Объединение подсетей через сторонний L3VPN
-
- Сообщения: 8
- Зарегистрирован: 02 мар 2017, 14:49
Объединение подсетей через сторонний L3VPN
Приветствую всех. Вопросик такой: есть vpn соединение (от Белтелекома) между 2-мя точками, с одной стороны адресация x.x.x.x/24 с другой y.y.y.y/24, шлюзы x.x.x.1 и y.y.y.1 соответственно. Для vpn со стороны Белтелекома включен access list, т.е. пропускает в vpn только трафик из указанных подсетей (x.x.x.x и y.y.y.y). За этими VPN у меня подсети z.z.z.z/24 и w.w.w.w/24, менять свои подсети ОООООЧЧЧЧЧЕЕЕЕЕНННЬЬЬЬ, мягко говоря, не хочется, и поменять настройки самого vpn под мои нужды тоже не могу (есть с этим делом определённые трудности, суть не в этом)... Есть 2 микротика (rb750gr3) с двух сторон... "Повесил" ip из подсетей vpn на порты микротиков, добавил маршруты - микротики интерфейсы друг-друга пингуют, понимаю, что для того чтобы "обойти" access list нужен маскарадинг... включил маскарадинг - из своих рабочих подсетей z.z.z.z/24 и w.w.w.w/24 пингую только интерфейсы микротиков с ip из vpn подсетей (x.x.x.x/24 и y.y.y.y/24) дальше пакеты не проходят. Настроить всё это полностью не хватает знаний... Может не совсем "гладко" и правильно объяснил суть...Кто поможет советом?
-
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: nat и реальный адрес
Выделил всё же в отдельную тему - незачем толпиться в одной, чай, не Руборд
Вообще не объяснили суть. "Дальше пакеты не проходят" - куда "дальше"? Вы пингуете z.z.z.z из w.w.w.w? Ну так сами сказали, что БТК их режет
А L2VPN они не дадут?
Можно, например, просто поднять какой-нибудь тоннель между роутербордами - и в нём гонять трафики.
Или включить Proxy-ARP на роутербордах, сделать NAT 1:1 в обе стороны - и ходить из z.z.z.z в w.w.w.w, при этом роутерборды будут это в x.x.x.x/y.y.y.y прозрачно преобразовывать
Какой вариант интереснее?
Вообще не объяснили суть. "Дальше пакеты не проходят" - куда "дальше"? Вы пингуете z.z.z.z из w.w.w.w? Ну так сами сказали, что БТК их режет
А L2VPN они не дадут?
Можно, например, просто поднять какой-нибудь тоннель между роутербордами - и в нём гонять трафики.
Или включить Proxy-ARP на роутербордах, сделать NAT 1:1 в обе стороны - и ходить из z.z.z.z в w.w.w.w, при этом роутерборды будут это в x.x.x.x/y.y.y.y прозрачно преобразовывать
Какой вариант интереснее?
-
- Сообщения: 8
- Зарегистрирован: 02 мар 2017, 14:49
Re: Объединение подсетей через сторонний L3VPN
именно так. пингую z.z.z.z из w.w.w.w. И я упомянул, что "понимаю, что нужен маскарадинг, чтобы микротики преобразовывали (натировали) пакеты из моих действующих подсетей..."Вообще не объяснили суть. "Дальше пакеты не проходят" - куда "дальше"? Вы пингуете z.z.z.z из w.w.w.w? Ну так сами сказали, что БТК их режет
-
- Сообщения: 8
- Зарегистрирован: 02 мар 2017, 14:49
Re: Объединение подсетей через сторонний L3VPN
именно так я сделал - поднял gre тоннель, добавил маршруты и всё работает отлично,Можно, например, просто поднять какой-нибудь тоннель между роутербордами - и в нём гонять трафики.
но на самом деле "проблема" немного обширнее: точек у меня не 2, а 7 и может быть ещё больше, так что перспектива настраивать тоннели между всеми точками меня как-то не радует... А 2 точки я указал, чтобы было проще объяснить.
видимо это то, что мне нужно - говорю же, что не хватает знаний для реализации... Но я над этим работаюИли включить Proxy-ARP на роутербордах, сделать NAT 1:1 в обе стороны - и ходить из z.z.z.z в w.w.w.w, при этом роутерборды будут это в x.x.x.x/y.y.y.y прозрачно преобразовывать
-
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Объединение подсетей через сторонний L3VPN
Тогда пусть в точке А будут адреса БТК 1.0.1.0/24, локальные 192.168.1.0/24.
