[grifin.ru]

Задача следующая:

Микротик должен подключаться к удаленному L2TP серверу (Сервер не на микротике), получать от сервера IP адрес и присваивать по DHCP этот IP адрес компьютеру, который включен в микротик. Т.е. сам микротик должен работать как прозрачный бридж.

Можно такое замутить ? Если да, то как ?

[grifin.ru]

Как вариант наверное можно оставить адрес шлюза интерфейсе микротика, а потом просто сделать пересылку всего трафика на IP ноутбука. Но мне кажется есть более правильное решение...

[EShirokiy]

Забриджевать L2TP с интерфейсом куда подключен компьютер?

[andryas]

Это неверное решение. Поднимайте туннель непосредственно на комп'ютере, либо маршрутизируйте сети по L3.

Если же очень хочется L2, то пользуйте L2 туннель (например, eoip), тогда указанный компьютер будет прозрачно работать с вашей основной сетью, без извращений получая нужный Вам IP с DHCP сервера удалённой сети.

 

Для начала расскажите (нарисуйте) в деталях, что Вы собираетесь получить в итоге (ТЗ), тогда можно будет предложить наиболее логичное решение.

[grifin.ru]

Для начала расскажите (нарисуйте) в деталях, что Вы собираетесь получить в итоге (ТЗ), тогда можно будет предложить наиболее логичное решение.

http://forum.nag.ru/forum/index.php?showtopic=114223

Вот тут обсуждались задачи.

Настроил xl2tpd и взял hAp lite

Тунель между ними поднялся, теперь сижу, чешу репу, что дальше делать.

 

L2 не хочу. Не хочу чтоб всякий бродкаст у меня летал по всем тунелям...

[andryas]

Пусть микротик сотрудницы получит свой IP. Для её ноута просто настройте на её микротике NAT и DHCP сервер

[grifin.ru]

Пусть микротик сотрудницы получит свой IP. Для её ноута просто настройте на её микротике NAT и DHCP сервер

Весь смысл теряется. Через NAT "Домен" рабоать не будет и по RDP к ноуту не подключиться.

VPN делается чтоб уйти от NATа !

[andryas]

Тогда EOIP туннель, ноут сотрудницы виртуально окажется у Вас в офисе

[grifin.ru]

Тогда EOIP туннель, ноут сотрудницы виртуально окажется у Вас в офисе

Во-первых, на той стороне НЕ Микротик, а xl2tpd

Во-вторых не очень я хочу L2, написал об этом выше.

[andryas]

l2tp это точка-точка. Поднимайте туннель на ноуте или же меняйте либо ТЗ либо архитектуру.

Если поставить микротик в офисе невозможно, Вам прийдётся создать для сотрудницы L3 подстеть и смарштутизироваь её в офис.

[grifin.ru]

l2tp это точка-точка. Поднимайте туннель на ноуте или же меняйте либо ТЗ либо архитектуру.

Если поставить микротик в офисе невозможно, Вам прийдётся создать для сотрудницы L3 подстеть и смарштутизироваь её в офис.

До L3 маршрутизации я и сам догадался.

См первоначальный пост.

[andryas]

С l2tp есть только 3 варианта

 

1. Поднять непосредственно на ноуте

2. Поднять на микротике и сделать для ноута трансляцию адресов (NAT)

3. Смаршрутизировать дополнительную подсеть.

 

Ваш выбор?

[grifin.ru]

andryas

Варианты 1 и 2 не походят точно. Остается только 3 или отказываться от L2TP. ПОследнее, в принципе, тоже возможно...

Хорошо. Допустим я сменю l2tp на OpenVPN и подниму L2 туннель от микротика к "офису" (как это сделать кстати ? На микротике имеется ввиду. Про EOIP даже не заикайтесь. В "центре" микротик поставить невозможно.)

Следующим этапом мне нужно будет присоединить к этой-же сети еще два SOHO офиса.

Смогу-ли я на основе этой технологии сделать так, чтоб SOHO офисы обменивались трафиком напрямую, а не через центральный сервер ?

Изначально хотелось некую L3 сеть, сегментированную по офисам и туннели от каждого к каждому, чтоб избежать единой точки обмена трафиком

[andryas]

Выбор Windows в качестве сервера, ИМХО, не из самых лучших.

Настройка OpenVPN несколько сложнее настройки других варианитов туннелей, особенно серверной стороны.

По Mikrotik читать вики http://wiki.mikrotik.com/wiki/OpenVPN#RouterOS_3 - там, где Client configuration, client of a bridged server .

О серверной части читать здесь https://openvpn.net/index.php/open-source/documentation/miscellaneous/76-ethernet-bridging.html там где Bridge Server on Windows XP

 

З.Ы. Сам не проверял

Изменено 20 марта, 2016 пользователем andryas

[grifin.ru]

Выбор Windows в качестве сервера, ИМХО, не из самых лучших.

