CbIP Posted March 4, 2021 Posted March 4, 2021 В офисе филиала есть локальная сеть 192.168.24.0/24 за Микротиком. В локальной сети подключен VipNet Coordinator (IP 192.168.24.220, 172.16.10.1) для VPN с гл. офисом. На машинах в локальной сети филиала прописываю по 2 ip адреса, например 192.168.24.50, 172.16.10.50 и 2 шлюза - (Микротик) 192.168.24.1, (VipNet Coordinator) 172.16.10.1. Далее что бы ресурсы гл. офиса были доступны через командную строку прописываю постоянный маршрут route add -p 172.16.1.0 mask 255.255.255.0 172.16.10.1. Все работает, ресурсы гл. офиса доступны. А как прописать этот маршрут "route add -p 172.16.1.0 mask 255.255.255.0 172.16.10.1" в Микротике? что бы не прописывать на каждом компьютере филиала. Вставить ник Quote
VolanD666 Posted March 4, 2021 Posted March 4, 2021 Не понял в чем проблема. Вы не знаете как на микротике маршрут статический добавить или что? Вставить ник Quote
CbIP Posted March 4, 2021 Author Posted March 4, 2021 на микротике попробовал добавить маршрут так: IP - Routes - Add. Прописываю Dst. address: 172.16.1.0/24 Gateway: 172.16.10.1 но так не работает. Вставить ник Quote
VolanD666 Posted March 4, 2021 Posted March 4, 2021 Что конкретно не работает? На той стороне знаю про вашу сеть 192.168 которая? Вставить ник Quote
CbIP Posted March 4, 2021 Author Posted March 4, 2021 (edited) Ping на 172.16.1.0/24 не проходит, ресурсы не доступны. Про сеть 192.168 на той стороне наверное не знают, про нее знает VipNet coordinator. Его IP адрес в локальной сети филиала 192.168.24.220, а VPN сети 172.16.10.1 Edited March 4, 2021 by CbIP Вставить ник Quote
VolanD666 Posted March 4, 2021 Posted March 4, 2021 Изобразите схему как у вас что подключено, ничего не понятно. Вставить ник Quote
VolanD666 Posted March 4, 2021 Posted March 4, 2021 А для каких целей у вас 172.16.10.0/24 подсеть? Почему просто не сделать на микротике роут через 24.220? Вставить ник Quote
CbIP Posted March 4, 2021 Author Posted March 4, 2021 (edited) Пробовал прописать в микротике IP - Routes - Add. Прописываю Dst. address: 172.16.1.0/24 Gateway: 192.168.24.220. при попытке пинга 172. 16.1.25 пишет: Ответ от 192.168.24.220: Превышен срок жизни (TTL) при передаче пакета. Цитата А для каких целей у вас 172.16.10.0/24 подсеть? Думаю потому что так настроены VipNet coordinator'ы админами гл. офиса. Мне выдали настройки, что бы в каждой сетевой прописал доп IP и шлюз, а так же прописал роут через командную строку. У меня получается сеть 172.16.10.0/24 с шлюзом 172.16.10.1 Edited March 4, 2021 by CbIP Вставить ник Quote
jffulcrum Posted March 4, 2021 Posted March 4, 2021 6 часов назад, CbIP сказал: Ping на 172.16.1.0/24 не проходит, ресурсы не доступны А для этой сети есть правило forward в Ip-Firewall? Вставить ник Quote
lugoblin Posted March 4, 2021 Posted March 4, 2021 Вижу некоторые странности в схеме сети. Здорово что вы картинку сделали, позволяет оценить масштаб бедствия. Основная проблема в том, что у вас в одном и том-же сегменте используются адреса из разных блоков 192.168.24.0/24 и 172.16.10.0/24. Это работоспособно, но как только требуется маршрутизация между ними, начинаются странности. Если следовать текущей схеме, которая, судя по всему, идёт из головного оффиса, то придётся присваивать по второй адрес и дополнительный маршрут каждому устройству, которому нужен доступ в Интернет и в головной оффис. Если это решение по какой-то причине меприемлемо, то по дефолту следует озадачить админов сети головного оффиса, и следовать их рекомендациям и указаниям. 6 hours ago, CbIP said: на микротике попробовал добавить маршрут так: IP - Routes - Add. Прописываю Dst. address: 172.16.1.0/24 Gateway: 172.16.10.1 но так не работает. На компьютерах вы прописываете второй адрес и статический маршрут, а на микротике только статический маршрут. Если вы добавите микротику адрес из сети 172.16.10.0/24, то он (микротик), возможно, сможет достучаться до 172.16.1.0/24. Тем не менее, компьютерам у которых адрес ТОЛЬКО из 192.168.24.0/24 это, скорее всего, не поможет, т.к. удалённая сеть ничего не знаeт про 192.168.24.0/24. Там будут либо отбрасывать пакеты исходящие из вашей сети 192.168.24.0/24, либо не смогут правильно смаршрутизировать ответные пакеты. В принципе, "не прописывать на каждом компьютере филиала" МОЖНО заставить работать и при текущей топологии, внедрив некоторое количество хаков, но такое решение будет обладать общими недостатками любых костылей, а именно: - Хрупкость. Будет ломаться от невинных, казалось бы, изменений. - Трудоёмкость в поддержке. Муторный траблшутинг при неполадках. - Трудоёмкость в развитии. Возрастающая сложность внедрения других изменений. По хорошему, решение "не прописывать на каждом компьютере филиала" надо координировать с головным оффисом. Если у вас рабочие отношения с ними не налажены и помощи от них ждать не приходится, а сеть "причесать" хочется и есть свобода для самодеятельности, то я бы смотрел в сторону изменения топологии вашей локальной сети. По крайней мере, надо сделать чтобы 172.16.10.0/24 и 192.168.24.0/24 не жили в одном сегменте. Можно упразднить 172.16.10.0/24 и о оставить только 192.168.24.0/24. Можно оставить 172.16.10.0/24 а упразднить 192.168.24.0/24. Можно оставить обе сети, но изолировать их друг от друга, причём микротик может быть шлюзом для них обоих сетей. 6 hours ago, CbIP said: так настроены VipNet coordinator'ы админами гл. офиса. Мне выдали настройки, что бы в каждой сетевой прописал доп IP и шлюз, а так же прописал роут через командную строку. Я так понимаю, что VipNet Coordinator находится в зоне ответственности головного оффиса и его администрацией занимаются они. Кроме настроек адресов и маршрутов в 172.16..., они требуют чего-то конкретного относительно 192.168.24.0/24? Например, что доступ в Интернет для VipNet Coordinator должен идти НЕ через 172.16.10.0/24. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.