Схема сети, примерная во вложении
Есть сеть 0.0/22
есть сеть 4.0/22
В Микротике RB1200
1я дырка - ИНТЕРНЕТ
2я - LAN провод к другому Микротику
3я - Локальная сеть
В Микротике RB 450
1я дырка - ИНТЕРНЕТ
2я - LAN провод к другому Микротику
3я - Локальная сеть
т.е. 2 микротика соеденины друг с другом по 2му порту кабелем LAN
Как теперь все это дело смаршрутизировать правильно, подскажите!
Объединить или маршрутизировать 2 микротика
-
- Сообщения: 27
- Зарегистрирован: 27 ноя 2012, 09:22
- simpl3x
- Модератор
- Сообщения: 1532
- Зарегистрирован: 19 апр 2012, 14:03
RB1200
RB 450
суть по порядку, создать роуты на сети противоположных мтиков. разрешаем в фаерволе, если есть какие то глобальные запреты. если есть маскардинг на мтиках, то выше них указать роутинг между нашими сетями и соответственно задать эти самые сети в листах. соответственно адрес_1200 и _450 это адреса в пределах локального соединения двух мтиков.
должно работать.
Код: Выделить всё
/ip route add dst-address=ЧТОТО_0.0/22 gateway=АДРЕС_450
/ip firewall nat add chain=srcnat src-address-list=MY_NETS dst-address-list=MY_NETS action=accept
/ip firewall filter add src-address-list=MY_NETS dst-address-list=MY_NETS action=accept chain=forward
/ip firewall address-list add list=MY_NETS address=ЧТОТО_4.0/22
/ip firewall address-list add list=MY_NETS address=ЧТОТО_0.0/22
RB 450
Код: Выделить всё
/ip route add dst-address=ЧТОТО_4.0/22 gateway=АДРЕС_1200
/ip firewall nat add chain=srcnat src-address-list=MY_NETS dst-address-list=MY_NETS action=accept
/ip firewall filter add src-address-list=MY_NETS dst-address-list=MY_NETS action=accept chain=forward
/ip firewall address-list add list=MY_NETS address=ЧТОТО_4.0/22
/ip firewall address-list add list=MY_NETS address=ЧТОТО_0.0/22
суть по порядку, создать роуты на сети противоположных мтиков. разрешаем в фаерволе, если есть какие то глобальные запреты. если есть маскардинг на мтиках, то выше них указать роутинг между нашими сетями и соответственно задать эти самые сети в листах. соответственно адрес_1200 и _450 это адреса в пределах локального соединения двух мтиков.
должно работать.
-
- Сообщения: 27
- Зарегистрирован: 27 ноя 2012, 09:22
а вот теперь я нарисовал компьютерную схему
посмотри ее пожалуйста
у нас главный роутер это 1, мы хотим чтобы он все маршрутизировал!
Подскажи пожалуйста как сделать так чтобы
К роутеру 1 подключилось по VPN или (другое соединение) роутеры 3 и 4, и роутер 1 их маршрутизировал между всеми остальными.
Например сеть 12,0 хочет попасть в сеть 0,0, (т.е. она идет по VPN в роутер 1 а он ее дальше марщшрутизирует черезт порт eth3 на роутер 2)
посмотри ее пожалуйста
у нас главный роутер это 1, мы хотим чтобы он все маршрутизировал!
Подскажи пожалуйста как сделать так чтобы
К роутеру 1 подключилось по VPN или (другое соединение) роутеры 3 и 4, и роутер 1 их маршрутизировал между всеми остальными.
Например сеть 12,0 хочет попасть в сеть 0,0, (т.е. она идет по VPN в роутер 1 а он ее дальше марщшрутизирует черезт порт eth3 на роутер 2)
- Вложения
-
- shol.png
- (19.72 КБ) 199 скачиваний
- simpl3x
- Модератор
- Сообщения: 1532
- Зарегистрирован: 19 апр 2012, 14:03
на каждом 450
почему 192.168.0.0/16 - чтобы на каждом удаленном мтике не указывать сети других удаленных. соответственно этот диапазон должен перекрывать все сети. АДРЕС_1200 соответственно адрес центрального мтика в vpn соединении.