На интерфейсах, глядящих в БТК, ставим ARP в Proxy-ARP, в нат пишем:
/ip fi nat
add chain=srcnat out-interface=БТК src-address=192.168.1.0/24 action=netmap to-addresses=1.0.1.0/24
add chain=dst-nat in-interface=БТК dst-address=1.0.1.0/24 action=netmap to-addresses=192.168.1.0/24
На других точках аналогично
На интерфейсах, глядящих в БТК, ставим ARP в Proxy-ARP, в нат пишем:
/ip fi nat
add chain=srcnat out-interface=БТК src-address=192.168.1.0/24 action=netmap to-addresses=1.0.1.0/24
add chain=dst-nat in-interface=БТК dst-address=1.0.1.0/24 action=netmap to-addresses=192.168.1.0/24
На других точках аналогично
-
- Сообщения: 8
- Зарегистрирован: 02 мар 2017, 14:49
Re: Объединение подсетей через сторонний L3VPN
не взлетело
-
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Объединение подсетей через сторонний L3VPN
Сразу всё стало ясно, ага. Роутер в розетку воткнут? А то мало ли...
Трассировку хотя бы в студию, что ли. С чем работать-то?
Трассировку хотя бы в студию, что ли. С чем работать-то?
-
- Сообщения: 8
- Зарегистрирован: 02 мар 2017, 14:49
Re: Объединение подсетей через сторонний L3VPN
с компьютера трассировка "заканчивается" на первом шаге, т.е. локальном ip микротика. а с микротика вот
# ADDRESS LOSS SENT LAST AVG BEST
1 100% 3 timeout
2 100% 3 timeout
3 100% 3 timeout
4 100% 3 timeout
5 100% 3 timeout
# ADDRESS LOSS SENT LAST AVG BEST
1 100% 3 timeout
2 100% 3 timeout
3 100% 3 timeout
4 100% 3 timeout
5 100% 3 timeout
-
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Объединение подсетей через сторонний L3VPN
Странновато как-то. И на адрес удалённого мелкотика пинга нет?
А можно удалённый доступ, хотя бы на чтение?
А можно удалённый доступ, хотя бы на чтение?
-
- Сообщения: 8
- Зарегистрирован: 02 мар 2017, 14:49
Re: Объединение подсетей через сторонний L3VPN
пока не включен dst-nat - пинги с одного на другой мелкотик проходят до wan-люза(x.x.x.1 и y.y.y.1) и wan-ip(x.x.x.2 и y.y.y.2) друг друга, после того, как dst-nat включаю - пинги проходят только до шлюзов с одной и с другой стороны. На счёт доступа...пока видимо нет, попробую сам "добить". Спасибо за участие .
Последний раз редактировалось skif-by 06 мар 2017, 11:09, всего редактировалось 1 раз.
-
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Объединение подсетей через сторонний L3VPN
Тогда снифер в руки - и смотреть, уходят и приходят ли вообще пакеты (для получения в такой ситуации и нужен Proxy-ARP)
З.ы. после включения правила dst-nat пакеты к x.x.x.2 перенаправляются на z.z.z.2 - там есть кто-нибудь?
З.ы. после включения правила dst-nat пакеты к x.x.x.2 перенаправляются на z.z.z.2 - там есть кто-нибудь?
-
- Сообщения: 8
- Зарегистрирован: 02 мар 2017, 14:49
Re: Объединение подсетей через сторонний L3VPN
Короче говоря отказался я от идеи с arp-proxy...заюзал проверенное решение с туннелем... Кстати возможно с arp-proxy не получилось потому, что после преобразования ip из одной подсети в другую на порту этот преобразованный ip "висит" с mac 00:00:00:00:00:00, а с таким маком по сетям Белтелекома точно не "пройдёшь". Либо это так работает arp-proxy в mikrotik`e
-
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Объединение подсетей через сторонний L3VPN
Что-то не то там происходит. MAC висеть не должен - это же адрес в удалённой подсети, а не на интерфейсе маршрутизатора. Он должен маршрутизироваться на шлюз БТК. Если нулевой МАК висит в ARP-записях - значит, роутер его пытается найти в непосредственной близости к себе, прямо на интерфейсе...
Proxy-ARP - это когда роутер отвечает на ARP-запросы, приходящие от БТК, своим MAC-адресом, потому что знает, что такие адреса он обслуживает. Схему уже реализовали и забросили, или хочется ещё поэкспериментировать? А то у меня есть пара идей
Proxy-ARP - это когда роутер отвечает на ARP-запросы, приходящие от БТК, своим MAC-адресом, потому что знает, что такие адреса он обслуживает. Схему уже реализовали и забросили, или хочется ещё поэкспериментировать? А то у меня есть пара идей
-
- Сообщения: 8
- Зарегистрирован: 02 мар 2017, 14:49
Re: Объединение подсетей через сторонний L3VPN
Я так полагаю, что не только на запросы, приходящие от БТК, но и на запросы устройств в локалке.
Схему реализовал, всё запущено в эксплуатацию... Пока опыты не на ком ставить . Появятся ещё точки, можно и поэкспериментировать.