fabrick Posted October 26, 2015 · Report post Всем доброго времени суток! Появилась страшная задача из сабжа. Есть сервер на котором стоит биллинг с авторизацией и забикс, есть удаленная сеть (с 1 белым ip на всю сеть), во главе которой стоит микротик. На микротике, помимо клиентских устройств (которые спрашивают разрешение на доступ в интернет у биллинга)в сети есть пара устройств (мультимедиа сервер, видеорегистратор и тд). Задача: Требуется микротик, свич, мультимедиа сервер и регистратор загнать в одну сеть с билингом и забиксом. Как понимаю требуется поднять VPN сервер, но при поднятии VPN интернет из сети будет пытаться уйти по маршруту VPNки. Реально ли поднять VPN через VLAN? Не помешает ли это клиентским устройствам? Основная задача сего действия - загнать все устройства в мониторинг. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted October 26, 2015 · Report post Наверно вам не нужна никакая единая сеть, а просто нужен доступ на устройства во внутренней сети, расположенной на другом устройстве в интернете. Нет ничего проще. Вам нужно на удаленном микротике создать PPTP сервер, создать учетную запись для вашего сервера. Выделить уникальную серую адресацию, например 10.10.10.1 для PPP сервера и 10.10.10.2 для учетки. Смотрите настройки НАТ, они должны работать только для адресов внутренней сети на запросы в сторону интернета, обычно это делается либо путем указания подсети, например dst.address = ! 10.0.0.0/8, либо с помощью адрес листов. Далее на биллинге или мониторинге, подключаетесь к PPTP серверу, прописываете статический маршрут на сеть, в которой находятся устройства, которые нужно мониторить и все. Никакой трафик абонентов никуда не пойдет, т.к. маршрут по умолчанию вы не трогаете. Эта схема такая, что со стороны центра у вас ничего нет. Если у вас и в центре микротик, то целесообразно создать на нем L2TP сервер, создать учетки для удаленного микротика, и возможно, других микротиков. На удаленных микротиках создаете соответствующих клиентов, не устанавливая галочки создания дефолтного маршрута. Далее прописываете маршруты статикой или через OSPF. Не забываете про исключение этого трафика от НАТа. Все будет отлично работать. Вторая схема более правильная, чем первая. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted October 26, 2015 · Report post Пробросить через тик разные порты по 1-2 на каждое устройство и успокоится. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
fabrick Posted October 26, 2015 · Report post Наверно вам не нужна никакая единая сеть, а просто нужен доступ на устройства во внутренней сети, расположенной на другом устройстве в интернете. Нет ничего проще. Вам нужно на удаленном микротике создать PPTP сервер, создать учетную запись для вашего сервера. Выделить уникальную серую адресацию, например 10.10.10.1 для PPP сервера и 10.10.10.2 для учетки. Смотрите настройки НАТ, они должны работать только для адресов внутренней сети на запросы в сторону интернета, обычно это делается либо путем указания подсети, например dst.address = ! 10.0.0.0/8, либо с помощью адрес листов. Далее на биллинге или мониторинге, подключаетесь к PPTP серверу, прописываете статический маршрут на сеть, в которой находятся устройства, которые нужно мониторить и все. Никакой трафик абонентов никуда не пойдет, т.к. маршрут по умолчанию вы не трогаете. Эта схема такая, что со стороны центра у вас ничего нет. Если у вас и в центре микротик, то целесообразно создать на нем L2TP сервер, создать учетки для удаленного микротика, и возможно, других микротиков. На удаленных микротиках создаете соответствующих клиентов, не устанавливая галочки создания дефолтного маршрута. Далее прописываете маршруты статикой или через OSPF. Не забываете про исключение этого трафика от НАТа. Все будет отлично работать. Вторая схема более правильная, чем первая. Спасибо за дельный ответ, но ведь он больше актуален для двух сетей. У меня сервера подняты на VPSе, к ним микротики стучатся из 5 разных концов города. Скорее всего не совсем грамотно описал что у меня на данный момент имеется, нарисовал супер схему) Или все-таки лучше/проще поставить где-нибудь микротик с VPN сервером? Хотя толку... Реально на убунту сервере поднять openVPN сервер и реализовать мою задачу? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted October 26, 2015 · Report post Не нужно никакое опенвпн, у вас заббикс на линуксе? С него и поднимите туннель до микротика. Если их 5 - то поднимите до всех, не забыв сделать уникальные подсети в сети каждого микротика. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Timax Posted October 27, 2015 · Report post Добрый день. Задам вопрос тут, чтобы не создавать лишних тем. Задача такая: есть множество микротиков, все они стягиваются в офис через интернет по EoIP туннелям. Все эти туннели объедены в bridge на центральном микротике в офисе. На каждом из удаленных микротиков сидят клиенты, которые цепляются по PPPoE. Нужно из офиса управлять всеми этими клиентами. Конечно можно было бы на каждый микротик выделить свою подсеть для клиентов и в центральном микротике прописать маршруты, но вся загвостка в том что у всех клиентов могут быть разные подсети. Так вот как сделать так чтобы можно было всеми этими клиентами управлять, может быть можно создать какой нибудь динамический маршрут, который бы сам определял на каком микротике сидит определенный клиент. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted October 27, 2015 · Report post Ваша схема очень плохая по той причине, что все офисы объединены единым бриджем, по которому может ходить широковещательный трафик, от этого бывают проблемы. Динамический маршрут можно создать через OSPF. Убираете ваши EoIP туннели, подключаете все офисы к центру через L2TP, создав в центре учетки для каждого офиса, а каждый офис под своей учеткой подключится. На каждом удаленном офисе настраиваете PPPoE сервер с локальными учетными данными, если все абоненты могут подключаться где угодно, можете просто скопировать все данные на все микротики. Либо используете авторизацию через радиус. При подключении абонента для него будет создан локальный маршрут в офисе, этот маршрут через OSPF попадет на центральное устройство и на все остальные удаленные офисы. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NiTr0 Posted October 27, 2015 · Report post Убираете ваши EoIP туннели, подключаете все офисы к центру через L2TP EoIP уже перешел в разряд устаревших технологий? :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Timax Posted October 27, 2015 · Report post Убираете ваши EoIP туннели, подключаете все офисы к центру через L2TP EoIP уже перешел в разряд устаревших технологий? :) он имеет ввиду то что они в бридже, поэтому это плохо. Просто вот мне интересно у меня на центральный микротик приходит vlan с биллинга, мне надо чтобы все удаленные микротики были в одной подсети. И как это сделать с L2TP?? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
fabrick Posted October 27, 2015 · Report post Так, все-таки пришел к тому что потребуется объединить все устройства. Вижу только два варианта gre и l2tp. Из очевидных преимуществ gre - простота настройки (но мне, кхе-кхе, за час борьбы на убунте, так и не удалось его поднять), из минусов - отсутствие шифрования, хотя лечится поднятием IPSEC сверху, для объединения (сетей 3 и более) надо каждому устройству добавлять тоннель и маршрутизацию до каждого устройства, по-моему это реальный геморрой... ПО l2tp и так понятно, но опять же пока что не поборол настройку сервера) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted October 27, 2015 · Report post Просто вот мне интересно у меня на центральный микротик приходит vlan с биллинга, мне надо чтобы все удаленные микротики были в одной подсети. И как это сделать с L2TP?? Пробрасываете везде туннели что бы все оборудование имело связность по IP, включаете OSPF, на всех удаленных микротиках указываете просто IP с маской /32 и так сможете адресовать все 254 устройства. Если нужна связность по L2, тогда потребуется 2 микротика на каждый IP, на первом вешаете на интерфейсе всю подсеть /24, указав IP х.х.х.1, а в нетворк адрес подключенного устройства, по которому к нему обращаться, включаете proxy-arp и готово. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Timax Posted October 27, 2015 · Report post Просто вот мне интересно у меня на центральный микротик приходит vlan с биллинга, мне надо чтобы все удаленные микротики были в одной подсети. И как это сделать с L2TP?? Пробрасываете везде туннели что бы все оборудование имело связность по IP, включаете OSPF, на всех удаленных микротиках указываете просто IP с маской /32 и так сможете адресовать все 254 устройства. Если нужна связность по L2, тогда потребуется 2 микротика на каждый IP, на первом вешаете на интерфейсе всю подсеть /24, указав IP х.х.х.1, а в нетворк адрес подключенного устройства, по которому к нему обращаться, включаете proxy-arp и готово. Спасибо. Разобрался. Еще вопрос. Включил OSPF, теперь получается все клиенты видят друг друга, нужно ли их изолировать друг от друга??? И как это лучше сделать??? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted October 27, 2015 · Report post Обычно это делают путем разделения служебных и абонентских адресов. Например у вас сеть 10.0.0.0/16 выделена под адресацию оборудования, сеть 10.1.0.0/16 для абонентов. Если надо просто заблокировать доступ абонентов, то создаете правило на каждом маршрутизаторе, что есть src = 10.1.0.0/16 и dst = 10.1.0.0/16 то дропать. Но так вы заблокируете доступ клиентов между собой. Если надо заблокировать им доступ и на служебные адреса, то можно создать 2 правила, либо использовать адрес листы, что более правильно. Но на практике обычно никто не изолирует, сейчас уже нет локального абонентского трафика. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Timax Posted October 28, 2015 · Report post Обычно это делают путем разделения служебных и абонентских адресов. Например у вас сеть 10.0.0.0/16 выделена под адресацию оборудования, сеть 10.1.0.0/16 для абонентов. Если надо просто заблокировать доступ абонентов, то создаете правило на каждом маршрутизаторе, что есть src = 10.1.0.0/16 и dst = 10.1.0.0/16 то дропать. Но так вы заблокируете доступ клиентов между собой. Если надо заблокировать им доступ и на служебные адреса, то можно создать 2 правила, либо использовать адрес листы, что более правильно. Но на практике обычно никто не изолирует, сейчас уже нет локального абонентского трафика. Спасибо. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...