Объединение подсетей через сторонний L3VPN

RIP, OSFP, BGP, MPLS/VPLS
Ответить
Аватара пользователя
skif-by
Сообщения: 8
Зарегистрирован: 02 мар 2017, 14:49

Объединение подсетей через сторонний L3VPN

Сообщение skif-by »

Приветствую всех. Вопросик такой: есть vpn соединение (от Белтелекома) между 2-мя точками, с одной стороны адресация x.x.x.x/24 с другой y.y.y.y/24, шлюзы x.x.x.1 и y.y.y.1 соответственно. Для vpn со стороны Белтелекома включен access list, т.е. пропускает в vpn только трафик из указанных подсетей (x.x.x.x и y.y.y.y). За этими VPN у меня подсети z.z.z.z/24 и w.w.w.w/24, менять свои подсети ОООООЧЧЧЧЧЕЕЕЕЕНННЬЬЬЬ, мягко говоря, не хочется, и поменять настройки самого vpn под мои нужды тоже не могу (есть с этим делом определённые трудности, суть не в этом)... Есть 2 микротика (rb750gr3) с двух сторон... "Повесил" ip из подсетей vpn на порты микротиков, добавил маршруты - микротики интерфейсы друг-друга пингуют, понимаю, что для того чтобы "обойти" access list нужен маскарадинг... включил маскарадинг - из своих рабочих подсетей z.z.z.z/24 и w.w.w.w/24 пингую только интерфейсы микротиков с ip из vpn подсетей (x.x.x.x/24 и y.y.y.y/24) дальше пакеты не проходят. Настроить всё это полностью не хватает знаний... Может не совсем "гладко" и правильно объяснил суть...Кто поможет советом?
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: nat и реальный адрес

Сообщение Chupaka »

Выделил всё же в отдельную тему - незачем толпиться в одной, чай, не Руборд :)

Вообще не объяснили суть. "Дальше пакеты не проходят" - куда "дальше"? Вы пингуете z.z.z.z из w.w.w.w? Ну так сами сказали, что БТК их режет :)

А L2VPN они не дадут?

Можно, например, просто поднять какой-нибудь тоннель между роутербордами - и в нём гонять трафики.

Или включить Proxy-ARP на роутербордах, сделать NAT 1:1 в обе стороны - и ходить из z.z.z.z в w.w.w.w, при этом роутерборды будут это в x.x.x.x/y.y.y.y прозрачно преобразовывать

Какой вариант интереснее?
Аватара пользователя
skif-by
Сообщения: 8
Зарегистрирован: 02 мар 2017, 14:49

Re: Объединение подсетей через сторонний L3VPN

Сообщение skif-by »

Вообще не объяснили суть. "Дальше пакеты не проходят" - куда "дальше"? Вы пингуете z.z.z.z из w.w.w.w? Ну так сами сказали, что БТК их режет :)
именно так. пингую z.z.z.z из w.w.w.w. И я упомянул, что "понимаю, что нужен маскарадинг, чтобы микротики преобразовывали (натировали) пакеты из моих действующих подсетей..."
Аватара пользователя
skif-by
Сообщения: 8
Зарегистрирован: 02 мар 2017, 14:49

Re: Объединение подсетей через сторонний L3VPN

Сообщение skif-by »

Можно, например, просто поднять какой-нибудь тоннель между роутербордами - и в нём гонять трафики.
именно так я сделал - поднял gre тоннель, добавил маршруты и всё работает отлично,
но на самом деле "проблема" немного обширнее: точек у меня не 2, а 7 и может быть ещё больше, так что перспектива настраивать тоннели между всеми точками меня как-то не радует... А 2 точки я указал, чтобы было проще объяснить.
Или включить Proxy-ARP на роутербордах, сделать NAT 1:1 в обе стороны - и ходить из z.z.z.z в w.w.w.w, при этом роутерборды будут это в x.x.x.x/y.y.y.y прозрачно преобразовывать
видимо это то, что мне нужно - говорю же, что не хватает знаний для реализации... Но я над этим работаю :D
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Объединение подсетей через сторонний L3VPN

Сообщение Chupaka »

Тогда пусть в точке А будут адреса БТК 1.0.1.0/24, локальные 192.168.1.0/24.

