Russian Users MikroTik | Форум пользователей MikroTik

Доброго времени суток, Уважаемые постояльцы.
Подскажите как правильно организовать управление микротиками с серыми ip?
Есть 1 микротик с белым ip.
Какой тип тунеля для этой задачи лучше всего использовать?
И как из практики это лучше всего или правильнее настроить?
Спасибо.

l2tp+ipsec

Все запихивать в отдельный влан, бридж или через нат пробрасывать порты?
Что можете сказать про IKEv2?

grinder писал(а): ↑25 ноя 2020, 15:35 Все запихивать в отдельный влан, бридж или через нат пробрасывать порты?

Ничего из вышеперечисленного.
Тот, кторый с белым ip - сервером.
Остальные - к нему клиентами.

Дальше либо из сети первого, либо цепляться к нему так же по l2tp.
Ну и firewall на первом настроить так, чтобы они друг друга не видели, если этого не нужно.

grinder писал(а): ↑25 ноя 2020, 15:35 Что можете сказать про IKEv2?

Для того, чтобы пользователей удаленных подключать - ок, есть свои преимущества.
А роутеры друг с другом, лучше l2tp/gre и т.д., в общем что-то маршрутизируемое обычными средствами.

1. Если я правильно понял, мне нужно настроить соединения с каждого роутера на основной по принципу сайт-точка, для этих целей лучше использовать l2tp/ipsec.
2. Подскажите пожалуйста как настроить firewall на первом так, чтобы они друг друга не видели?
Спасибо.

grinder писал(а): ↑25 ноя 2020, 17:09 2. Подскажите пожалуйста как настроить firewall на первом так, чтобы они друг друга не видели?

Если плясать от дефолтного firewall'а, то достаточно будет:
1) В PPP-профиле для всех таких подключающихся микротиков пихать их в какой-нибудь interface-list.
2) Для своего "клиентского" впн используете другой профиль, и его либо в другой лист, либо создаете для него l2tp-server-binding.
3) Дальше разрешаете в firewall'е в цепочке forward доступ из того, что в пункте (2) в то, что в пункте (1) (плюс из локалки в (1)).
4) И разбиваете нижнее drop all from WAN not dst-nated на два правила со смыслом drop all и allow dst-nated from WAN.
Остальное все сделают дефолтное же accept established,related и нижнее drop all.

Спасибо, с этим пока разобрался но не совсем понял как работает.
Для дальнейшего знакомства с mikrotik установил chr на хостинге, есть только один интерфейс.
Подскажите пожалуйста как на chr настроить:
1. vpn для выхода в интернет с мобильных устройств
2. vpn для выхода в интернет с домашней сети (mikrotik RB4011)
3. l2tp/ipsec для подключения удаленных mikrotik с целью их удаленного управления
4. vpn для объединения двух офисов
5. vpn между домашним роутером (для доступа к домашнему фтп серверу) и chr, с тестового сервера windows к chr для доступа только к ftp серверу (если я правильно понимяю фаерволом нужно открыть 21 порт, а все остальное закрыть) для сохранения бекапов.
6. Как это все разграничивать между собой (bridge, VLAN)?

P.S. Какие типы VPN и для чего лучше использовать? (на просторах интернета очень много информации и она противоречива, чему верить не знаю, а у самого опыта пока 0((( )

Заранее спасибо за понимание и за помощь.
Буду признателен за ссылки на инструкции.

Везде, где у вас с обоих сторон белые адреса: стройте gre (+ipsec: с ним медленнее, но безопаснее, для домашней сети - по желанию).
Там где белых адресов нет, оттуда: l2tp + ipsec (уже без вариантов).
Естественно все "road warrior'ы" - тоже l2tp + ipsec (либо IKEv2).

xvo писал(а): ↑29 ноя 2020, 23:44 Везде, где у вас с обоих сторон белые адреса: стройте gre (+ipsec: с ним медленнее, но безопаснее, для домашней сети - по желанию).
Там где белых адресов нет, оттуда: l2tp + ipsec (уже без вариантов).
Естественно все "road warrior'ы" - тоже l2tp + ipsec (либо IKEv2).

Извините, но так и не понял:
Для каждой задачи использовать отдельный впн тунель и розносить все бриджами? или использовать один общий впн под все и каким образом тогда все разделить между собой?

grinder писал(а): ↑30 ноя 2020, 10:24 Для каждой задачи использовать отдельный впн тунель и розносить все бриджами?

Странные вопросы, чесслово.
Как у вас один туннель может вести из дома одновременно и в офис, и до chr (и к мобильным клиентам)?
Естественно, сколько точек соединяете, столько и туннелей.
И какими бриджами, зачем? Это все L3 туннели, они маршрутизируются, а не бриджуются.