Jump to content
Калькуляторы

Помогите настроить микротик

Reply to this topic

grifin.ru   

grifin.ru
Posted

Задача следующая:

Микротик должен подключаться к удаленному L2TP серверу (Сервер не на микротике), получать от сервера IP адрес и присваивать по DHCP этот IP адрес компьютеру, который включен в микротик. Т.е. сам микротик должен работать как прозрачный бридж.

Можно такое замутить ? Если да, то как ?

Share this post

Link to post
Share on other sites

grifin.ru   

grifin.ru
Posted

Как вариант наверное можно оставить адрес шлюза интерфейсе микротика, а потом просто сделать пересылку всего трафика на IP ноутбука. Но мне кажется есть более правильное решение...

Share this post

Link to post
Share on other sites

andryas   

andryas
Posted

Это неверное решение. Поднимайте туннель непосредственно на комп'ютере, либо маршрутизируйте сети по L3.

Если же очень хочется L2, то пользуйте L2 туннель (например, eoip), тогда указанный компьютер будет прозрачно работать с вашей основной сетью, без извращений получая нужный Вам IP с DHCP сервера удалённой сети.

 

Для начала расскажите (нарисуйте) в деталях, что Вы собираетесь получить в итоге (ТЗ), тогда можно будет предложить наиболее логичное решение.

Share this post

Link to post
Share on other sites

grifin.ru   

grifin.ru
Posted

Для начала расскажите (нарисуйте) в деталях, что Вы собираетесь получить в итоге (ТЗ), тогда можно будет предложить наиболее логичное решение.

http://forum.nag.ru/forum/index.php?showtopic=114223

Вот тут обсуждались задачи.

Настроил xl2tpd и взял hAp lite

Тунель между ними поднялся, теперь сижу, чешу репу, что дальше делать.

 

L2 не хочу. Не хочу чтоб всякий бродкаст у меня летал по всем тунелям...

Share this post

Link to post
Share on other sites

andryas   

andryas
Posted

Пусть микротик сотрудницы получит свой IP. Для её ноута просто настройте на её микротике NAT и DHCP сервер

Share this post

Link to post
Share on other sites

grifin.ru   

grifin.ru
Posted

Пусть микротик сотрудницы получит свой IP. Для её ноута просто настройте на её микротике NAT и DHCP сервер

Весь смысл теряется. Через NAT "Домен" рабоать не будет и по RDP к ноуту не подключиться.

VPN делается чтоб уйти от NATа !

Share this post

Link to post
Share on other sites

grifin.ru   

grifin.ru
Posted

Тогда EOIP туннель, ноут сотрудницы виртуально окажется у Вас в офисе

Во-первых, на той стороне НЕ Микротик, а xl2tpd

Во-вторых не очень я хочу L2, написал об этом выше.

Share this post

Link to post
Share on other sites

andryas   

andryas
Posted

l2tp это точка-точка. Поднимайте туннель на ноуте или же меняйте либо ТЗ либо архитектуру.

Если поставить микротик в офисе невозможно, Вам прийдётся создать для сотрудницы L3 подстеть и смарштутизироваь её в офис.

Share this post

Link to post
Share on other sites

grifin.ru   

grifin.ru
Posted

l2tp это точка-точка. Поднимайте туннель на ноуте или же меняйте либо ТЗ либо архитектуру.

Если поставить микротик в офисе невозможно, Вам прийдётся создать для сотрудницы L3 подстеть и смарштутизироваь её в офис.

До L3 маршрутизации я и сам догадался.

См первоначальный пост.

Share this post

Link to post
Share on other sites

andryas   

andryas
Posted

С l2tp есть только 3 варианта

 

1. Поднять непосредственно на ноуте

2. Поднять на микротике и сделать для ноута трансляцию адресов (NAT)

3. Смаршрутизировать дополнительную подсеть.

 

Ваш выбор?

Share this post

Link to post
Share on other sites

grifin.ru   

grifin.ru
Posted

andryas

Варианты 1 и 2 не походят точно. Остается только 3 или отказываться от L2TP. ПОследнее, в принципе, тоже возможно...

Хорошо. Допустим я сменю l2tp на OpenVPN и подниму L2 туннель от микротика к "офису" (как это сделать кстати ? На микротике имеется ввиду. Про EOIP даже не заикайтесь. В "центре" микротик поставить невозможно.)

Следующим этапом мне нужно будет присоединить к этой-же сети еще два SOHO офиса.

Смогу-ли я на основе этой технологии сделать так, чтоб SOHO офисы обменивались трафиком напрямую, а не через центральный сервер ?

Изначально хотелось некую L3 сеть, сегментированную по офисам и туннели от каждого к каждому, чтоб избежать единой точки обмена трафиком

Share this post

Link to post
Share on other sites

andryas   

andryas
Posted (edited)

Выбор Windows в качестве сервера, ИМХО, не из самых лучших.

Настройка OpenVPN несколько сложнее настройки других варианитов туннелей, особенно серверной стороны.

По Mikrotik читать вики http://wiki.mikrotik.com/wiki/OpenVPN#RouterOS_3 - там, где Client configuration, client of a bridged server .

