Две локальные сети

RIP, OSFP, BGP, MPLS/VPLS
lends
Сообщения: 21
Зарегистрирован: 29 дек 2021, 21:40

Две локальные сети

Сообщение lends »

На микротике есть сеть 192.168.1.1 (где находятся несколько серверов и VPN IPSEC туннель с другим миротиком.
Есть так же сеть офиса которую содержит провайдер - 172.16.16.1 , в ней находятся рабочие станции, DHCP.
Хочу, чтобы компы из сети 172.16.16.1, увидели сервер за VPN IPSEC на другом микротике.
Провайдер готов дать один порт из свей сети.
Как мне прокинуть VPN в сеть - 172.16.16.1 ?
У вас нет необходимых прав для просмотра вложений в этом сообщении.
Аватара пользователя
Chupaka
Сообщения: 4083
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Две локальные сети

Сообщение Chupaka »

Дайте больше информации. А то у вас на рисунке я вижу один роутер, в описании - два. Кто является шлюзом по умолчанию у компов из сети 172.16.16.1? Он готов передать пакеты к серверу куда надо (в VPN или тому, кто их передаст в VPN)?
lends
Сообщения: 21
Зарегистрирован: 29 дек 2021, 21:40

Re: Две локальные сети

Сообщение lends »

Chupaka писал(а): 11 янв 2022, 01:06 Дайте больше информации. А то у вас на рисунке я вижу один роутер, в описании - два. Кто является шлюзом по умолчанию у компов из сети 172.16.16.1? Он готов передать пакеты к серверу куда надо (в VPN или тому, кто их передаст в VPN)?
У вас нет необходимых прав для просмотра вложений в этом сообщении.
Аватара пользователя
Chupaka
Сообщения: 4083
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Две локальные сети

Сообщение Chupaka »

Ну, тут вижу два варианта: либо провайдер маршрутизирует обращение к 192.168.2.100 на нижний роутер, либо нижний роутер получает IP в сети провайдера - и вы обращение к этому IP (например, по определённым портам) заворачиваете DST-NAT'ом на 192.168.2.100.
lends
Сообщения: 21
Зарегистрирован: 29 дек 2021, 21:40

Re: Две локальные сети

Сообщение lends »

Chupaka писал(а): 11 янв 2022, 02:39 Ну, тут вижу два варианта: либо провайдер маршрутизирует обращение к 192.168.2.100 на нижний роутер, либо нижний роутер получает IP в сети провайдера - и вы обращение к этому IP (например, по определённым портам) заворачиваете DST-NAT'ом на 192.168.2.100.
А как конкретно ?
Ну допустим, я в бридже сделаю 6 порт в сети 172.16.16.1 - а дальше как завернуть туда трафик из VPN ?
Это же разные сети .....
Аватара пользователя
Chupaka
Сообщения: 4083
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Две локальные сети

Сообщение Chupaka »

Как конкретно какой из двух вариантов? Мне сложно угадывать мысли, которые вы не хотите выражать.

Провайдера не надо подключать в бридж, это делается изолированным портом. А "завернёт" сама маршрутизация, вам только DST-NAT добавить надо. Ну и политики IPSec при необходимости.
lends
Сообщения: 21
Зарегистрирован: 29 дек 2021, 21:40

Re: Две локальные сети

Сообщение lends »

Chupaka писал(а): 11 янв 2022, 11:22 Как конкретно какой из двух вариантов? Мне сложно угадывать мысли, которые вы не хотите выражать.

Провайдера не надо подключать в бридж, это делается изолированным портом. А "завернёт" сама маршрутизация, вам только DST-NAT добавить надо. Ну и политики IPSec при необходимости.
Второй вариант.
То есть, я настраиваю изолированный порт в сеть провайдера, подключаю туда шнурок, настраиваю правило NAT ?
1. Какие настройки для изолированного порта ? - Я так понял нужно чтобы я получил по DHCP ip из его сети...?
2. Правило NAT как должно выглядеть ?
Спасибо.
Аватара пользователя
Chupaka
Сообщения: 4083
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Две локальные сети

Сообщение Chupaka »

1. Никаких настроек. Просто навесить DHCP-клиент на этот порт. Даже без Add default route.
2. Например, /ip firewall nat add chain=dstnat in-interface=Ethernet_ПОРТ dst-address-type=local action=dst-nat to-addresses=192.168.2.100