можно заменить на одну строчку:
все остальное на 450 без изменений.
на 1200
нужно указать все маршруты к сетям каждого из мтиков:
ну и соответственно теже самые корректировки что на 450 с листом MY_NETS
Код: Выделить всё
/ip route add dst-address=192.168.0.0/16 gateway=АДРЕС_1200
почему 192.168.0.0/16 - чтобы на каждом удаленном мтике не указывать сети других удаленных. соответственно этот диапазон должен перекрывать все сети. АДРЕС_1200 соответственно адрес центрального мтика в vpn соединении.
Код: Выделить всё
/ip firewall address-list add list=MY_NETS address=ЧТОТО_4.0/22
/ip firewall address-list add list=MY_NETS address=ЧТОТО_0.0/22
можно заменить на одну строчку:
Код: Выделить всё
/ip firewall address-list add list=MY_NETS address=192.168.0.0/16
все остальное на 450 без изменений.
на 1200
нужно указать все маршруты к сетям каждого из мтиков:
Код: Выделить всё
/ip route add dst-address=192.168.0.0/22 gateway=АДРЕС_450_2
/ip route add dst-address=192.168.8.0/22 gateway=АДРЕС_450_3
/ip route add dst-address=192.168.12.0/22 gateway=АДРЕС_450_4
ну и соответственно теже самые корректировки что на 450 с листом MY_NETS
- simpl3x
- Модератор
- Сообщения: 1532
- Зарегистрирован: 19 апр 2012, 14:03
подключилось по VPN или (другое соединение)
все зависит от того что там гонять собираетесь, если крайне секретные разработки машины времени и черную бухгалтерию, то ipsec, если обычный никому не нужный трафик, то gre или eoip
-
- Сообщения: 27
- Зарегистрирован: 27 ноя 2012, 09:22
Да нужно просто обычное соединение которое легко настроить и минимум шифрования!
Подскажи пожалуйста как правильно сделать!
Подскажи пожалуйста как правильно сделать!
simpl3x писал(а):подключилось по VPN или (другое соединение)
все зависит от того что там гонять собираетесь, если крайне секретные разработки машины времени и черную бухгалтерию, то ipsec, если обычный никому не нужный трафик, то gre или eoip
- simpl3x
- Модератор
- Сообщения: 1532
- Зарегистрирован: 19 апр 2012, 14:03
на каждом из 450 мтиков:
соответственно меня local-address на нужный
на 1200 создать аналогично соединения для каждого 450 мтика
соответственно меняя remote-address на те, которые у ваших удаленных мтиков.
дальше, в рамках каждого gre тунеля присвоить на каждом мтике, как в случае с соединением мтиков по кабелю.
Код: Выделить всё
interface gre add remote-address=х.х.х.2 local-address=х.х.х.3 name=gre_1200
соответственно меня local-address на нужный
на 1200 создать аналогично соединения для каждого 450 мтика
Код: Выделить всё
interface gre add remote-address=х.х.х.3 local-address=х.х.х.2 name=gre_450_1
соответственно меняя remote-address на те, которые у ваших удаленных мтиков.
дальше, в рамках каждого gre тунеля присвоить на каждом мтике, как в случае с соединением мтиков по кабелю.
-
- Сообщения: 27
- Зарегистрирован: 27 ноя 2012, 09:22
Получилось сделать VPN тунели:
Мик 3 и 4 подкл к МИК 1.
Но запустить сеть между МИК 1 и МИК 2 через отдельно выделенный провод не получается!
Можете написать как сделать с нуля запуск трафика между МИК 1 и МИК 2 через порт eth3
Когда порт eth0 это интернет от провайдера а порт eth2 это локальная сеть!
Мик 3 и 4 подкл к МИК 1.
Но запустить сеть между МИК 1 и МИК 2 через отдельно выделенный провод не получается!
Можете написать как сделать с нуля запуск трафика между МИК 1 и МИК 2 через порт eth3
Когда порт eth0 это интернет от провайдера а порт eth2 это локальная сеть!
-
- Сообщения: 27
- Зарегистрирован: 27 ноя 2012, 09:22
т.е. по схеме запустить пинги и трафик от микротика 1 к микротику 2 и наоборот!