Russian Users MikroTik | Форум пользователей MikroTik

Доброго времени всем.

Сразу скажу, я не прошу за меня решить задачу, мне просто нужен толчек в правильном направлении. Есть два объекта. На обоих в качестве шлюза микротики RBD52G-5HacD2HnD. Провайдеры разные. Один из микротиков получает внешнюю статику.

Мне нужно настроить безопасное (некоторый трафик через http и telnet) соединение между подсетями за обоими микротиками, чтобы из подсети за первым микротиком иметь доступ к ресурсам за вторым микротиком и наоборот, при этом выход и интернет из подсетей должен осуществляться напрямую.

Пока нашел только одно решение - организация между микротиками vpn канала (l2tp+ipsec, к примеру). Если правильно понимаю, тогда могу на обоих микротиках настроить маршрутизацию, допустим, одной сети 192.168.0.0/24 и другой сети 192.168.1.0/24 так, чтобы для обращения в неродную сеть 192.168.1.0/24 на втором микротике использовалься в качестве шлюза внутрненний vpn адрес первого микротика и наоборот.

Я в правильном направлении думаю или нужно/можно что-то другое? Проброс портов тоже решает проблему, но по-моему я утону с количеством пробросов, потому что в подсетях довольно много устройств (до 20) и нужны разные порты, в том числе на каждом устройстве по несколько портов. Ну и зашифрованный канал проброс портов не обеспечивает.

Все правильно думаете.

Только 192.168.1.0/24 и 192.168.1.1/24 это одна и та же сеть

xvo писал(а): ↑31 май 2021, 11:28 Все правильно думаете.

Только 192.168.1.0/24 и 192.168.1.1/24 это одна и та же сеть

Точно, очепятка

Спасибо за отзыв. Какой из vpn, доступных на микротике, порекомендуете поднять? Исходя из соображений стабильности и безопасности соединения? Я задумывался над p2p wireguard, но что-то 7 версия ROS все еще в бете.

Если и там и там белые адреса - gre+ipsec.
Если только на одной из сторон - l2tp+ipsec.

Как ROS7 выйдет из беты - можно будет переделать все на wireguard при желании.

Какие преимущества GRE перед L2TP ?
В случае - и там и там белые адреса. Хочется понять.

mafijs писал(а): ↑31 май 2021, 15:23 Какие преимущества GRE перед L2TP ?
В случае - и там и там белые адреса. Хочется понять.

Оверхед меньше.
Он stateless - нет никакого установления соединения и т.д.
При желании можно для каждого туннеля настройки ipsec делать свои.

Ну и уже субъективно, ipv6-префикс мне, например, как-то привычнее передать DHCPv6-PD сервером, чем через профиль/сикрет.

Но так то оно не особо принципиально все, если нет никаких особых требований, скорее вопрос личных предпочтений.

xvo писал(а): ↑31 май 2021, 14:56 Если и там и там белые адреса - gre+ipsec.
Если только на одной из сторон - l2tp+ipsec.

Как ROS7 выйдет из беты - можно будет переделать все на wireguard при желании.

Спасибо за помощь. Буду настраивать. Тему пока оставлю открытой, если возникнут вопросы по реализации.

xvo писал(а): ↑31 май 2021, 15:43 Оверхед меньше.
Он stateless - нет никакого установления соединения и т.д.
При желании можно для каждого туннеля настройки ipsec делать свои.
Ну и уже субъективно, ipv6-префикс мне, например, как-то привычнее передать DHCPv6-PD сервером, чем через профиль/сикрет.
Но так то оно не особо принципиально все, если нет никаких особых требований, скорее вопрос личных предпочтений.

Спасибо!
Пока все тунели L2TP , надо будет попробовать GRE.