локальная сеть eoip

Описание каждой версии, обсуждение особенностей и недостатков
Ответить
sergey.kvartnikov
Сообщения: 4
Зарегистрирован: 15 фев 2020, 15:10

15 фев 2020, 15:30

Добрый день!

Есть два mikrotik, оба работают в локальной сети но с разными подсетями на wan интерфейса, mikrotik "A" - имеет ipoe доступ в интернет, mikrotik "B" - подключается как eoip к mikrotik "A", из сети B все прекрасно, получает адрес от "A" видит локальную сеть и есть доступ в интернет, но возникает проблема, из сети за mikrotik "A", не может получить доступ к сети B. Локальная сеть 192.168.1.1/24, dhcp сервер на mikrotik "A". На mikrotik "A" есть маршруты для 192.168.1.1/24 на bridge-local куда так же включен eoip интерфейс, помогите пожалуйста разобраться почему нет доступа к устройствам из сети "A" в сеть "B"

Конфиг mikrotik "A":

Код: Выделить всё

[admin@MikroTik] > /interface export
# feb/15/2020 15:21:30 by RouterOS 6.45.8
# software id = 7NTQ-EN1V
#
# model = 951Ui-2HnD
# serial number = 643105C4FCEC
/interface bridge
add igmp-snooping=yes mtu=1500 name=bridge-local
/interface ethernet
set [ find default-name=ether1 ] comment=WAN
set [ find default-name=ether2 ] comment=LAN
/interface wireless
set [ find default-name=wlan1 ] ssid=MikroTik
/interface eoip
add allow-fast-path=no ipsec-secret=mysuperpassword16 local-address=xxx.xxx.xxx.xxx mac-address=FE:D6:3A:58:C9:E9 mtu=1500 name=EoIP1 remote-address=xxx.xxx.xxx.bbb tunnel-id=516
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/interface bridge port
add bridge=bridge-local interface=ether2
add bridge=bridge-local interface=wlan1
add bridge=bridge-local interface=*9
add bridge=bridge-local interface=*B
add bridge=bridge-local interface=*C
add bridge=bridge-local interface=*D
add bridge=bridge-local interface=EoIP1

Код: Выделить всё

[admin@MikroTik] > /ip firewall export
# feb/15/2020 15:19:51 by RouterOS 6.45.8
# software id = 7NTQ-EN1V
#
# model = 951Ui-2HnD
# serial number = 643105C4FCEC
/ip firewall filter
add action=accept chain=input dst-port=8291 protocol=tcp
add action=accept chain=input protocol=icmp
add action=accept chain=input dst-port=1723 protocol=tcp
add action=accept chain=input protocol=gre
add action=accept chain=input dst-port=2200 protocol=tcp
add action=accept chain=input connection-state=established in-interface=ether1
add action=accept chain=input connection-state=related in-interface=ether1
add action=drop chain=input in-interface=ether1
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
mikrotik "B":

Код: Выделить всё

[admin@MikroTik] > /interface export
# feb/15/2020 15:22:57 by RouterOS 6.46
# software id = 1SV5-ZPX3
#
# model = 951Ui-2HnD
# serial number = 8D0008FE2D41
/interface bridge
add admin-mac=E4:8D:8C:D0:7C:31 auto-mac=no comment=defconf name=bridge
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n disabled=no distance=indoors frequency=auto frequency-mode=superchannel mode=ap-bridge multicast-helper=disabled ssid=xxxx wireless-protocol=802.11 wmm-support=enabled
/interface eoip
add allow-fast-path=no ipsec-secret=mysuperpassword16 local-address=xxx.xxx.xxx.bbb mac-address=FE:AB:5F:FB:46:19 mtu=1500 name=EoIP1 remote-address=xxx.xxx.xxx.xxx tunnel-id=516
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" group-ciphers=tkip,aes-ccm mode=dynamic-keys supplicant-identity=MikroTik unicast-ciphers=tkip,aes-ccm wpa-pre-shared-key=xxxx wpa2-pre-shared-key=xxxxx
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge interface=EoIP1
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/interface wireless cap
set bridge=bridge caps-man-addresses=192.168.88.1 interfaces=wlan1


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2284
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

15 фев 2020, 16:19

Прочитал, и у меня двоякие ощущения.

1) зачем Вам роутер В, если у Вас используется между роутерами EoIP ?
(а как известно, внутри EoIP - чистый L2 трафик).
А значит сети, адресации, и тот же DHCP один на всех.

2) исходя из пункта 1, роутер В можно вообще перевести как свитч,
роутер А настроить более оптимально и всё будет работать.

3) также я не понял что, а именно какие сети используются в сети роутера В ?
3.1) конфиги надо полные давать, затирая лично/приватную информацию

Как итог:
1) Хочется увидеть описанную логику в виде схемы.
2) Увидеть полные конфиги

И в любом случаи: либо роутер А будет обслуживать две сети или одну сеть (если адресация одна),
или если адресации разные и условия не позволяют отказаться от роутера В, тогда каждый
роутер будет обслуживать свою сеть, между сетями надо (как по феншую)
сделать сквозную маршрутизацию (без НАТ), проверить файрволы и должно работать.

P.S.
И помните, что EoIP - это туннель с трафиком L2 внутри, а в любой сети много мусора, тот же
броадкаст, мультикаст и так далее, чтобы это всё между роутерами не передавалась,
не нагружалось, не надо делать туннель EoIP, а просто сделать обычную маршрутизацию,
то есть оперировать данными (IP-сетями) в рамках L3 уровне уже.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
sergey.kvartnikov
Сообщения: 4
Зарегистрирован: 15 фев 2020, 15:10

16 фев 2020, 17:47

Изображение
Вот такая схема, на обоих роутерах, адреса получаем по dhcp от провайдера, на стороне где ipoe подключение, добавил скрипт для обновления локального адреса на noip, что бы второй роутер мог запросить его по dns (резолвинг адресов работает и без ipoe через провайдерские dns), правильнее мне кажется сделать vpn подключение, в этом случае клиент всегда будет знать адрес сервера vpn по имени dns. Но на vpn слишком большой оверхед, со 100мб/с на vpn получаю 20мб/с.

Подскажите как правильно реализовать локальную сеть, шифрование трафика не так принципиально


easyman
Сообщения: 46
Зарегистрирован: 19 окт 2018, 13:44

17 фев 2020, 10:42

Вообще схема с одним dhcp и eoip не очень хороша - Eoip не поднимется по каким-нибудь причинам - будут сидеть ваши клиенты без ip. Если сильной необходимости нет, сделайте с разными подсетями и роутингом. А ipsec не поднимется выше 20-30 мбит, и не из-за оверхеда - слабоваты железки. Если же нужно всё оставить как есть, покажите конфигурации полностью - по логике всё должно работать.


sergey.kvartnikov
Сообщения: 4
Зарегистрирован: 15 фев 2020, 15:10

17 фев 2020, 11:47

Конфиг A:

Код: Выделить всё

# model = 951Ui-2HnD
/interface bridge
add igmp-snooping=yes mtu=1500 name=bridge-local
/interface ethernet
set [ find default-name=ether1 ] comment=WAN
set [ find default-name=ether2 ] comment=LAN
/interface wireless
set [ find default-name=wlan1 ] ssid=MikroTik
/interface eoip
add allow-fast-path=no ipsec-secret=mysuperpassword16 local-address=10.21.118.25 mac-address=FE:D6:3A:58:C9:E9 mtu=1500 name=EoIP1 remote-address=10.20.111.48 tunnel-id=516
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp_pool0 ranges=192.168.1.2-192.168.1.254
add name=ovpn ranges=192.168.2.2-192.168.2.10
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=bridge-local lease-time=3d10m name=dhcp1
/ppp profile
add local-address=192.168.2.1 name=ovpn remote-address=ovpn use-compression=no
/interface bridge port
add bridge=bridge-local interface=ether2
add bridge=bridge-local interface=wlan1
add bridge=bridge-local interface=*9
add bridge=bridge-local interface=*B
add bridge=bridge-local interface=*C
add bridge=bridge-local interface=*D
add bridge=bridge-local interface=EoIP1
/interface ovpn-server server
set certificate=ovpn-1024 default-profile=ovpn enabled=yes require-client-certificate=yes
/interface pptp-server server
set default-profile=ovpn enabled=yes
/ip address
add address=192.168.1.1/24 interface=bridge-local network=192.168.1.0
/ip dhcp-client
add add-default-route=special-classless dhcp-options=hostname,clientid disabled=no interface=ether1
/ip dhcp-server lease
add address=192.168.1.103 client-id=1:0:90:a9:eb:fd:1a mac-address=00:90:A9:EB:FD:1A server=dhcp1
/ip dhcp-server network
add address=192.168.1.0/24 dns-server=192.168.1.1 gateway=192.168.1.1
/ip dns
set allow-remote-requests=yes
/ip firewall filter
add action=accept chain=input dst-port=8291 protocol=tcp
add action=accept chain=input protocol=icmp
add action=accept chain=input dst-port=1723 protocol=tcp
add action=accept chain=input protocol=gre
add action=accept chain=input dst-port=2200 protocol=tcp
add action=accept chain=input dst-port=1194 in-interface=ether1 protocol=tcp
add action=accept chain=input connection-state=established in-interface=ether1
add action=accept chain=input connection-state=related in-interface=ether1
add action=drop chain=input in-interface=ether1
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set ssh port=2200
set www-ssl certificate=ca.crt_0 disabled=no
set api disabled=yes
set winbox address=192.168.1.0/24
set api-ssl disabled=yes
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=ether1 type=external
add interface=ether2 type=internal
add interface=ether3 type=internal
add interface=ether4 type=internal
add interface=ether5 type=internal
add interface=bridge-local type=internal
add interface=EoIP1 type=internal
/ppp secret
add name=xxxxx password=xxxxx profile=ovpn
/system clock
set time-zone-name=Europe/Moscow
/system ntp client
set enabled=yes server-dns-names=time.google.com,0.pool.ntp.org,1.pool.ntp.org,2.pool.ntp.org,3.pool.ntp.org
Конфиг B:

Код: Выделить всё

# model = 951Ui-2HnD
/caps-man channel
add band=2ghz-b/g/n control-channel-width=20mhz extension-channel=Ce frequency=2417 name=channel1
/interface bridge
add admin-mac=E4:8D:8C:D0:7C:31 auto-mac=no comment=defconf name=bridge
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n disabled=no distance=indoors frequency=auto frequency-mode=superchannel mode=ap-bridge multicast-helper=disabled ssid=\
    xxxxx wireless-protocol=802.11 wmm-support=enabled
/interface eoip
add allow-fast-path=no ipsec-secret=mysuperpassword16 local-address=10.20.111.48 mac-address=FE:AB:5F:FB:46:19 mtu=1500 name=EoIP1 remote-address=10.21.118.25 tunnel-id=516
/caps-man datapath
add bridge=bridge client-to-client-forwarding=yes local-forwarding=no name=datapath1
/caps-man security
add authentication-types=wpa-psk,wpa2-psk encryption=aes-ccm group-encryption=aes-ccm name=security1 passphrase=xxxxxx
/caps-man configuration
add channel=channel1 country=russia3 datapath=datapath1 installation=indoor max-sta-count=50 mode=ap name=cfg1 security=security1 ssid=xxxxx
/interface ovpn-client
add add-default-route=yes certificate=ovpn-1024 cipher=aes128 connect-to=kvartnikov.ddns.net mac-address=02:50:36:A2:28:2F name=ovpn-home password=xxxx user=xxxx
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" group-ciphers=tkip,aes-ccm mode=dynamic-keys supplicant-identity=MikroTik unicast-ciphers=tkip,aes-ccm \
    wpa-pre-shared-key=xxxxx wpa2-pre-shared-key=xxxx
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=default-dhcp interface=bridge name=defconf
/ppp profile
add name=ovpn use-compression=no use-encryption=yes
/caps-man access-list
add action=reject allow-signal-out-of-range=10s disabled=no signal-range=-120..-75 ssid-regexp="" time=0s-1d,sun,mon,tue,wed,thu,fri,sat
/caps-man provisioning
add action=create-dynamic-enabled master-configuration=cfg1
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge interface=EoIP1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/interface wireless cap
set bridge=bridge caps-man-addresses=192.168.88.1 interfaces=wlan1
/ip address
add address=192.168.1.3/24 comment=defconf interface=bridge network=192.168.1.0
/ip dhcp-client
add add-default-route=special-classless comment=defconf disabled=no interface=ether1
/ip dhcp-server network
add address=192.168.2.0/24
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 name=router.lan
/ip firewall nat
add action=masquerade chain=srcnat disabled=yes out-interface=ether1
/ip ssh
set allow-none-crypto=yes forwarding-enabled=remote
/system clock
set time-zone-name=Europe/Moscow
/system logging
add topics=ovpn,debug
add topics=pptp,debug
/system ntp client
set enabled=yes server-dns-names=time.google.com,0.pool.ntp.org,1.pool.ntp.org,2.pool.ntp.org,3.pool.ntp.org


