Jump to content
Калькуляторы

Соединение 4 подсетей в 2 филиалах

Есть, филиал A и B. В каждом филиале по 2 подсети

192.68.10.0 и 192.168.11.0 - это A. А также B - 192.168.20.0 и 21.0

Задача соединить филиалы vpn, чтобы из 10 - 20 и 11 - 21 клиенты работали друг с другом. Как лучше сделать попытаться поднять 2 vpn ipsec между двумя филиалами или настроить маршрутизацию в один vpn или есть другие варианты? Если один vpn ip sec как сейчас то как настроить маршрутизацию втрой сетив в vpn тоннель, т.к. как первая и так настроена в политиках и маршрутизируется?

Share this post


Link to post
Share on other sites

Прописать маршруты на обоих концах туннеля.

Share this post


Link to post
Share on other sites

Vsslava, доброго времени суток.

 

 

В общих случаях, количество подсетей, расположенных за маршрутизаторами (в филиалах),

никак не влияет на количество «VPN тоннелей», проброшенных через публичный Интернет,

между маршрутизаторами.

 

Существует множество технологий, построения «VPN тоннелей», через публичный Интернет.

Выбор технологии зависит от используемого оборудования и типа пропускаемого по тоннелю трафика,

а именно маршрутизируемого (L3) или широковещательного (L2). Тоннель, через который проходит

широковещательный трафик, в силу специфики применяется крайне редко.

 

В представляемой Вами схеме, между маршрутизаторами «A» и «B» достаточно построить один «VPN тоннель»,

для маршрутизируемого трафика (L3). Далее настроить простую статическую маршрутизацию подсетей (в филиалах),

через этот «VPN тоннель».

 

 

Самый простой пример, ориентируясь, на описанную Вами схему:

 

Между маршрутизаторами «A» и «B» поднят «VPN тоннель» 192.168.100.0/30 (маска 255.255.255.252),

т.е. маршрутизатор «A» имеет тоннельный IP адрес 192.168.100.1, маршрутизатор «B» имеет тоннельный

IP адрес 192.168.100.2 соответственно.

 

Устройствам из сети 192.168.10.0/24, должен быть задан адрес шлюза, маршрутизатор «A» (192.168.10.1).

Устройствам из сети 192.168.11.0/24, должен быть задан адрес шлюза, маршрутизатор «A» (192.168.11.1).

 

Устройствам из сети 192.168.20.0/24, должен быть задан адрес шлюза, маршрутизатор «B» (192.168.20.1).

Устройствам из сети 192.168.21.0/24, должен быть задан адрес шлюза, маршрутизатор «B» (192.168.21.1).

 

На маршрутизаторе «A», должны присутствовать статические маршруты, направленные через «VPN тоннель» до подсетей,

находящихся за маршрутизатором «B»:

192.168.20.0/24 -> 192.168.100.2

192.168.21.0/24 -> 192.168.100.2

 

На маршрутизаторе «B», должны присутствовать статические маршруты, направленные через «VPN тоннель» до подсетей,

находящихся за маршрутизатором «A»:

192.168.10.0/24 -> 192.168.100.1

192.168.11.0/24 -> 192.168.100.1

Edited by SUrov_IBM

Share this post


Link to post
Share on other sites

Думается мне что в общем случае методы решения данной задачи сильно зависят от конкретной железки

Помнится как то сталкивался с vpn маршрутизаторами(или как там они назывались, модель не помню) D-Link.

При создании ipsec туннеля там можно было задать только одну локальную сетку и одну удалённую.

Если это те железки и для локальной и удалённой сети можно задать маску то в вашем случае укажите эти сетки как одну сетку:

192.168.10.0/23 <-> 192.168.20.0/23

Share this post


Link to post
Share on other sites

Если конкретно, то речь идёт о микротиках, причём через год кол-во филиалов будет 5 один будет выбран центральным. Сейчас висит vpn ip sec тоннель. Спасибо огромное SUrov_IBM за развёрнутый ответ, но не могли бы сказать какой тип лучше выбрать?

