Страница 1 из 1
Объединение подсетей через сторонний L3VPN
Добавлено: 02 мар 2017, 16:54
skif-by
Приветствую всех. Вопросик такой: есть vpn соединение (от Белтелекома) между 2-мя точками, с одной стороны адресация x.x.x.x/24 с другой y.y.y.y/24, шлюзы x.x.x.1 и y.y.y.1 соответственно. Для vpn со стороны Белтелекома включен access list, т.е. пропускает в vpn только трафик из указанных подсетей (x.x.x.x и y.y.y.y). За этими VPN у меня подсети z.z.z.z/24 и w.w.w.w/24, менять свои подсети ОООООЧЧЧЧЧЕЕЕЕЕНННЬЬЬЬ, мягко говоря, не хочется, и поменять настройки самого vpn под мои нужды тоже не могу (есть с этим делом определённые трудности, суть не в этом)... Есть 2 микротика (rb750gr3) с двух сторон... "Повесил" ip из подсетей vpn на порты микротиков, добавил маршруты - микротики интерфейсы друг-друга пингуют, понимаю, что для того чтобы "обойти" access list нужен маскарадинг... включил маскарадинг - из своих рабочих подсетей z.z.z.z/24 и w.w.w.w/24 пингую только интерфейсы микротиков с ip из vpn подсетей (x.x.x.x/24 и y.y.y.y/24) дальше пакеты не проходят. Настроить всё это полностью не хватает знаний... Может не совсем "гладко" и правильно объяснил суть...Кто поможет советом?
Re: nat и реальный адрес
Добавлено: 02 мар 2017, 17:43
Chupaka
Выделил всё же в отдельную тему - незачем толпиться в одной, чай, не Руборд
Вообще не объяснили суть. "Дальше пакеты не проходят" - куда "дальше"? Вы пингуете z.z.z.z из w.w.w.w? Ну так сами сказали, что БТК их режет
А L2VPN они не дадут?
Можно, например, просто поднять какой-нибудь тоннель между роутербордами - и в нём гонять трафики.
Или включить Proxy-ARP на роутербордах, сделать NAT 1:1 в обе стороны - и ходить из z.z.z.z в w.w.w.w, при этом роутерборды будут это в x.x.x.x/y.y.y.y прозрачно преобразовывать
Какой вариант интереснее?
Re: Объединение подсетей через сторонний L3VPN
Добавлено: 02 мар 2017, 20:10
skif-by
Вообще не объяснили суть. "Дальше пакеты не проходят" - куда "дальше"? Вы пингуете z.z.z.z из w.w.w.w? Ну так сами сказали, что БТК их режет
именно так. пингую z.z.z.z из w.w.w.w. И я упомянул, что "понимаю, что нужен маскарадинг, чтобы микротики преобразовывали (натировали) пакеты из моих действующих подсетей..."
Re: Объединение подсетей через сторонний L3VPN
Добавлено: 02 мар 2017, 20:18
skif-by
Можно, например, просто поднять какой-нибудь тоннель между роутербордами - и в нём гонять трафики.
именно так я сделал - поднял gre тоннель, добавил маршруты и всё работает отлично,
но на самом деле "проблема" немного обширнее: точек у меня не 2, а 7 и может быть ещё больше, так что перспектива настраивать тоннели между всеми точками меня как-то не радует... А 2 точки я указал, чтобы было проще объяснить.
Или включить Proxy-ARP на роутербордах, сделать NAT 1:1 в обе стороны - и ходить из z.z.z.z в w.w.w.w, при этом роутерборды будут это в x.x.x.x/y.y.y.y прозрачно преобразовывать
видимо это то, что мне нужно - говорю же, что не хватает знаний для реализации... Но я над этим работаю
Re: Объединение подсетей через сторонний L3VPN
Добавлено: 02 мар 2017, 20:59
Chupaka
Тогда пусть в точке А будут адреса БТК 1.0.1.0/24, локальные 192.168.1.0/24.
