Страница 1 из 1
Прошу совета, как лучше поступить VPN между одинаковыми подсетями
Добавлено: 20 окт 2017, 22:07
kudryaviy
Вводная:
Mikrotik - PPTP Clien (доступен для настройки, подсеть 192.168.0.0/24)
Windows Server - PPTP Server (недоступен для настрйоки, подсети за сервером 192.168.0.0/24, 192.168.100.0/22)
К 100 доступ настроен, все хорошо, а вот к 0 за сервером естественно нет, возможно ли не меняя адрес подсети у mikrotik-а получить доступ к 0 подсети за сервером путем настроек mikrotik-а (ткните носом, как? Или проще будет поменять подсеть (возможно, но не хочется))
Re: Прошу совета, как лучше поступить VPN между одинаковыми подсетями
Добавлено: 20 окт 2017, 22:11
gmx
Достаточно легко, но не очевидно
viewtopic.php?f=15&t=6467
Re: Прошу совета, как лучше поступить VPN между одинаковыми подсетями
Добавлено: 20 окт 2017, 22:22
kudryaviy
Натыкался на эту ссылку, и даже применил именно вариант "костыля" в том случае мне необходимо было сделать проброс снаружи порта в туннель, но там были сети разные.
chain=srcnat action=src-nat to-addresses=192.168.11.1 dst-address=192.168.1.0/24 log=no log-prefix="" такое правило работает и позволяет корректно работать пробросу порта из вне на ip из подсети 1.
В моем случае проброс не нужен, нужен именно доступ из подсети 0, в подсеть 0. Или нужно еще использовать часть данного мануала -
https://hd.zp.ua/mikrotik-dve-seti-s-od ... ranstvami/ ?
Re: Прошу совета, как лучше поступить VPN между одинаковыми подсетями
Добавлено: 20 окт 2017, 22:59
kudryaviy
По факту нужен один ip из удаленной подсети, 0.100.
Прописал роутинг на 192.168.0.100 через ip выдаваемый сервером 192.168.100.69 пинг пошел с микротика, уже хорошо. Теперь осталось дать доступ с сети компьютера из локальной подсети 0. Тут затык пока, т.к. когда добавляю src nat пропадает связь даже с микротика.
Re: Прошу совета, как лучше поступить VPN между одинаковыми подсетями
Добавлено: 21 окт 2017, 02:13
Vlad-2
kudryaviy писал(а):В моем случае проброс не нужен, нужен именно доступ из подсети 0, в подсеть 0. ?
Коли Вам надо делать подстановка(замену) адреса, то её надо делать на том роутере, который и смотрит хотя бы одним интерфейсом
в ту сеть, куда Вам надо попасть. То есть Вам надо НАТить свои приходящие адреса на роутере, который имеет адрес подсети 0,
но у Вас туда нет доступа. А значит так сделать не получится.
НАТ штука хорошая, но если Все делали НАТ за 2-3 роутера до нужного, даже трудно представить что было бы сетями.
Re: Прошу совета, как лучше поступить VPN между одинаковыми подсетями
Добавлено: 05 ноя 2017, 02:18
lupus23ua
Не знаю, актуально ли еще, но сделать это очень легко.
Для одного адреса достаточно:
1. Поменять на lan-интерфейсе (в моем примере это bridge-local) режим arp с enabled на proxy-arp
/interface bridge
set bridge-local arp=proxy-arp
2. Добавить маршрут до нужного адреса через ваш pptp-vpn (здесь это pptp-out1)
/ip route
add distance=1 dst-address=192.168.0.100/32 gateway=pptp-out1
Ну и, конечно, в локалке не должно быть узла с адресом 192.168.0.100 и для туннеля должен быть настроен нат (что у вас уже есть, как я понял).
Re: Прошу совета, как лучше поступить VPN между одинаковыми подсетями
Добавлено: 05 ноя 2017, 04:57
lupus23ua
Ну и для всей подсети, а не только для отдельных адресов тоже легко можно настроить доступ - в routeros много инструментов черной магии.
Для этого нам уже не нужен прокси арп, но понадобится двойной нат и policy based routing. В таком общем случае мы можем иметь связь с адресами в удаленной подсети 192.168.0.0/24 которые одновременно назначены и у наших соседей по локалке, чего нельзя сделать при использовании прокси арп.
При обращении из подсети 192.168.0.0/24 в 192.168.0.0/24 узлы не будут отдавать пакеты роутеру, а просто будут арпать адрес назначения. Чтобы это обойти, мы будем обращаться к удаленной подсетке 192.168.0.0/24 по адресам 192.168.20.0/24.
На роутере мы занатим всю подсеть 192.168.20.0/24 в 192.168.0.0/24 одним правилом:
/ip firewall nat
add action=netmap chain=dstnat dst-address=192.168.20.0/24 to-addresses=192.168.0.0/24
Это правило будет менять адрес назначения 192.168.20.x на эквивалентный 192.168.0.x. Именно для таких целей и был придуман action netmap, использование его для проброса портов признак безграмотности.
Чтобы роутер не начал искать для пакетов идущих в дальнюю подсеть 192.168.0.0/24 адресатов в своей же локалке мы создадим специальную таблицу маршрутизации teleport и будем помечать в Mangle еще не заначеные пакеты в 192.168.20.0/24, чтобы они маршрутизировались по этой таблице:
/ip route
add distance=1 dst-address=192.168.0.0/24 gateway=pptp-out1 routing-mark=teleport
/ip firewall mangle
add action=mark-routing chain=prerouting dst-address=192.168.20.0/24 new-routing-mark=teleport passthrough=yes
В этом примере опять используется интерфейс pptp-out1, вы должны использовать название своего vpn-интерфейса. Опять же, необходимо. чтобы на выходе из него был настроен src-nat action=mascarade. Прокси arp, повторюсь, настраивать не надо.
Таким образом, при обращении из локалки по адресам 192.168.20.x пакеты будут приходить на роутер, помечаться на роутинг в таблице teleport, в них будет подменяться адрес назначения на 192.168.0.x, они будут маршрутизироваться по таблице teleport, в них будет изменен src-adress на адрес vpn-интерфейса и они будут отправлены vpn-серверу. Кроме, конечно, пакетов на 192.168.20.1, т.к. 192.168.0.1 это local adress и роутер его определит как пакет для себя.
Конфигурация проверена, я проверял работоспособность на практике.