easyman
Сообщения: 46
Зарегистрирован: 19 окт 2018, 13:44

17 фев 2020, 13:07

Dhcp сервер на Б гасите.


Ca6ko
Сообщения: 671
Зарегистрирован: 23 ноя 2018, 11:08
Откуда: Харкiв

17 фев 2020, 14:04

easyman писал(а):
17 фев 2020, 13:07
Dhcp сервер на Б гасите.
easyman писал(а):
17 фев 2020, 10:42
Вообще схема с одним dhcp и eoip не очень хороша
Ну блин Вас не поймешь, не гасите, а исправьте :-)

Схема приведенная на рисунке не совсем соответствует настройке роутеров :mi_ga_et:
1) Заблокируйте хождение DHCP запросов по туннелю тогда два сервера не будут друг другу мешать.
2) Разделите адреса которые выдают DHCP сервера на 2 не пересекающихся части, в сети 192.168.1.0/24
(сейчас сервер Роутера А выдает диапазон .2-.254 при этом Роутер В имеет статику .3)
3) определитесь с адресом 192.168.88.1 он есть или его нет :sh_ok:


Устройство, которое пользователь не носит с собой должно подключаться кабелем!!

Микротики есть разные: черные, белые, красные ...
sergey.kvartnikov
Сообщения: 4
Зарегистрирован: 15 фев 2020, 15:10

17 фев 2020, 14:08

Ca6ko писал(а):
17 фев 2020, 14:04
easyman писал(а):
17 фев 2020, 13:07
Dhcp сервер на Б гасите.
easyman писал(а):
17 фев 2020, 10:42
Вообще схема с одним dhcp и eoip не очень хороша
Ну блин Вас не поймешь, не гасите, а исправьте :-)

Схема приведенная на рисунке не совсем соответствует настройке роутеров :mi_ga_et:
1) Заблокируйте хождение DHCP запросов по туннелю тогда два сервера не будут друг другу мешать.
2) Разделите адреса которые выдают DHCP сервера на 2 не пересекающихся части, в сети 192.168.1.0/24
(сейчас сервер Роутера А выдает диапазон .2-.254 при этом Роутер В имеет статику .3)
3) определитесь с адресом 192.168.88.1 он есть или его нет :sh_ok:
Окей, спасибо, разделю тогда, пускай каждый mikrotik обрабатывает свой сегмент сети, а на счет 192.168.88.1 ранее два микротика работали в одной сети и были настроены на покрытие одной wifi сети, сам caps интерфейс удален.


Ответить