Кто вам сказал ? Там очень даже linux.

[andryas]

Кто вам сказал ? Там очень даже linux.

 

Тогда мануалов тьма

 

о сервере в том же вики или

http://xgu.ru/wiki/OpenVPN_Bridge

https://www.ylsoftware.com/news/657

http://lanmarket.ua/stats/nastroyka-zashchishchennogo-OpenVPN-tunnelya-mejdu-dvumya-marshrutizatorami-Mikrotik-

https://habrahabr.ru/post/67238/

[grifin.ru]

Настройка OpenVPN несколько сложнее настройки других варианитов туннелей, особенно серверной стороны.

Настроим. не проблема. Когда точно знаешь что тебе нужно - разобраться и настроить можно что угодно.

По Mikrotik читать вики http://wiki.mikrotik...nVPN#RouterOS_3 - там, где Client configuration, client of a bridged server .

Спасибо. То что надо. Я просто зашел в Web интерфейс и не нашел там переключения mode=ethernet/ip, отсюда и возник вопрос. Это можно только через cli сделать получается ?

--------------

И самый главный вопрос вы мне не ответили. Можно ли сделать такие (TAP) туннели каждый с каждым ? не будет там лавин никаких возникать ? Или можно только звезду делать ?

[andryas]

Это можно только через cli сделать получается ?

 

Не можно, а нужно :) Даже в винбоксе настройка удобнее, чем в WEB

 

И самый главный вопрос вы мне не ответили. Можно ли сделать такие (TAP) туннели каждый с каждым ? не будет там лавин никаких возникать ? Или можно только звезду делать ?

 

Проблем не должно быть. Главное - кольца избегайте :) Я бы рекомендовал звезду (один сервер - много клиентов).

[grifin.ru]

Тогда мануалов тьма

Я спрашивал именно со стороны Микротика как настроить. Серверную сторону я настрою.

Сейчас, прежде чем лезть разбираться с настройкой нужно все-же выбрать топологию.

TAP Мне нравится больше чем TUN из-за того что настраивать и админить это проще.

Но есть ряд сомнений, относительно хождения трафика. Это касается не этого несчастного ноутбука, а других SOHO офисов, в некоторых из которых до 20 IP устройств и много локального трафика. Не будет-ли всякий бродкаст и прочий шум лезть мне в тунель и забивать его, если я, вдруг, выберу TAP топологию для связанности. И если будет, то как это отфильтровать бы (из этих 20 устройств выходить в тунель нужно от силы трем. Остальные не имеют отношения к проекту, а просто находятся в одной L2 сети с теми тремя устройствами, которые имеют. Разделить их на подсети тоже не вариант, так как эти три устройства должны иметь связность с остальными 17ю, в рамках других задач...

В частности:

 

Проблем не должно быть. Главное - кольца избегайте :) Я бы рекомендовал звезду (один сервер - много клиентов).

Как их "избезать" ? Если мы говорим про TAP тунели, я так понимаю что три устройства, когда каждое соединено TAP тунелем с каждым, это уже кольцо. Об этом и речь. Или там как-то настраивается что-то, что позволяет избежать кольца ?

Не очень хочется пускать весь трафик через центр. И по причинам единой точки отказа и чтоб не забивать каналы ненужным совершенно трафиком.

[andryas]

Не будет-ли всякий бродкаст и прочий шум лезть мне в тунель и забивать его

 

Будет, конечно. Поэтому для большой сети и узком канале более чем желательна L3 маршрутизация да и QOS к ней в придачу.

Фильтровать можно и на втором уровне, у микротика такая возможность имеется.

 

Стройте звезду, зачем Вам цепочка?

[grifin.ru]

Фильтровать можно и на втором уровне, у микротика такая возможность имеется.

Можно подробнее ?

[andryas]

Можно подробнее ?

 

http://wiki.mikrotik.com/wiki/Manual:Interface/Bridge#Bridge_Firewall

Пример фильтрации по mac с картинками http://asp24.com.ua/blog/priviazka-k-portu-mikrotik/

[grifin.ru]

Стройте звезду, зачем Вам цепочка?

Выше написал. "Центра" будет как минимум два. Т.е. будет два "мощных" узда во всей этой сети. Все остальные будут общаться по большей частью с этими узлами и немножко между собой.

Если сделать звезду, то весь трафик второго узла будет идти через первый, загружать его каналы и делать его дополнительной точкой отказа.

[andryas]

Если Вы хотите кольца, то изучайте rstp

[SyJet]

Микротовцы, такие микротовцы. Автор микрот недавно только взял, ему простительно.

Два vrf, маркировка трафа и два dst-nat.

 

Классика жанра - как раутить два интерфейса с одинаковыми подсетями.

 

Но такие кастыли не тру, лучше нормально смаршрутизировать.