Объединение двух площадок по VPN через микротик на третьей

[pminaeff]

Добрый день!

Есть два относительно отдаленных помещения, с контроллерами скуд(компьютер для управления этими контроллерами стоит на одной из площадок) и видеонаблюдением, есть два роутера кинетик спидстер.

На сегодняшний день два роутера связаны опенконнектом (облачный впн от кинетика) и поверх стоит EOIP.

Столкнулись с тем, что данный впн часто отваливается и долго поднимает соединение, плюс невозможно просматривать записи с камер, очень сильные тормоза.

 

Уже не знаю как подойти и решить проблему, т.к. роутеры работают на мобильном интернете, поэтому развернуть l2tp сервер или что-то в этом духе не получится.

 

Дома есть микротик 3011 с белым айпи. Накидал примерно схему как это будет выглядеть. Хочу использовать 3011 как l2tp-сервер, а кинетики как клиенты.

Но хочется сохранить EOIP для скуда между площадками...

 

Когда дошел до настройки маршрутов в микротике, то столкнулся, что не могу это реализовать, так как адресация сетей пересекается на кинетиках.

 

Подскажите, кто бы и как решил данную задачу?

Готов услышать ваши мнения и комментарии, но прошу замену роутеров или контроллеров скуд не предлагать

 

Не знаю как изменить сообщение. На схеме опечатка. где спидстеры, там не ВПН сервер, а ВПН клиент

[jffulcrum]

Третья нога (в предлагаемом формате колхоза) тут ничего не улучшит, только ухудшит. Если надо L2 и плоскую сеть - ищите способы связать помещения напрямую, хотя бы и по радио - рисуете карту, и в раздел беспроводных технологий. В крайнем случае есть решения L2 каналов от сотовых операторов же - private apn, отд.коробки с антеннами, работающие как радиомост, вопрос бюджета.

[pminaeff]

В теории можно уйти от L2…

 

единственное, есть скуд эра v1, у которых нет физического айпи. Как пробросить через впн работу между двумя роутерами кинетик, пока не пойму…. У микротика есть арп прокси…

Контроллеры раз в 20 секунд обмениваются информацией с сервером с «виртуального» айпи. Прикладываю фото.

 

может я вообще в корне не прав и можно смаршрутизировать данные айпишники…

[naves]

Так, а зачем вам вообще настраивать маршруты на центральном роутере, если вы можете поднять:

"Но хочется сохранить EOIP для скуда между площадками."

Просто в настройках EOIP укажите VPN-адреса роутеров

10.99.1.11 - филиал раз

10.99.1.12 - филилал двас

Центральный роутер знает и видит только адреса внутри тоннеля, больше ему и не надо.

Клиентские роутерам дать дополнительный маршрут на VPN-адреса внутрь vpn тоннеля. 10.99.1.0/24

---

На центральном роутере можете добавить маршруты

Network:   192.168.0.0/25 via 10.99.1.11

Network:   192.168.0.128/28 via 10.99.1.11

Network:   192.168.0.128/25 via 10.99.1.12

считайте сами

https://jodies.de/ipcalc?host=192.168.0.128&mask1=25&mask2=

---

По хорошему, нужно сразу менять адресацию.

первый объект 10.10.1.0

второй объект 10.10.2.0

 

можно придумать горстку костылей с использованием NAT

например роутеры подключаются к центральному микротику и получают адреса

10.99.1.11 - филиал раз

10.99.1.12 - филилал двас

на каждом кинетике делается проброс NAT портов, типа таких

10.99.1.11:30666 -> 192.168.0.30:666

Далее в управляющем софте, вы указываете не адрес 192.168.0.30, а внешний адрес NAT 10.66.66.1

Но это такой дикий костылинг....

 

Ну и самое интересное, сейчас впн-ы рандомно отключают, блокируют, а у вас еще и вообще "на мобильном интернете"

Сегодня не работает l2tp, но работает IPsec, переключаемся. Через неделю падает IPsec, включаем openconnect. Проходит месяц, openconnect подключается, но скорость 10кб/с, но заработал IPsec, и так по кругу.

В старые времена некоторые операторы прямом текстом говорили, хотите чтобы работал исходящий впн, подключайте выделенный IP-адрес. То ли деньги вымогали, то ли просто слышали слово ВПН и не слышали слово исходящий.

---

Edited December 4, 2025 by naves

[Saab95]

21 час назад, pminaeff сказал:

Готов услышать ваши мнения и комментарии, но прошу замену роутеров или контроллеров скуд не предлагать

Если все роутеры установить микротик задачу можно легко решить.

