Объединить или маршрутизировать 2 микротика

Обсуждение оборудования и его настройки
leshik
Сообщения: 27
Зарегистрирован: 27 ноя 2012, 09:22

Схема сети, примерная во вложении

Есть сеть 0.0/22
есть сеть 4.0/22

В Микротике RB1200
1я дырка - ИНТЕРНЕТ
2я - LAN провод к другому Микротику
3я - Локальная сеть

В Микротике RB 450
1я дырка - ИНТЕРНЕТ
2я - LAN провод к другому Микротику
3я - Локальная сеть

т.е. 2 микротика соеденины друг с другом по 2му порту кабелем LAN

Как теперь все это дело смаршрутизировать правильно, подскажите!
Вложения
__________.JPG
схема
(443.04 КБ) 204 скачивания


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

RB1200

Код: Выделить всё

/ip route add dst-address=ЧТОТО_0.0/22 gateway=АДРЕС_450
/ip firewall nat add chain=srcnat src-address-list=MY_NETS dst-address-list=MY_NETS action=accept
/ip firewall filter add src-address-list=MY_NETS dst-address-list=MY_NETS action=accept chain=forward
/ip firewall address-list add list=MY_NETS address=ЧТОТО_4.0/22
/ip firewall address-list add list=MY_NETS address=ЧТОТО_0.0/22


RB 450

Код: Выделить всё

/ip route add dst-address=ЧТОТО_4.0/22 gateway=АДРЕС_1200
/ip firewall nat add chain=srcnat src-address-list=MY_NETS dst-address-list=MY_NETS action=accept
/ip firewall filter add src-address-list=MY_NETS dst-address-list=MY_NETS action=accept chain=forward
/ip firewall address-list add list=MY_NETS address=ЧТОТО_4.0/22
/ip firewall address-list add list=MY_NETS address=ЧТОТО_0.0/22


суть по порядку, создать роуты на сети противоположных мтиков. разрешаем в фаерволе, если есть какие то глобальные запреты. если есть маскардинг на мтиках, то выше них указать роутинг между нашими сетями и соответственно задать эти самые сети в листах. соответственно адрес_1200 и _450 это адреса в пределах локального соединения двух мтиков.
должно работать.


leshik
Сообщения: 27
Зарегистрирован: 27 ноя 2012, 09:22

щас буду пробывать


leshik
Сообщения: 27
Зарегистрирован: 27 ноя 2012, 09:22

а вот теперь я нарисовал компьютерную схему
посмотри ее пожалуйста

у нас главный роутер это 1, мы хотим чтобы он все маршрутизировал!

Подскажи пожалуйста как сделать так чтобы

К роутеру 1 подключилось по VPN или (другое соединение) роутеры 3 и 4, и роутер 1 их маршрутизировал между всеми остальными.

Например сеть 12,0 хочет попасть в сеть 0,0, (т.е. она идет по VPN в роутер 1 а он ее дальше марщшрутизирует черезт порт eth3 на роутер 2)
Вложения
shol.png
(19.72 КБ) 199 скачиваний


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

на каждом 450

Код: Выделить всё

/ip route add dst-address=192.168.0.0/16 gateway=АДРЕС_1200

почему 192.168.0.0/16 - чтобы на каждом удаленном мтике не указывать сети других удаленных. соответственно этот диапазон должен перекрывать все сети. АДРЕС_1200 соответственно адрес центрального мтика в vpn соединении.

Код: Выделить всё

/ip firewall address-list add list=MY_NETS address=ЧТОТО_4.0/22
/ip firewall address-list add list=MY_NETS address=ЧТОТО_0.0/22

можно заменить на одну строчку:

Код: Выделить всё

/ip firewall address-list add list=MY_NETS address=192.168.0.0/16

все остальное на 450 без изменений.

на 1200
нужно указать все маршруты к сетям каждого из мтиков:

Код: Выделить всё

/ip route add dst-address=192.168.0.0/22 gateway=АДРЕС_450_2
/ip route add dst-address=192.168.8.0/22 gateway=АДРЕС_450_3
/ip route add dst-address=192.168.12.0/22 gateway=АДРЕС_450_4

ну и соответственно теже самые корректировки что на 450 с листом MY_NETS


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

подключилось по VPN или (другое соединение)

все зависит от того что там гонять собираетесь, если крайне секретные разработки машины времени и черную бухгалтерию, то ipsec, если обычный никому не нужный трафик, то gre или eoip


leshik
Сообщения: 27
Зарегистрирован: 27 ноя 2012, 09:22

Да нужно просто обычное соединение которое легко настроить и минимум шифрования!
Подскажи пожалуйста как правильно сделать!


simpl3x писал(а):
подключилось по VPN или (другое соединение)

все зависит от того что там гонять собираетесь, если крайне секретные разработки машины времени и черную бухгалтерию, то ipsec, если обычный никому не нужный трафик, то gre или eoip


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

на каждом из 450 мтиков:

Код: Выделить всё

interface gre add remote-address=х.х.х.2 local-address=х.х.х.3 name=gre_1200


соответственно меня local-address на нужный

на 1200 создать аналогично соединения для каждого 450 мтика

Код: Выделить всё

interface gre add remote-address=х.х.х.3 local-address=х.х.х.2 name=gre_450_1


соответственно меняя remote-address на те, которые у ваших удаленных мтиков.
дальше, в рамках каждого gre тунеля присвоить на каждом мтике, как в случае с соединением мтиков по кабелю.


leshik
Сообщения: 27
Зарегистрирован: 27 ноя 2012, 09:22

Получилось сделать VPN тунели:

Мик 3 и 4 подкл к МИК 1.

Но запустить сеть между МИК 1 и МИК 2 через отдельно выделенный провод не получается!
Можете написать как сделать с нуля запуск трафика между МИК 1 и МИК 2 через порт eth3
Когда порт eth0 это интернет от провайдера а порт eth2 это локальная сеть!


leshik
Сообщения: 27
Зарегистрирован: 27 ноя 2012, 09:22

т.е. по схеме запустить пинги и трафик от микротика 1 к микротику 2 и наоборот!


Ответить