Чтобы только конкретный порт пробрасывать - добавить protocol=tcp dst-port=порт_tcp
Корпич
Сообщения: 79
Зарегистрирован: 06 июн 2019, 16:42

Re: Две локальные сети

Сообщение Корпич »

Нарисуют пол схемы, а потом не понятно как настроить :D
это первый вариант, считаем что роутер 192.168.1.1 знает про сеть 192.168.2.0/24
У вас нет необходимых прав для просмотра вложений в этом сообщении.
lends
Сообщения: 21
Зарегистрирован: 29 дек 2021, 21:40

Re: Две локальные сети

Сообщение lends »

Chupaka писал(а): 13 янв 2022, 00:26 1. Никаких настроек. Просто навесить DHCP-клиент на этот порт. Даже без Add default route.
2. Например, /ip firewall nat add chain=dstnat in-interface=Ethernet_ПОРТ dst-address-type=local action=dst-nat to-addresses=192.168.2.100

Чтобы только конкретный порт пробрасывать - добавить protocol=tcp dst-port=порт_tcp
Правильно понимаю, что этот порт в одном бридже я делаю ?
Пров говорит, что даст мне статический ip из своей сети - 172.16.16.99 - получается мне и dhcp на порт вешать не надо ?
Просто прописываю его в ip-adress -
172.16.16.99 ether5
192.168.1.1/24 ether2 (тут стоял bridge в настройках, а так как один из портов бриджа теперь в другой сети, то нужно указать только порт)
И делаю правило nat.
Два разных бриджа я думаю делать плохая идея - так как они потом не увидят друг друга .....?
Аватара пользователя
Chupaka
Сообщения: 4083
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Две локальные сети

Сообщение Chupaka »

lends писал(а): 13 янв 2022, 20:08 Правильно понимаю, что этот порт в одном бридже я делаю ?
Нет, его просто не надо добавлять ни в один бридж
lends писал(а): 13 янв 2022, 20:08 Пров говорит, что даст мне статический ip из своей сети - 172.16.16.99 - получается мне и dhcp на порт вешать не надо ?
Зависит от того, что он имеет в виду: то, что этот IP, выдаваемый DHCP, не будет меняться, или то, что вам его надо вручную настроить без DHCP.
lends писал(а): 13 янв 2022, 20:08 192.168.1.1/24 ether2 (тут стоял bridge в настройках, а так как один из портов бриджа теперь в другой сети, то нужно указать только порт)
Не вижу на схеме ether2, объяснение не понял, но на вашем рисунке серверы как будто подключены разными портами - предполагаю, нужен всё же bridge
lends писал(а): 13 янв 2022, 20:08 Два разных бриджа я думаю делать плохая идея - так как они потом не увидят друг друга .....?
Что значит "не увидят"? Маршрутизацию никто не отменял
lends
Сообщения: 21
Зарегистрирован: 29 дек 2021, 21:40

Re: Две локальные сети

Сообщение lends »

Сейчас так настроено - скрины.
Сервер пока один - 192.168.1.100, второй планируется только...
Пров сказал так - 172.16.16.99 назначать в ручную.
У вас нет необходимых прав для просмотра вложений в этом сообщении.
Аватара пользователя
Chupaka
Сообщения: 4083
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Две локальные сети

Сообщение Chupaka »

Значит, назначайте вручную. На ether5? Предварительно его удалив из бриджа.
lends
Сообщения: 21
Зарегистрирован: 29 дек 2021, 21:40

Re: Две локальные сети

Сообщение lends »

Да я хотел на ether5.
Понял спасибо.
lends
Сообщения: 21
Зарегистрирован: 29 дек 2021, 21:40

Re: Две локальные сети

Сообщение lends »

Chupaka писал(а): 13 янв 2022, 00:26 1. Никаких настроек. Просто навесить DHCP-клиент на этот порт. Даже без Add default route.
2. Например, /ip firewall nat add chain=dstnat in-interface=Ethernet_ПОРТ dst-address-type=local action=dst-nat to-addresses=192.168.2.100