О серверной части читать здесь https://openvpn.net/index.php/open-source/documentation/miscellaneous/76-ethernet-bridging.html там где Bridge Server on Windows XP

 

З.Ы. Сам не проверял

Edited by andryas

Share this post

Link to post
Share on other sites

andryas   

andryas
Posted

Кто вам сказал ? Там очень даже linux.

 

Тогда мануалов тьма

 

о сервере в том же вики или

http://xgu.ru/wiki/OpenVPN_Bridge

https://www.ylsoftware.com/news/657

http://lanmarket.ua/stats/nastroyka-zashchishchennogo-OpenVPN-tunnelya-mejdu-dvumya-marshrutizatorami-Mikrotik-

https://habrahabr.ru/post/67238/

Share this post

Link to post
Share on other sites

grifin.ru   

grifin.ru
Posted

Настройка OpenVPN несколько сложнее настройки других варианитов туннелей, особенно серверной стороны.

Настроим. не проблема. Когда точно знаешь что тебе нужно - разобраться и настроить можно что угодно.

По Mikrotik читать вики http://wiki.mikrotik...nVPN#RouterOS_3 - там, где Client configuration, client of a bridged server .

Спасибо. То что надо. Я просто зашел в Web интерфейс и не нашел там переключения mode=ethernet/ip, отсюда и возник вопрос. Это можно только через cli сделать получается ?

--------------

И самый главный вопрос вы мне не ответили. Можно ли сделать такие (TAP) туннели каждый с каждым ? не будет там лавин никаких возникать ? Или можно только звезду делать ?

Share this post

Link to post
Share on other sites

andryas   

andryas
Posted

Это можно только через cli сделать получается ?

 

Не можно, а нужно :) Даже в винбоксе настройка удобнее, чем в WEB

 

И самый главный вопрос вы мне не ответили. Можно ли сделать такие (TAP) туннели каждый с каждым ? не будет там лавин никаких возникать ? Или можно только звезду делать ?

 

Проблем не должно быть. Главное - кольца избегайте :) Я бы рекомендовал звезду (один сервер - много клиентов).

Share this post

Link to post
Share on other sites

grifin.ru   

grifin.ru
Posted

Тогда мануалов тьма

Я спрашивал именно со стороны Микротика как настроить. Серверную сторону я настрою.

Сейчас, прежде чем лезть разбираться с настройкой нужно все-же выбрать топологию.

TAP Мне нравится больше чем TUN из-за того что настраивать и админить это проще.

Но есть ряд сомнений, относительно хождения трафика. Это касается не этого несчастного ноутбука, а других SOHO офисов, в некоторых из которых до 20 IP устройств и много локального трафика. Не будет-ли всякий бродкаст и прочий шум лезть мне в тунель и забивать его, если я, вдруг, выберу TAP топологию для связанности. И если будет, то как это отфильтровать бы (из этих 20 устройств выходить в тунель нужно от силы трем. Остальные не имеют отношения к проекту, а просто находятся в одной L2 сети с теми тремя устройствами, которые имеют. Разделить их на подсети тоже не вариант, так как эти три устройства должны иметь связность с остальными 17ю, в рамках других задач...

В частности:

 

Проблем не должно быть. Главное - кольца избегайте :) Я бы рекомендовал звезду (один сервер - много клиентов).

Как их "избезать" ? Если мы говорим про TAP тунели, я так понимаю что три устройства, когда каждое соединено TAP тунелем с каждым, это уже кольцо. Об этом и речь. Или там как-то настраивается что-то, что позволяет избежать кольца ?

Не очень хочется пускать весь трафик через центр. И по причинам единой точки отказа и чтоб не забивать каналы ненужным совершенно трафиком.

Share this post

Link to post
Share on other sites

andryas   

andryas
Posted

Не будет-ли всякий бродкаст и прочий шум лезть мне в тунель и забивать его

 

Будет, конечно. Поэтому для большой сети и узком канале более чем желательна L3 маршрутизация да и QOS к ней в придачу.

Фильтровать можно и на втором уровне, у микротика такая возможность имеется.

 

Стройте звезду, зачем Вам цепочка?

Share this post

Link to post
Share on other sites

andryas   

andryas
Posted

Можно подробнее ?

 

http://wiki.mikrotik.com/wiki/Manual:Interface/Bridge#Bridge_Firewall

Пример фильтрации по mac с картинками http://asp24.com.ua/blog/priviazka-k-portu-mikrotik/

Share this post

Link to post
Share on other sites

grifin.ru   

grifin.ru
Posted

Стройте звезду, зачем Вам цепочка?

Выше написал. "Центра" будет как минимум два. Т.е. будет два "мощных" узда во всей этой сети. Все остальные будут общаться по большей частью с этими узлами и немножко между собой.

Если сделать звезду, то весь трафик второго узла будет идти через первый, загружать его каналы и делать его дополнительной точкой отказа.

Share this post

Link to post
Share on other sites

SyJet   

SyJet
Posted

Микротовцы, такие микротовцы. Автор микрот недавно только взял, ему простительно.

Два vrf, маркировка трафа и два dst-nat.

 

Классика жанра - как раутить два интерфейса с одинаковыми подсетями.

 

Но такие кастыли не тру, лучше нормально смаршрутизировать.

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Followers 0
Go to topic listing Активное оборудование Ethernet, IP, MPLS, SDN/NFV...