Russian Users MikroTik | Форум пользователей MikroTik

Прошу сильно не пинать, только начал изучать mikrotik.

Есть CHR - server с одним интерфейсом в мир.
1. На нем настроен айпи 111.111.111.111 на внешнем интерфейсе, внешний интерфейс добавил в список WAN
2. Настроил правила Firewall

Код: Выделить всё

add action=accept chain=input comment="accept establish & related"     connection-state=established,related
add action=accept chain=input comment="accept establish & related"     connection-state=established,related
add action=accept chain=input comment="accept ICMP" protocol=icmp
add action=accept chain=input comment="accept management for white-list"     dst-port=8291 in-interface-list=WAN protocol=tcp src-address-list= winbox_remote
add action=accept chain=input comment="accept to l2tp server" dst-port= 1701,500,4500 in-interface-list=WAN protocol=udp
add action=accept chain=input comment="accept protocol ipsec-esc" in-interface-list=WAN protocol=ipsec-esp
add action=drop chain=input comment="drop all from WAN" in-interface-list=WAN
add action=accept chain=forward comment="accept established,related" connection-state=established,related
add action=drop chain=forward comment="drop invalid" connection-state=invalid
add action=drop chain=forward comment="drop all from WAN"  connection-nat-state=!dstnat connection-state=new in-interface-list=WAN

3. Настроил NAT

Код: Выделить всё

add action=src-nat chain=srcnat out-interface-list=WAN to-addresses=111.111.111.111

4. Создал пул айпи адресов для впна 10.10.0.1-10.10.0.50
5. Настроил и запустил l2tp/ipsec сервер
6. Создал тестового пользователя для впн сервера и интерфейс L2tp Server Binding
В результате L2tp Server работает и пользователь с мобильного устройства выходит в интернет через сервер.

Дальше мне нужно к CHR - serverу подключить mikrotik-client01 (для возможности управлять им удаленно) с серым айпи,- эго я подключу через l2tp/ipsec сервер, но не понимаю какой айпи ему выдавать, из уже существующего пула или создавать новый пул айпи адресов для удаленных микротиков, чтобы они не видили друг друга и ничего внутри роутера, а с мобильного устройства ими можно было управлять??
Подскажите куда копать дальше.
Спасибо.

Не надо ничего копать.
Это все мелочи, и более того легко обратимые.
Делайте, как делается.
Всё равно по мере того, как будете глубже разбираться, всё ещё 100 раз переделаете.

В том и проблема что нужна подсказка как дальше настроить что бы можно было разделить.

"Разделять" l2tp удобнее всего использованием разных профилей, с автоматическим добавлением в разные списки, а уж что конкретно вы там будете использовать - списки интерфейсов, списки адресов, или и то и то - это уже ваше дело. С чем вам удобнее и привычнее оперировать в firewall'е, то и используйте.

Подскажите как выпустить vpn клиента в интернет если нет бриджа? (что и как клиенту назначать в роли шлюза)
P.S. CHR с 1 внешним интерфейсом, куда ему назначить айпи адрес, чтобы его можно было сделать шлюзом? Или все таки нужно создавать бриджи?

Ну какой-то то адрес у него есть, правильно? :)
Значит его можно использовать шлюзом.
Тем более если это впн, то у серверного конца туннеля точно должен быть какой-то адрес, которым управляете вы, а не который прилетает откуда-то.

Если это вдруг не удобно по какой-то причине, то так-то адрес можно на любой интерфейс повесить.
На пустой бридж просто удобнее.

Russian Users MikroTik | Форум пользователей MikroTik

Объединение микротиков в одну сеть для управления

Re: Объединение микротиков в одну сеть для управления

Re: Объединение микротиков в одну сеть для управления

Re: Объединение микротиков в одну сеть для управления

Re: Объединение микротиков в одну сеть для управления

Re: Объединение микротиков в одну сеть для управления

Re: Объединение микротиков в одну сеть для управления