MikroTik + 2 сетки и 1 провайдер

[zefor]

Помогите пожалуйста с настройкой.

Имеется небольшая локалка с двумя подсетями Lan1 и Lan2, и провайдер WAN который раздаёт красноглазикам доступ в инет по VPN l2tp без ipsec.

Надо чтобы Lan1 и Lan2 видели друг друга в сети при подключенном VPN от провайдера. Или чтобы Lan1 видел ip:10.10.9.6

[Ivan_83]

Настраивайте маршрутизацию и фаервол.

[zefor]

Ну я так и думал, но можно чуть по подробнее? Микротиком недавно пользуюсь, и по гуглу ничего толком не нашел.

Зарание благодарю.

[Ivan_83]

Сколько было исходных данных в вопросе на столько же подробный ответ вы и получили.

[Ilya Evseev]

Модель Микротика в студию.

1) Если в ней есть чип коммутатора, нужно в поле "master port" указать "none" для всех ether-интерфейсов.

2) Назначаются IP-адреса 10.10.* на ether2 и ether3 в IP=>Addresses.

После этого маршрутизация между локальными сегментами заработает автоматически.

3) Создаётся VPN-интерфейс

4) В Firewall=>Filter и Firewall=>NAT для VPN-интерфейса создаются такие же правила, как для ether1.

[zefor]

Стоит RB750 его для задач вполне хватает.

ether 2 смотрит в Lan1, через этот же порт стоит vlan для Lan2

ether 3 смотрит в сторону провайдера

накручено все это маршрутизацией без использования NAT

С ether 1 микротик работает только с NAT, без него никак не хочет. Пришлось кинуть на ether 3 все заработало замечательно.

Мне нужно чтобы клиенты цепляясь к vpn от провайдера, видели с одной локальной сети другую и наоборот. При подключение к vpn от провайдера маршруты меняются и не видно другую подсеть.

[Ilya Evseev]

С ether 1 микротик работает только с NAT, без него никак не хочет. Пришлось кинуть на ether 3 все заработало замечательно.

/IP/Firewall/NAT - надо было сделать Disable для правила ether1:srcnat:masquerading

 

Мне нужно чтобы клиенты цепляясь к vpn от провайдера, видели с одной локальной сети другую и наоборот.

При подключение к vpn от провайдера маршруты меняются и не видно другую подсеть.

К провайдеру должен подключаться Микротик, а клиенты должны всё маршрутизировать только на Микротик. imho.

[zefor]

К провайдеру должен подключаться Микротик, а клиенты должны всё маршрутизировать только на Микротик. imho.

У клиентов из подсети 10.10.8.0/24 шлюз прописывают 10.10.8.1 и аналогично с другой подсети 10.10.9.0/24 шлюз прописывают 10.10.9.1,

10.10.8.1 ip адрес на vlan и 10.10.9.1 ip адрес на Ether2

Если только сам клиент сам не пропишет маршрут до другой сети, то не увидит её с подключенным vpn. К примеру такой "route add 10.10.9.0 mask 255.255.255.0 10.10.8.1" и клиент с другой сети должен прописать "route add 10.10.8.0 mask 255.255.255.0 10.10.9.1" тогда все замечательно между этими клиентами в сети с подключенным vpn.

[zefor]

Микротик же, не должен подключаться к провайдеру по каким либо vpn. Он просто выполняет роль граничащего маршрутизатора, давая доступ к vpn серверу на адрес xxx.xxx.45.1

[Ilya Evseev]

Если только сам клиент сам не пропишет маршрут до другой сети, то не увидит её с подключенным vpn.

К примеру такой "route add 10.10.9.0 mask 255.255.255.0 10.10.8.1"

и клиент с другой сети должен прописать "route add 10.10.8.0 mask 255.255.255.0 10.10.9.1"

тогда все замечательно между этими клиентами в сети с подключенным vpn.

route надо один раз вызвать с ключом "-p".

[zefor]

Не все пользователи могут таким способом воспользоваться, пока сам к ним не придешь и налячкаешь. Ну или хотя бы, .bat'ник с маршрутом расшарить.

Хотелось бы чтоб микротиком все разрулить.

Если через микротик вариант есть, то напишите пожалуйста. Заранее благодарен.

Всем спасибо.

[naves]

Хотелось бы чтоб микротиком все разрулить.

если впн-соединение устанавливают клиенты из этих подсетей, то микротиком маршруты уже не разрулить.

как вариант можно попробовать на клиентах указать маску сети /16, на микротике оставить /24 и включить arp-proxy между интерфейсами клиентов.

но у клиентов без маршрутов все равно будет отваливаться сеть провайдера 192.168.