+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

VPN/IPSEC маршрутизация рядом с шлюзом по умолчанию, нужно 2 кабеля?

VPN/IPSEC маршрутизация рядом с шлюзом по умолчанию, нужно 2 кабеля?, RouterOS

andy1984

Guest

21.07.2020 21:00:00

Привет, Сообщество! Я хочу соединить два офиса, но не хочу заменять маршрутизаторы от провайдера или настраивать маршрутизаторы Mikrotik в качестве основных, так как это в основном VPN для обслуживания и не должно ничего трогать. У меня Hex устройства (RB750Gr3). Это в основном Site-to-Site VPN, и я добавил клиентов RoadWarrior (просто неillustrated), чтобы я мог также подключаться удаленно. Я настроил сеть, как показано выше, и подключил Mikrotik дважды к свичу: одно устройство — это "локальный" интерфейс, второе — "WAN" интерфейс, хотя они в одной сети. С соответствующими статическими маршрутами на основных маршрутизаторах провайдера я могу перенаправить трафик на устройства Mikrotik и маршрутизировать его через IPSEC туннель. IPSEC туннель настроен с конфигурациями режима, так что два Mikrotik знают друг о друге. У меня есть вопросы: действительно ли я должен использовать 2 подключения к Mikrotik, не могу ли я просто использовать 1 подключение и принимать трафик на этом подключении, а также отправлять его через IPSEC на том же подключении? Я не могу достучаться до маршрутизаторов провайдера с "другой" стороны VPN. Если я на клиенте 192.168.2.100, я не могу достучаться до 192.168.0.1. В принципе, это работает, просто я задавался вопросом, является ли это "новичковым бредом" или это единственный способ, если я не настраиваю маршрутизаторы Mikrotik в качестве основных, которые обрабатывают DHCP и принимают весь трафик, чтобы разместить их перед маршрутизаторами провайдера и настроить провайдер только в режим моста. С уважением, Энди.

andy1984

Guest

16.10.2020 18:52:00

Помогите, пожалуйста? Могу объяснить подробнее: главный вопрос в том, возможно ли избежать соединения Mikrotik с 2 кабелями к одной и той же локальной сети только из-за маршрутизации для IPSEC, ведь Mikrotik не является шлюзом по умолчанию и не роутером для самой локальной сети.

tippenring

Guest

16.10.2020 19:24:00

Нет, тебе не нужно 2 физических кабеля. Ты можешь настроить 2 VLAN на одном физическом порту. Конечно, твой коммутатор и маршрутизатор-шлюз также должны поддерживать VLAN в этом случае. Возможно, ты сможешь назначить 2 IP-адреса на одном интерфейсе и маршрутизировать через IPSec-политики таким образом. Я этого не делал и не стал бы пробовать, потому что это, скорее всего, потребует много времени на настройку, а также добавит ненужную сложность, что приведет к дополнительным временным затратам при устранении неполадок. Я просто говорю, что это может быть возможно. Удачи. К тому же, мне кажется, ты прилагаешь слишком много усилий, чтобы сэкономить один порт коммутатора. Если у тебя это работает, я бы оставил все как есть.

andy1984

Guest

16.10.2020 21:44:00

Да, всё верно. Слева 192.168.0.0/24 я подключаю RB двумя кабелями. "Главный" маршрутизатор, который обслуживает DHCP и имеет много настроенных статических назначений, трогать не следует - и мне нужен был способ всё равно подключиться к RB и настроить маршрутизацию… И, конечно, я понимаю, что это очень необычная и непривлекательная конфигурация - но я не смог найти другого решения, чтобы LAN-устройства и IPsec-туннель находились на одном интерфейсе, так что LAN-трафик заходит в ether1 и выходит из ether1 через IPsec. Вот почему это было настроено, и я не думал о VLAN, потому что вся конфигурация представляет собой типичную домашнюю сеть с базовыми устройствами Netgear.

andy1984

Guest

16.10.2020 21:46:00

Совершенно верно, я не выбирал делать это таким образом и не нашёл другого способа, чтобы LAN-трафик входил в ether1 и выходил из ether1 по IPSEC-туннелю. Я действительно не думал о VLAN, потому что сеть состоит только из устройств Netgear для дома, не уверен, поддерживают ли они вообще тегирование VLAN. Пока всё работает, я оставлю как есть, а, вероятно, при следующем изменении установлю Mikrotik в качестве основного маршрутизатора/DHCP-сервера, чтобы решить все эти странные маршруты.

Sob

Guest

16.10.2020 23:13:00

Ничего сложного, если начать с пустой конфигурации, то: /ip address
add address=192.168.0.251/24 interface=ether1
/ip route
add dst-address=0.0.0.0/0 gateway=192.168.0.1
/ip ipsec peer
add address=<site2address> name=site2
/ip ipsec identity
add peer=site2 secret=<something>
/ip ipsec policy
add peer=site2 src-address=192.168.0.0/24 dst-address=192.168.2.0/24 tunnel=yes Вот и все. Две строчки, если хочешь настроить шифрование, и еще немного правил для фаервола, если не хочешь разрешать неограниченный доступ.

andy1984

Guest

18.10.2020 19:02:00

Совершенно верно, проблема в том, что я хочу маршрутизировать и другие устройства в локальной сети, которые не подключены к Mikrotik RB. Поэтому у меня есть это решение с двумя кабелями: они "входят" в локальную сеть Mikrotik и "выходят" по тоннелю в WAN. В данный момент это работает, так что у меня нет другого решения, кроме как сделать Mikrotik основным шлюзом.

Sob

Guest

18.10.2020 21:28:00

Вот для чего нужен маршрут на главном маршрутизаторе. Если главный маршрутизатор получает пакет с адресом назначения 192.168.2.x, у него есть маршрут, который говорит отправлять такие пакеты на RB (192.168.0.251). RB получает пакет с источником 192.168.0.x и назначением 192.168.2.x, он соответствует политике, поэтому он шифруется и отправляется дальше. Проблем с входом и выходом на одном интерфейсе нет.

Sob Guest	#9 0 16.10.2020 19:45:00 Правильно ли я понимаю, что всё слева — это одно и то же 192.168.0.0/24, а всё справа — это тоже самое 192.168.2.0/24? И в обоих случаях ты каким-то образом дважды подключаешь одну и ту же сеть к RB? Это ... необычно. Также, вероятно, где-то между ненужным и неправильным.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры