[fabrick]

Всем доброго времени суток!

 

Появилась страшная задача из сабжа.

Есть сервер на котором стоит биллинг с авторизацией и забикс, есть удаленная сеть (с 1 белым ip на всю сеть), во главе которой стоит микротик. На микротике, помимо клиентских устройств (которые спрашивают разрешение на доступ в интернет у биллинга)в сети есть пара устройств (мультимедиа сервер, видеорегистратор и тд).

 

Задача:

Требуется микротик, свич, мультимедиа сервер и регистратор загнать в одну сеть с билингом и забиксом.

Как понимаю требуется поднять VPN сервер, но при поднятии VPN интернет из сети будет пытаться уйти по маршруту VPNки. Реально ли поднять VPN через VLAN? Не помешает ли это клиентским устройствам?

Основная задача сего действия - загнать все устройства в мониторинг.

[Saab95]

Наверно вам не нужна никакая единая сеть, а просто нужен доступ на устройства во внутренней сети, расположенной на другом устройстве в интернете. Нет ничего проще.

 

Вам нужно на удаленном микротике создать PPTP сервер, создать учетную запись для вашего сервера. Выделить уникальную серую адресацию, например 10.10.10.1 для PPP сервера и 10.10.10.2 для учетки.

Смотрите настройки НАТ, они должны работать только для адресов внутренней сети на запросы в сторону интернета, обычно это делается либо путем указания подсети, например dst.address = ! 10.0.0.0/8, либо с помощью адрес листов.

Далее на биллинге или мониторинге, подключаетесь к PPTP серверу, прописываете статический маршрут на сеть, в которой находятся устройства, которые нужно мониторить и все. Никакой трафик абонентов никуда не пойдет, т.к. маршрут по умолчанию вы не трогаете.

 

Эта схема такая, что со стороны центра у вас ничего нет.

 

Если у вас и в центре микротик, то целесообразно создать на нем L2TP сервер, создать учетки для удаленного микротика, и возможно, других микротиков. На удаленных микротиках создаете соответствующих клиентов, не устанавливая галочки создания дефолтного маршрута. Далее прописываете маршруты статикой или через OSPF. Не забываете про исключение этого трафика от НАТа. Все будет отлично работать. Вторая схема более правильная, чем первая.

[Ivan_83]

Пробросить через тик разные порты по 1-2 на каждое устройство и успокоится.

[fabrick]

Наверно вам не нужна никакая единая сеть, а просто нужен доступ на устройства во внутренней сети, расположенной на другом устройстве в интернете. Нет ничего проще.

 

Вам нужно на удаленном микротике создать PPTP сервер, создать учетную запись для вашего сервера. Выделить уникальную серую адресацию, например 10.10.10.1 для PPP сервера и 10.10.10.2 для учетки.

Смотрите настройки НАТ, они должны работать только для адресов внутренней сети на запросы в сторону интернета, обычно это делается либо путем указания подсети, например dst.address = ! 10.0.0.0/8, либо с помощью адрес листов.

Далее на биллинге или мониторинге, подключаетесь к PPTP серверу, прописываете статический маршрут на сеть, в которой находятся устройства, которые нужно мониторить и все. Никакой трафик абонентов никуда не пойдет, т.к. маршрут по умолчанию вы не трогаете.

 

Эта схема такая, что со стороны центра у вас ничего нет.

 

Если у вас и в центре микротик, то целесообразно создать на нем L2TP сервер, создать учетки для удаленного микротика, и возможно, других микротиков. На удаленных микротиках создаете соответствующих клиентов, не устанавливая галочки создания дефолтного маршрута. Далее прописываете маршруты статикой или через OSPF. Не забываете про исключение этого трафика от НАТа. Все будет отлично работать. Вторая схема более правильная, чем первая.

 

Спасибо за дельный ответ, но ведь он больше актуален для двух сетей. У меня сервера подняты на VPSе, к ним микротики стучатся из 5 разных концов города. Скорее всего не совсем грамотно описал что у меня на данный момент имеется, нарисовал супер схему) Или все-таки лучше/проще поставить где-нибудь микротик с VPN сервером? Хотя толку...

 

Реально на убунту сервере поднять openVPN сервер и реализовать мою задачу?

[Saab95]

Не нужно никакое опенвпн, у вас заббикс на линуксе? С него и поднимите туннель до микротика. Если их 5 - то поднимите до всех, не забыв сделать уникальные подсети в сети каждого микротика.

[Timax]

Добрый день. Задам вопрос тут, чтобы не создавать лишних тем. Задача такая: есть множество микротиков, все они стягиваются в офис через интернет по EoIP туннелям. Все эти туннели объедены в bridge на центральном микротике в офисе. На каждом из удаленных микротиков сидят клиенты, которые цепляются по PPPoE. Нужно из офиса управлять всеми этими клиентами. Конечно можно было бы на каждый микротик выделить свою подсеть для клиентов и в центральном микротике прописать маршруты, но вся загвостка в том что у всех клиентов могут быть разные подсети. Так вот как сделать так чтобы можно было всеми этими клиентами управлять, может быть можно создать какой нибудь динамический маршрут, который бы сам определял на каком микротике сидит определенный клиент.