Чтобы только конкретный порт пробрасывать - добавить protocol=tcp dst-port=порт_tcp
Попробовал сегодня сделать, как вы написали - пока не заработало...
Делал так :
1. ether5 удалил из бриджа
2. ip-adresses - назначил ether5 ip из сети прова 172.16.16.99
3. Добавил правило NAT - add action=dst-nat chain=dstnat dst-address-type=local dst-port=3389 in-interface=ether5 protocol=tcp to-addresses=192.168.2.100 to-ports=3389
Что получилось:
1. С сервера 192.168.1.100 - пингую 172.16.16.99, пингую 192.168.2.100 (VPN).
2. С компьютеров пользователей - пингуется 172.16.16.99, далее ничего не пингуется из этого - ​192.168.1.100, 192.168.2.100 (хотя может они пинговаться и не должны, но все же)
3. К 192.168.2.100 по RDP соответственно не подключается.

Что я сделал не так ?

P.S. Как я понимаю, туннель не заворачивается в сеть 172.16.16.0.
lends
Сообщения: 21
Зарегистрирован: 29 дек 2021, 21:40

Re: Две локальные сети

Сообщение lends »

Сам поэкспериментировал, попробовал так:
В одном бридже, ether5 - 172.16.16.99, ставим этот ip шлюзом на компьютерах пользователей и они видят уже 192.168.1.100.
Однако даже так, они не видят VPN 192.168.2.1, который с сервера 192.168.1.100 пингуется.
Пробовал прописать маршрут в ручную - route add 192.168.1.1 mask 255.255.255.0 192.168.2.1, не помогает...
Как этот VPN пропихнуть в 16 сеть ? Может еще правила IPSEC нужны.....
Аватара пользователя
Chupaka
Сообщения: 4083
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Две локальные сети

Сообщение Chupaka »

Так, у вас на картинке написано, что у пользователей должен быть доступ к серверу, а вы проверяете доступ от сервера к пользователям. Нет, настроек для этого я не предлагал.

По настройкам из поста viewtopic.php?p=11942#p11942 RDP надо поднимать на адрес 172.16.16.99. Вот это и проверьте.

Ну и IPSec должен пакеты из подсети пользователей к 192.168.2.100 отправлять в тоннель.
lends
Сообщения: 21
Зарегистрирован: 29 дек 2021, 21:40

Re: Две локальные сети

Сообщение lends »

Chupaka писал(а): 17 янв 2022, 13:13 Так, у вас на картинке написано, что у пользователей должен быть доступ к серверу, а вы проверяете доступ от сервера к пользователям. Нет, настроек для этого я не предлагал.

По настройкам из поста viewtopic.php?p=11942#p11942 RDP надо поднимать на адрес 172.16.16.99. Вот это и проверьте.

Ну и IPSec должен пакеты из подсети пользователей к 192.168.2.100 отправлять в тоннель.
Все - теперь понял .....
Не сразу врубился, что надо на 172.16.16.99 RDP поднимать.

Но я тут поговорил в провом и мне согласны отдать всю сеть 172.16.16.0/24.
Их админ говорит, что не надо эти костыли делать с NAT, - делаем бридж новый на моем микроте с сеткой 172.16.16.0/24, поднимаем DHCP.
Таблицу Leases мне выгрузят для того чтобы не перенастраивать ip которые к маку привязаны были и все, только на компах изменятся ip и пользователи ничего не заметят вообще.
Там как то через таблицу ARP он говорит это все будет работать c VPN намного проще....
Интернет будет с моего раздаваться - мне кажется так еще круче, я хоть буду знать что у меня в сети творится.
Аватара пользователя
Chupaka
Сообщения: 4083
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Две локальные сети

Сообщение Chupaka »

Т.е. они сделают ваш роутер шлюзом для сети 172.16.16.0/24 (ну, и DHCP вы сами будете раздавать). Отличный вариант. На своих роутерах вы сможете настроить все нужные маршруты.
lends
Сообщения: 21
Зарегистрирован: 29 дек 2021, 21:40

Re: Две локальные сети

Сообщение lends »

Chupaka писал(а): 19 янв 2022, 19:41 Т.е. они сделают ваш роутер шлюзом для сети 172.16.16.0/24 (ну, и DHCP вы сами будете раздавать). Отличный вариант. На своих роутерах вы сможете настроить все нужные маршруты.
Да именно так они и хотят сделать.
Я тоже думаю, что это намного лучше - я хоть буду знать что в сети творится.
Спасибо всем за помощь !