На интерфейсах, глядящих в БТК, ставим ARP в Proxy-ARP, в нат пишем:
/ip fi nat
add chain=srcnat out-interface=БТК src-address=192.168.1.0/24 action=netmap to-addresses=1.0.1.0/24
add chain=dst-nat in-interface=БТК dst-address=1.0.1.0/24 action=netmap to-addresses=192.168.1.0/24
На других точках аналогично
Re: Объединение подсетей через сторонний L3VPN
Добавлено: 02 мар 2017, 23:38
skif-by
не взлетело
Re: Объединение подсетей через сторонний L3VPN
Добавлено: 03 мар 2017, 02:15
Chupaka
Сразу всё стало ясно, ага. Роутер в розетку воткнут? А то мало ли...
Трассировку хотя бы в студию, что ли. С чем работать-то?
Re: Объединение подсетей через сторонний L3VPN
Добавлено: 03 мар 2017, 02:27
skif-by
с компьютера трассировка "заканчивается" на первом шаге, т.е. локальном ip микротика. а с микротика вот
# ADDRESS LOSS SENT LAST AVG BEST
1 100% 3 timeout
2 100% 3 timeout
3 100% 3 timeout
4 100% 3 timeout
5 100% 3 timeout
Re: Объединение подсетей через сторонний L3VPN
Добавлено: 04 мар 2017, 04:07
Chupaka
Странновато как-то. И на адрес удалённого мелкотика пинга нет?
А можно удалённый доступ, хотя бы на чтение?
Re: Объединение подсетей через сторонний L3VPN
Добавлено: 05 мар 2017, 12:25
skif-by
Chupaka писал(а): ↑04 мар 2017, 04:07
Странновато как-то. И на адрес удалённого мелкотика пинга нет?
А можно удалённый доступ, хотя бы на чтение?
пока не включен dst-nat - пинги с одного на другой мелкотик проходят до wan-люза(x.x.x.1 и y.y.y.1) и wan-ip(x.x.x.2 и y.y.y.2) друг друга, после того, как dst-nat включаю - пинги проходят только до шлюзов с одной и с другой стороны. На счёт доступа...пока видимо нет, попробую сам "добить". Спасибо за участие
.
Re: Объединение подсетей через сторонний L3VPN
Добавлено: 05 мар 2017, 23:03
Chupaka
Тогда снифер в руки - и смотреть, уходят и приходят ли вообще пакеты (для получения в такой ситуации и нужен Proxy-ARP)
З.ы. после включения правила dst-nat пакеты к x.x.x.2 перенаправляются на z.z.z.2 - там есть кто-нибудь?
Re: Объединение подсетей через сторонний L3VPN
Добавлено: 20 мар 2017, 12:57
skif-by
Короче говоря отказался я от идеи с arp-proxy...заюзал проверенное решение с туннелем... Кстати возможно с arp-proxy не получилось потому, что после преобразования ip из одной подсети в другую на порту этот преобразованный ip "висит" с mac 00:00:00:00:00:00, а с таким маком по сетям Белтелекома точно не "пройдёшь". Либо это так работает arp-proxy в mikrotik`e
Re: Объединение подсетей через сторонний L3VPN
Добавлено: 20 мар 2017, 14:27
Chupaka
Что-то не то там происходит. MAC висеть не должен - это же адрес в удалённой подсети, а не на интерфейсе маршрутизатора. Он должен маршрутизироваться на шлюз БТК. Если нулевой МАК висит в ARP-записях - значит, роутер его пытается найти в непосредственной близости к себе, прямо на интерфейсе...
Proxy-ARP - это когда роутер отвечает на ARP-запросы, приходящие от БТК, своим MAC-адресом, потому что знает, что такие адреса он обслуживает. Схему уже реализовали и забросили, или хочется ещё поэкспериментировать?
А то у меня есть пара идей
Re: Объединение подсетей через сторонний L3VPN
Добавлено: 20 мар 2017, 17:00
skif-by
Chupaka писал(а): ↑20 мар 2017, 14:27
Proxy-ARP - это когда роутер отвечает на ARP-запросы, приходящие от БТК, своим MAC-адресом, потому что знает, что такие адреса он обслуживает. Схему уже реализовали и забросили, или хочется ещё поэкспериментировать?
А то у меня есть пара идей
Я так полагаю, что не только на запросы, приходящие от БТК, но и на запросы устройств в локалке.
Схему реализовал, всё запущено в эксплуатацию... Пока опыты не на ком ставить
. Появятся ещё точки, можно и поэкспериментировать.