris
Сообщения: 8
Зарегистрирован: 28 ноя 2018, 12:17

Sertik писал(а): 03 июл 2019, 17:08 И на кой у Вас все тоннельные сети разные ? Дайте Микротику серверу адрес в тоннеле скажем 10.10.10.1, а Микротикам клиентам адреса 10.10.10.2, 10.10.10.3, 10.10.10.4 и т.д... В одной сети тоннеля они все будут видеть друг друга без вcяких проблем.
Не понял. У меня же сейчас адреса в тоннеле примерно так и сделаны, толь 172.16... Разве так не правильно?


Ca6ko
Сообщения: 1484
Зарегистрирован: 23 ноя 2018, 11:08
Откуда: Харкiв

У Вас концы туннелей в разных сетях. 172.16.1.1; 172.16.2.1; 172.16.3.1; 172.16.10.1, а с другой стороны 172.16.1.254/32. сделайте 172.16.1.1; 172.16.1.2; 172.16.1.3 и т.д. и маску всем задайте /24.

PS на схеме одно, в роутере совсем другое. Приведите схему в соответствие

Код: Выделить всё

 D 172.16.1.254/32    172.16.1.253    Tun1                                                
  D 172.16.1.254/32    172.16.1.11     Tun2
  D 172.16.1.254/32    172.16.1.13     Tun3
  D 172.16.1.254/32    172.16.5.1      Tun4


1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!

Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
Ответить