[Saab95]

Ваша схема очень плохая по той причине, что все офисы объединены единым бриджем, по которому может ходить широковещательный трафик, от этого бывают проблемы.

 

Динамический маршрут можно создать через OSPF. Убираете ваши EoIP туннели, подключаете все офисы к центру через L2TP, создав в центре учетки для каждого офиса, а каждый офис под своей учеткой подключится. На каждом удаленном офисе настраиваете PPPoE сервер с локальными учетными данными, если все абоненты могут подключаться где угодно, можете просто скопировать все данные на все микротики. Либо используете авторизацию через радиус. При подключении абонента для него будет создан локальный маршрут в офисе, этот маршрут через OSPF попадет на центральное устройство и на все остальные удаленные офисы.

[NiTr0]

Убираете ваши EoIP туннели, подключаете все офисы к центру через L2TP

 

EoIP уже перешел в разряд устаревших технологий? :)

[Timax]

Убираете ваши EoIP туннели, подключаете все офисы к центру через L2TP

 

EoIP уже перешел в разряд устаревших технологий? :)

 

он имеет ввиду то что они в бридже, поэтому это плохо. Просто вот мне интересно у меня на центральный микротик приходит vlan с биллинга, мне надо чтобы все удаленные микротики были в одной подсети. И как это сделать с L2TP??

[fabrick]

Так, все-таки пришел к тому что потребуется объединить все устройства. Вижу только два варианта gre и l2tp.

Из очевидных преимуществ gre - простота настройки (но мне, кхе-кхе, за час борьбы на убунте, так и не удалось его поднять), из минусов - отсутствие шифрования, хотя лечится поднятием IPSEC сверху, для объединения (сетей 3 и более) надо каждому устройству добавлять тоннель и маршрутизацию до каждого устройства, по-моему это реальный геморрой...

ПО l2tp и так понятно, но опять же пока что не поборол настройку сервера)

[Saab95]

Просто вот мне интересно у меня на центральный микротик приходит vlan с биллинга, мне надо чтобы все удаленные микротики были в одной подсети. И как это сделать с L2TP??

 

Пробрасываете везде туннели что бы все оборудование имело связность по IP, включаете OSPF, на всех удаленных микротиках указываете просто IP с маской /32 и так сможете адресовать все 254 устройства. Если нужна связность по L2, тогда потребуется 2 микротика на каждый IP, на первом вешаете на интерфейсе всю подсеть /24, указав IP х.х.х.1, а в нетворк адрес подключенного устройства, по которому к нему обращаться, включаете proxy-arp и готово.

[Timax]

Просто вот мне интересно у меня на центральный микротик приходит vlan с биллинга, мне надо чтобы все удаленные микротики были в одной подсети. И как это сделать с L2TP??

 

Пробрасываете везде туннели что бы все оборудование имело связность по IP, включаете OSPF, на всех удаленных микротиках указываете просто IP с маской /32 и так сможете адресовать все 254 устройства. Если нужна связность по L2, тогда потребуется 2 микротика на каждый IP, на первом вешаете на интерфейсе всю подсеть /24, указав IP х.х.х.1, а в нетворк адрес подключенного устройства, по которому к нему обращаться, включаете proxy-arp и готово.

Спасибо. Разобрался. Еще вопрос. Включил OSPF, теперь получается все клиенты видят друг друга, нужно ли их изолировать друг от друга??? И как это лучше сделать???

[Saab95]

Обычно это делают путем разделения служебных и абонентских адресов.

 

Например у вас сеть 10.0.0.0/16 выделена под адресацию оборудования, сеть 10.1.0.0/16 для абонентов. Если надо просто заблокировать доступ абонентов, то создаете правило на каждом маршрутизаторе, что есть src = 10.1.0.0/16 и dst = 10.1.0.0/16 то дропать. Но так вы заблокируете доступ клиентов между собой. Если надо заблокировать им доступ и на служебные адреса, то можно создать 2 правила, либо использовать адрес листы, что более правильно.

 

Но на практике обычно никто не изолирует, сейчас уже нет локального абонентского трафика.

[Timax]

Обычно это делают путем разделения служебных и абонентских адресов.

 

Например у вас сеть 10.0.0.0/16 выделена под адресацию оборудования, сеть 10.1.0.0/16 для абонентов. Если надо просто заблокировать доступ абонентов, то создаете правило на каждом маршрутизаторе, что есть src = 10.1.0.0/16 и dst = 10.1.0.0/16 то дропать. Но так вы заблокируете доступ клиентов между собой. Если надо заблокировать им доступ и на служебные адреса, то можно создать 2 правила, либо использовать адрес листы, что более правильно.

 

Но на практике обычно никто не изолирует, сейчас уже нет локального абонентского трафика.

Спасибо.