 

Для работы IP протоколов устанавливаете в каждом офисе IP адреса поштучно, тогда менять настройки адресов и придумывать новые адреса не потребуется. Обмен маршрутами через OSPF, что бы не настраивать ничего руками. Естественно потребуется правило для заворота внутренних адресов в туннель, а запросы на IP не внутренней сети уже пойдут в интернет.

[naves]

3 minutes ago, Saab95 said:

Для работы IP протоколов устанавливаете в каждом офисе IP адреса поштучно, тогда менять настройки адресов и придумывать новые адреса не потребуется. Обмен маршрутами через OSPF, что бы не настраивать ничего руками. Естественно потребуется правило для заворота внутренних адресов в туннель, а запросы на IP не внутренней сети уже пойдут в интернет.

Ничего непонятно, но очень интересно, можете показать пример конфига? Или как всегда?

[pminaeff]

14 часов назад, naves сказал:

Так, а зачем вам вообще настраивать маршруты на центральном роутере, если вы можете поднять:

"Но хочется сохранить EOIP для скуда между площадками."

Просто в настройках EOIP укажите VPN-адреса роутеров

10.99.1.11 - филиал раз

10.99.1.12 - филилал двас

Центральный роутер знает и видит только адреса внутри тоннеля, больше ему и не надо.

Клиентские роутерам дать дополнительный маршрут на VPN-адреса внутрь vpn тоннеля. 10.99.1.0/24

 

В целом так и было...

Что сейчас имеем:

От клиента 10.99.1.11 пинг проходит до 10.99.1.1, но не проходит до 10.99.1.12

От клиента 10.99.1.12 пинг проходит до 10.99.1.1, но не проходит до 10.99.1.11

EOIP подключение на кинетиках поднимается, но трафик идет только исходящий, во входящем 0 байт, между клиентами пинга нет.

 

Я так понимаю, что микротик я больше не трогаю, мне надо ковыряться в кинетиках?

 

Единственное, еще, заметил, что когда на кинетиках добавляю "Пользовательский маршрут" и выбираю "Маршрут до сети", при сохранении он ставит "Маршрут до узла"

[naves]

1 hour ago, pminaeff said:

Я так понимаю, что микротик я больше не трогаю, мне надо ковыряться в кинетиках?

На микротике через torch на интерфейсах в сторону каждого кинетика смотрите какие идут пакеты. Или неправильный маршрут со стороны кинетиков, или сам микротик не маршрутизирует пакеты между VPN-интерфейсами по какой-то причине.

[pminaeff]

Пинг с кинетика на микротик идет.

Пинг с микротика на кинетик идет

 

На микротике при VPN выдаются адреса 10.99.1.0/32, а не 10.99.1.0/24

В этом не может быть причины?

[pminaeff]

10.99.1.11/32

192.168.8.1

Подключение Ethernet

Я предполагаю что тут ошибка в маршруте... по идее надо вместо 192.168.8.1 указать 10.99.1.1

не понимаю как удалить отсюда маршрут и поставить тот, который на мой взгляд правильный

[pminaeff]

Чуть подправил подключение EOIP, не уверен что правильно, но в таком виде пошли пинги между 10.99.1.11 и 10.99.1.12

Но, если постучаться например по 192.168.0.1 с 192.168.0.230, то нет ответа...

Может какие-то еще маршруты прописать?

 

[naves]

А раньше как EoIP работал? Какие настройки были?

За что отвечают параметры между галочками включить сегмент - включить IPsec? По идее здесь должны быть внутренние адреса филиалов, но по факту ничего не понятно.

Edited December 5, 2025 by naves

[pminaeff]

Раньше через опенконнект поднимался ВПН и далее прикручивалось еойапи. 

Прикладываю скрины.

айписек это шифрование. можно к еоайпи прикрутить шифрование.

"Включить в сегмент" тут можно указать через какой интерфейс поднимать коннект. Если поставить так же "Домашняя сеть", то он маршрут строит через симкарту и пинги между 10.99.1.0 не идут.... возможно надо указать еще какие-то маршруты...

[pminaeff]

Добрый день!

Обновил кинетики до версии 5.0.2 и заработало... Видимо что-то в прошивке поправили.

 

Но есть нюанс) если перезагрузить сначала роутер, который как клиент 10.99.1.11, а потом 10.99.1.12, то всё поднимается и работает.

Если наоборот, то не работает.

 

Пока больше вопросов к стабильности, чем ответов)