Маршрутизация между филиалами

Обсуждение оборудования и его настройки
Ответить
egoris
Сообщения: 8
Зарегистрирован: 28 ноя 2018, 12:17

03 июл 2019, 13:39

Здравствуйте.
Я пока начинающий сисадмин и у меня нарисовалась интересная задачка.
Имею несколько филиалов и центральный офис. Филиалы соединяются с центром по L2TP/IPsec. Маршрутизация работает статическими маршрутами. Филиалы у меня друг друга не видят (им и не надо), а центр, конечно же, умеет может общаться со всеми. Данная схема масштабируется и все вроде бы ничего, но мне нужно в данную схему включить еще одно подразделение (Бухгалтерия) из которого мне нужно организовать доступ абсолютно во все сети. Как это правильно сделать? Эту задачу может быть смог бы решить тот же OSPF, но не везде стоят Микротики. А есть Zyxel Keenetic различных ревизий, на которых OSPF тупо нет.
Схема сети представлена ниже.
Изображение


Sertik
Сообщения: 687
Зарегистрирован: 15 сен 2017, 09:03

03 июл 2019, 13:42

Так статические маршруты прописывайте везде куда надо ...
То есть из каждого филиала в Бухгалтерию Вашу по одному маршруту и из Бухгалтерии маршруты в каждый филиал.


Чего не знаем то нагуглим
egoris
Сообщения: 8
Зарегистрирован: 28 ноя 2018, 12:17

03 июл 2019, 14:01

Sertik писал(а):
03 июл 2019, 13:42
Так статические маршруты прописывайте везде куда надо ...
То есть из каждого филиала в Бухгалтерию Вашу по одному маршруту и из Бухгалтерии маршруты в каждый филиал.
Не понимаю. Я не могу даже пропинговать шлюзы филиалов из бухгалтерии.


Sertik
Сообщения: 687
Зарегистрирован: 15 сен 2017, 09:03

03 июл 2019, 15:15

Если у Вас поднят любой тип VPN между двумя Микротиками, то сами Микротики (то есть шлюзы) пинговаться должны по любому по их серым внутренним адресам VPN-тоннеля (то есть в Вашей схеме шлюзы в десятых сетях). Пинги делаем с самих Микротиков, а не с компов. А вот адреса локальных сетей Микротиков и они сами в них будут пинговаться только когда пропишите статические маршруты в них через VPN-шлюзы.
Подумайте пока сами, не догадаетесь, подскажем ...


Чего не знаем то нагуглим
egoris
Сообщения: 8
Зарегистрирован: 28 ноя 2018, 12:17

03 июл 2019, 16:30

Шлюзы-клиенты у меня не видят друг-друга и соответственно не пингуются. Сейчас таблица адресов выглядят вот так:

Код: Выделить всё

ip address print 
Flags: X - disabled, I - invalid, D - dynamic 
 #   ADDRESS            NETWORK         INTERFACE                                
    ;;; Work LAN
     10.1.254.1/24      10.1.254.0      Local_bridge                                                   
  D 172.16.1.254/32    172.16.1.253    Tun1                                                
  D 172.16.1.254/32    172.16.1.11     Tun2
  D 172.16.1.254/32    172.16.1.13     Tun3
  D 172.16.1.254/32    172.16.5.1      Tun4
Может проблема в том, что все эти сети в пространстве /32?


Sertik
Сообщения: 687
Зарегистрирован: 15 сен 2017, 09:03

03 июл 2019, 17:08

Не надо маску /32 делать. Сделайте всем сетям маску /24.
Покажите /ip rootes роутера сервера и роутера-клиента Бухгалтерии.
И на кой у Вас все тоннельные сети разные ? Дайте Микротику серверу адрес в тоннеле скажем 10.10.10.1, а Микротикам клиентам адреса 10.10.10.2, 10.10.10.3, 10.10.10.4 и т.д... В одной сети тоннеля они все будут видеть друг друга без вcяких проблем. Потом можно кого надо заблокировать в /ip route rules


Чего не знаем то нагуглим
egoris
Сообщения: 8
Зарегистрирован: 28 ноя 2018, 12:17

03 июл 2019, 18:01

Sertik писал(а):
03 июл 2019, 17:08
Не надо маску /32 делать. Сделайте всем сетям маску /24.
Покажите /ip rootes роутера сервера и роутера-клиента Бухгалтерии.
И на кой у Вас все тоннельные сети разные ? Дайте Микротику серверу адрес в тоннеле скажем 10.10.10.1, а Микротикам клиентам адреса 10.10.10.2, 10.10.10.3, 10.10.10.4 и т.д... В одной сети тоннеля они все будут видеть друг друга без вcяких проблем. Потом можно кого надо заблокировать в /ip route rules
1. Маска /32 назначилась динамически
2. Маршруты сервера (не полностью)

Код: Выделить всё

13 ADC  172.16.1.253/32    172.16.1.254    Buh                   0
17 A S  ;;; Buh
        10.1.10.0/24                     172.16.1.253              1
Маршруты со стороны бухгалтерии

Код: Выделить всё

 
 1 A S  10.1.254.0/24                      172.16.1.254              1
 2 ADC  172.16.1.254/32    172.16.1.253    GRADUS                    0


egoris
Сообщения: 8
Зарегистрирован: 28 ноя 2018, 12:17

03 июл 2019, 18:02

Sertik писал(а):
03 июл 2019, 17:08
И на кой у Вас все тоннельные сети разные ? Дайте Микротику серверу адрес в тоннеле скажем 10.10.10.1, а Микротикам клиентам адреса 10.10.10.2, 10.10.10.3, 10.10.10.4 и т.д... В одной сети тоннеля они все будут видеть друг друга без вcяких проблем.
Не понял. У меня же сейчас адреса в тоннеле примерно так и сделаны, толь 172.16... Разве так не правильно?


Ca6ko
Сообщения: 481
Зарегистрирован: 23 ноя 2018, 11:08
Откуда: Харкiв

14 июл 2019, 17:33

У Вас концы туннелей в разных сетях. 172.16.1.1; 172.16.2.1; 172.16.3.1; 172.16.10.1, а с другой стороны 172.16.1.254/32. сделайте 172.16.1.1; 172.16.1.2; 172.16.1.3 и т.д. и маску всем задайте /24.

PS на схеме одно, в роутере совсем другое. Приведите схему в соответствие

Код: Выделить всё

 D 172.16.1.254/32    172.16.1.253    Tun1                                                
  D 172.16.1.254/32    172.16.1.11     Tun2
  D 172.16.1.254/32    172.16.1.13     Tun3
  D 172.16.1.254/32    172.16.5.1      Tun4


RB3011UiAS, RB2011, CRS328, CSS326, cAP ac, wAP ac, hex PoE, RB260GSP, hAP ac lite и hAP lite
SXT 2, SXTsq Lite2, SXT Lite2, LHG 5
Устройство, которое пользователь не носит с собой должно подключаться кабелем!!
Ответить