На интерфейсах, глядящих в БТК, ставим ARP в Proxy-ARP, в нат пишем:

/ip fi nat
add chain=srcnat out-interface=БТК src-address=192.168.1.0/24 action=netmap to-addresses=1.0.1.0/24
add chain=dst-nat in-interface=БТК dst-address=1.0.1.0/24 action=netmap to-addresses=192.168.1.0/24

На других точках аналогично
Аватара пользователя
skif-by
Сообщения: 8
Зарегистрирован: 02 мар 2017, 14:49

Re: Объединение подсетей через сторонний L3VPN

Сообщение skif-by »

не взлетело :(
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Объединение подсетей через сторонний L3VPN

Сообщение Chupaka »

Сразу всё стало ясно, ага. Роутер в розетку воткнут? А то мало ли...

Трассировку хотя бы в студию, что ли. С чем работать-то?
Аватара пользователя
skif-by
Сообщения: 8
Зарегистрирован: 02 мар 2017, 14:49

Re: Объединение подсетей через сторонний L3VPN

Сообщение skif-by »

с компьютера трассировка "заканчивается" на первом шаге, т.е. локальном ip микротика. а с микротика вот
# ADDRESS LOSS SENT LAST AVG BEST
1 100% 3 timeout
2 100% 3 timeout
3 100% 3 timeout
4 100% 3 timeout
5 100% 3 timeout
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Объединение подсетей через сторонний L3VPN

Сообщение Chupaka »

Странновато как-то. И на адрес удалённого мелкотика пинга нет?

А можно удалённый доступ, хотя бы на чтение?
Аватара пользователя
skif-by
Сообщения: 8
Зарегистрирован: 02 мар 2017, 14:49

Re: Объединение подсетей через сторонний L3VPN

Сообщение skif-by »

Chupaka писал(а): 04 мар 2017, 04:07 Странновато как-то. И на адрес удалённого мелкотика пинга нет?

А можно удалённый доступ, хотя бы на чтение?
пока не включен dst-nat - пинги с одного на другой мелкотик проходят до wan-люза(x.x.x.1 и y.y.y.1) и wan-ip(x.x.x.2 и y.y.y.2) друг друга, после того, как dst-nat включаю - пинги проходят только до шлюзов с одной и с другой стороны. На счёт доступа...пока видимо нет, попробую сам "добить". Спасибо за участие :) .
Последний раз редактировалось skif-by 06 мар 2017, 11:09, всего редактировалось 1 раз.
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Объединение подсетей через сторонний L3VPN

Сообщение Chupaka »

Тогда снифер в руки - и смотреть, уходят и приходят ли вообще пакеты (для получения в такой ситуации и нужен Proxy-ARP)

З.ы. после включения правила dst-nat пакеты к x.x.x.2 перенаправляются на z.z.z.2 - там есть кто-нибудь?
Аватара пользователя
skif-by
Сообщения: 8
Зарегистрирован: 02 мар 2017, 14:49

Re: Объединение подсетей через сторонний L3VPN

Сообщение skif-by »

Короче говоря отказался я от идеи с arp-proxy...заюзал проверенное решение с туннелем... Кстати возможно с arp-proxy не получилось потому, что после преобразования ip из одной подсети в другую на порту этот преобразованный ip "висит" с mac 00:00:00:00:00:00, а с таким маком по сетям Белтелекома точно не "пройдёшь". Либо это так работает arp-proxy в mikrotik`e :?:
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Объединение подсетей через сторонний L3VPN

Сообщение Chupaka »

Что-то не то там происходит. MAC висеть не должен - это же адрес в удалённой подсети, а не на интерфейсе маршрутизатора. Он должен маршрутизироваться на шлюз БТК. Если нулевой МАК висит в ARP-записях - значит, роутер его пытается найти в непосредственной близости к себе, прямо на интерфейсе...

Proxy-ARP - это когда роутер отвечает на ARP-запросы, приходящие от БТК, своим MAC-адресом, потому что знает, что такие адреса он обслуживает. Схему уже реализовали и забросили, или хочется ещё поэкспериментировать? :) А то у меня есть пара идей :D
Аватара пользователя
skif-by
Сообщения: 8
Зарегистрирован: 02 мар 2017, 14:49

Re: Объединение подсетей через сторонний L3VPN

Сообщение skif-by »

Chupaka писал(а): 20 мар 2017, 14:27 Proxy-ARP - это когда роутер отвечает на ARP-запросы, приходящие от БТК, своим MAC-адресом, потому что знает, что такие адреса он обслуживает. Схему уже реализовали и забросили, или хочется ещё поэкспериментировать? :) А то у меня есть пара идей :D
Я так полагаю, что не только на запросы, приходящие от БТК, но и на запросы устройств в локалке.
Схему реализовал, всё запущено в эксплуатацию... Пока опыты не на ком ставить :lol: . Появятся ещё точки, можно и поэкспериментировать.
Ответить