vsslava Опубликовано 2 октября, 2015 · Жалоба Есть, филиал A и B. В каждом филиале по 2 подсети 192.68.10.0 и 192.168.11.0 - это A. А также B - 192.168.20.0 и 21.0 Задача соединить филиалы vpn, чтобы из 10 - 20 и 11 - 21 клиенты работали друг с другом. Как лучше сделать попытаться поднять 2 vpn ipsec между двумя филиалами или настроить маршрутизацию в один vpn или есть другие варианты? Если один vpn ip sec как сейчас то как настроить маршрутизацию втрой сетив в vpn тоннель, т.к. как первая и так настроена в политиках и маршрутизируется? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 2 октября, 2015 · Жалоба Прописать маршруты на обоих концах туннеля. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SUrov_IBM Опубликовано 2 октября, 2015 (изменено) · Жалоба Vsslava, доброго времени суток. В общих случаях, количество подсетей, расположенных за маршрутизаторами (в филиалах), никак не влияет на количество «VPN тоннелей», проброшенных через публичный Интернет, между маршрутизаторами. Существует множество технологий, построения «VPN тоннелей», через публичный Интернет. Выбор технологии зависит от используемого оборудования и типа пропускаемого по тоннелю трафика, а именно маршрутизируемого (L3) или широковещательного (L2). Тоннель, через который проходит широковещательный трафик, в силу специфики применяется крайне редко. В представляемой Вами схеме, между маршрутизаторами «A» и «B» достаточно построить один «VPN тоннель», для маршрутизируемого трафика (L3). Далее настроить простую статическую маршрутизацию подсетей (в филиалах), через этот «VPN тоннель». Самый простой пример, ориентируясь, на описанную Вами схему: Между маршрутизаторами «A» и «B» поднят «VPN тоннель» 192.168.100.0/30 (маска 255.255.255.252), т.е. маршрутизатор «A» имеет тоннельный IP адрес 192.168.100.1, маршрутизатор «B» имеет тоннельный IP адрес 192.168.100.2 соответственно. Устройствам из сети 192.168.10.0/24, должен быть задан адрес шлюза, маршрутизатор «A» (192.168.10.1). Устройствам из сети 192.168.11.0/24, должен быть задан адрес шлюза, маршрутизатор «A» (192.168.11.1). Устройствам из сети 192.168.20.0/24, должен быть задан адрес шлюза, маршрутизатор «B» (192.168.20.1). Устройствам из сети 192.168.21.0/24, должен быть задан адрес шлюза, маршрутизатор «B» (192.168.21.1). На маршрутизаторе «A», должны присутствовать статические маршруты, направленные через «VPN тоннель» до подсетей, находящихся за маршрутизатором «B»: 192.168.20.0/24 -> 192.168.100.2 192.168.21.0/24 -> 192.168.100.2 На маршрутизаторе «B», должны присутствовать статические маршруты, направленные через «VPN тоннель» до подсетей, находящихся за маршрутизатором «A»: 192.168.10.0/24 -> 192.168.100.1 192.168.11.0/24 -> 192.168.100.1 Изменено 2 октября, 2015 пользователем SUrov_IBM Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikAlexAn Опубликовано 2 октября, 2015 · Жалоба Думается мне что в общем случае методы решения данной задачи сильно зависят от конкретной железки Помнится как то сталкивался с vpn маршрутизаторами(или как там они назывались, модель не помню) D-Link. При создании ipsec туннеля там можно было задать только одну локальную сетку и одну удалённую. Если это те железки и для локальной и удалённой сети можно задать маску то в вашем случае укажите эти сетки как одну сетку: 192.168.10.0/23 <-> 192.168.20.0/23 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vsslava Опубликовано 5 октября, 2015 · Жалоба Если конкретно, то речь идёт о микротиках, причём через год кол-во филиалов будет 5 один будет выбран центральным. Сейчас висит vpn ip sec тоннель. Спасибо огромное SUrov_IBM за развёрнутый ответ, но не могли бы сказать какой тип лучше выбрать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Merridius Опубликовано 5 октября, 2015 · Жалоба По мне так, GRE over IPsec самый оптимальный вариант, если конечно мощности железа позволяют. Потом еще динамику без проблем можно прикрутить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vsslava Опубликовано 5 октября, 2015 · Жалоба По мне так, GRE over IPsec самый оптимальный вариант, если конечно мощности железа позволяют. Потом еще динамику без проблем можно прикрутить. Т.е. с маршрутизацией в нескольких локальных сетей в vpn проблем не будет? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SUrov_IBM Опубликовано 5 октября, 2015 · Жалоба Если конкретно, то речь идёт о микротиках, причём через год кол-во филиалов будет 5 один будет выбран центральным. Сейчас висит vpn ip sec тоннель. Спасибо огромное SUrov_IBM за развёрнутый ответ, но не могли бы сказать какой тип лучше выбрать? Vsslava, доброго времени суток. Если Вы используете Mikrotik - это почти (да простит меня форумчанин Saab95) полноценный маршрутизатор, поддерживающий разные типы «VPN тоннелей», через публичный Интернет. Выбор типа «VPN тоннелей», напрямую зависим от способа получения IP адреса в точке подключения (не путайте, с технологией подключения к провайдеру). Если в обеих точках связности «VPN тоннеля», от провайдера Вы получаете «прямой» («фиксированный», «белый») IP адрес - доступна, практически любая технология туннелирования. В этом случае, самым простым тоннелем является - GRE (без шифрования), для шифрования трафика данного тоннеля, используется IPSEC. Проше говоря, GRE проходит через «Мир» в «рубашке» IPSEC. Если в одной из точек связности «VPN тоннеля», от провайдера Вы получаете «внутренний» («фейковый», «серый») IP адрес - доступен ограниченный тип «VPN тоннелей». В этом случае, Вы можете использовать L2TP ((PPP) архитектура «сервер - клиент») или OpenVPN (архитектура «сервер - клиент»). Все вышеперечисленные способы «VPN туннелирования» (отдельно стоит OpenVPN, технология выходит за рамки разговора), в общих случаях, могут маршрутизировать L3 трафик, между неограниченным количеством разнесённых подсетей. P.S. Использование OpenVPN, на оборудовании Mikrotik, может потребоваться, в случае прохождении L2 (широковещательного (специфического)) трафика. Но скорей всего, это не требуется в Ваш случае. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vlad11 Опубликовано 5 октября, 2015 · Жалоба Вы прослушали лекцию о типах туннелях. Еще бывают туннели через DNS или ICMP. Может, вам лучше TOR или Hamachi настроить? :) Т.е. с маршрутизацией в нескольких локальных сетей в vpn проблем не будет? Ваша схема реализуемая, но в сетях с туннелями проблемы будут как с маршрутизацией, так и с MTU. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SUrov_IBM Опубликовано 5 октября, 2015 · Жалоба Вы прослушали лекцию о типах туннелях. Еще бывают туннели через DNS или ICMP. Может, вам лучше TOR или Hamachi настроить? :) Т.е. с маршрутизацией в нескольких локальных сетей в vpn проблем не будет? Ваша схема реализуемая, но в сетях с туннелями проблемы будут как с маршрутизацией, так и с MTU. Vlad11, доброго тебе времени суток. «Hamachi VPN»… Было бы смешно, если не было б, так грустно! Всё это, не более чем, популяризация VPN сервиса «геймеров». Это мы, на «тазиках» пытаемся «Мир» строить, технологии понимать. Большинству желаетьcя построить тоннель до дома, не думая как оно работает (пример, танковая сеть GSM). Вот и поглядим, что из этого выйдет… Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...