Share this post


Link to post
Share on other sites

По мне так, GRE over IPsec самый оптимальный вариант, если конечно мощности железа позволяют. Потом еще динамику без проблем можно прикрутить.

Share this post


Link to post
Share on other sites

По мне так, GRE over IPsec самый оптимальный вариант, если конечно мощности железа позволяют. Потом еще динамику без проблем можно прикрутить.

Т.е. с маршрутизацией в нескольких локальных сетей в vpn проблем не будет?

Share this post


Link to post
Share on other sites

Если конкретно, то речь идёт о микротиках, причём через год кол-во филиалов будет 5 один будет выбран центральным. Сейчас висит vpn ip sec тоннель. Спасибо огромное SUrov_IBM за развёрнутый ответ, но не могли бы сказать какой тип лучше выбрать?

Vsslava, доброго времени суток.

 

 

Если Вы используете Mikrotik - это почти (да простит меня форумчанин Saab95) полноценный маршрутизатор,

поддерживающий разные типы «VPN тоннелей», через публичный Интернет.

 

Выбор типа «VPN тоннелей», напрямую зависим от способа получения IP адреса в точке подключения (не путайте,

с технологией подключения к провайдеру).

 

Если в обеих точках связности «VPN тоннеля», от провайдера Вы получаете «прямой» («фиксированный», «белый»)

IP адрес - доступна, практически любая технология туннелирования.

 

В этом случае, самым простым тоннелем является - GRE (без шифрования), для шифрования трафика данного тоннеля,

используется IPSEC. Проше говоря, GRE проходит через «Мир» в «рубашке» IPSEC.

 

Если в одной из точек связности «VPN тоннеля», от провайдера Вы получаете «внутренний» («фейковый», «серый»)

IP адрес - доступен ограниченный тип «VPN тоннелей».

 

В этом случае, Вы можете использовать L2TP ((PPP) архитектура «сервер - клиент»)

или OpenVPN (архитектура «сервер - клиент»).

 

 

Все вышеперечисленные способы «VPN туннелирования» (отдельно стоит OpenVPN, технология выходит за рамки разговора),

в общих случаях, могут маршрутизировать L3 трафик, между неограниченным количеством разнесённых подсетей.

 

 

P.S. Использование OpenVPN, на оборудовании Mikrotik, может потребоваться, в случае прохождении L2 (широковещательного

(специфического)) трафика. Но скорей всего, это не требуется в Ваш случае.

Share this post


Link to post
Share on other sites

Вы прослушали лекцию о типах туннелях.

Еще бывают туннели через DNS или ICMP.

Может, вам лучше TOR или Hamachi настроить? :)

 

Т.е. с маршрутизацией в нескольких локальных сетей в vpn проблем не будет?

 

Ваша схема реализуемая, но в сетях с туннелями проблемы будут как с маршрутизацией, так и с MTU.

Share this post


Link to post
Share on other sites

Вы прослушали лекцию о типах туннелях.

Еще бывают туннели через DNS или ICMP.

Может, вам лучше TOR или Hamachi настроить? :)

 

Т.е. с маршрутизацией в нескольких локальных сетей в vpn проблем не будет?

 

Ваша схема реализуемая, но в сетях с туннелями проблемы будут как с маршрутизацией, так и с MTU.

 

Vlad11, доброго тебе времени суток.

 

«Hamachi VPN»… Было бы смешно, если не было б, так грустно!

Всё это, не более чем, популяризация VPN сервиса «геймеров».

 

Это мы, на «тазиках» пытаемся «Мир» строить, технологии понимать.

Большинству желаетьcя построить тоннель до дома, не думая как оно работает

(пример, танковая сеть GSM).

 

Вот и поглядим, что из этого выйдет…

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this