Две локальные сети
-
- Сообщения: 21
- Зарегистрирован: 29 дек 2021, 21:40
Две локальные сети
На микротике есть сеть 192.168.1.1 (где находятся несколько серверов и VPN IPSEC туннель с другим миротиком.
Есть так же сеть офиса которую содержит провайдер - 172.16.16.1 , в ней находятся рабочие станции, DHCP.
Хочу, чтобы компы из сети 172.16.16.1, увидели сервер за VPN IPSEC на другом микротике.
Провайдер готов дать один порт из свей сети.
Как мне прокинуть VPN в сеть - 172.16.16.1 ?
Есть так же сеть офиса которую содержит провайдер - 172.16.16.1 , в ней находятся рабочие станции, DHCP.
Хочу, чтобы компы из сети 172.16.16.1, увидели сервер за VPN IPSEC на другом микротике.
Провайдер готов дать один порт из свей сети.
Как мне прокинуть VPN в сеть - 172.16.16.1 ?
У вас нет необходимых прав для просмотра вложений в этом сообщении.
-
- Сообщения: 4088
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Две локальные сети
Дайте больше информации. А то у вас на рисунке я вижу один роутер, в описании - два. Кто является шлюзом по умолчанию у компов из сети 172.16.16.1? Он готов передать пакеты к серверу куда надо (в VPN или тому, кто их передаст в VPN)?
-
- Сообщения: 21
- Зарегистрирован: 29 дек 2021, 21:40
-
- Сообщения: 4088
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Две локальные сети
Ну, тут вижу два варианта: либо провайдер маршрутизирует обращение к 192.168.2.100 на нижний роутер, либо нижний роутер получает IP в сети провайдера - и вы обращение к этому IP (например, по определённым портам) заворачиваете DST-NAT'ом на 192.168.2.100.
-
- Сообщения: 21
- Зарегистрирован: 29 дек 2021, 21:40
Re: Две локальные сети
А как конкретно ?
Ну допустим, я в бридже сделаю 6 порт в сети 172.16.16.1 - а дальше как завернуть туда трафик из VPN ?
Это же разные сети .....
-
- Сообщения: 4088
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Две локальные сети
Как конкретно какой из двух вариантов? Мне сложно угадывать мысли, которые вы не хотите выражать.
Провайдера не надо подключать в бридж, это делается изолированным портом. А "завернёт" сама маршрутизация, вам только DST-NAT добавить надо. Ну и политики IPSec при необходимости.
Провайдера не надо подключать в бридж, это делается изолированным портом. А "завернёт" сама маршрутизация, вам только DST-NAT добавить надо. Ну и политики IPSec при необходимости.
-
- Сообщения: 21
- Зарегистрирован: 29 дек 2021, 21:40
Re: Две локальные сети
Второй вариант.Chupaka писал(а): ↑11 янв 2022, 11:22 Как конкретно какой из двух вариантов? Мне сложно угадывать мысли, которые вы не хотите выражать.
Провайдера не надо подключать в бридж, это делается изолированным портом. А "завернёт" сама маршрутизация, вам только DST-NAT добавить надо. Ну и политики IPSec при необходимости.
То есть, я настраиваю изолированный порт в сеть провайдера, подключаю туда шнурок, настраиваю правило NAT ?
1. Какие настройки для изолированного порта ? - Я так понял нужно чтобы я получил по DHCP ip из его сети...?
2. Правило NAT как должно выглядеть ?
Спасибо.
-
- Сообщения: 4088
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Две локальные сети
1. Никаких настроек. Просто навесить DHCP-клиент на этот порт. Даже без Add default route.
2. Например, /ip firewall nat add chain=dstnat in-interface=Ethernet_ПОРТ dst-address-type=local action=dst-nat to-addresses=192.168.2.100
Чтобы только конкретный порт пробрасывать - добавить protocol=tcp dst-port=порт_tcp
2. Например, /ip firewall nat add chain=dstnat in-interface=Ethernet_ПОРТ dst-address-type=local action=dst-nat to-addresses=192.168.2.100
Чтобы только конкретный порт пробрасывать - добавить protocol=tcp dst-port=порт_tcp
-
- Сообщения: 79
- Зарегистрирован: 06 июн 2019, 16:42
Re: Две локальные сети
Нарисуют пол схемы, а потом не понятно как настроить
это первый вариант, считаем что роутер 192.168.1.1 знает про сеть 192.168.2.0/24
это первый вариант, считаем что роутер 192.168.1.1 знает про сеть 192.168.2.0/24
У вас нет необходимых прав для просмотра вложений в этом сообщении.
-
- Сообщения: 21
- Зарегистрирован: 29 дек 2021, 21:40
Re: Две локальные сети
Правильно понимаю, что этот порт в одном бридже я делаю ?Chupaka писал(а): ↑13 янв 2022, 00:26 1. Никаких настроек. Просто навесить DHCP-клиент на этот порт. Даже без Add default route.
2. Например, /ip firewall nat add chain=dstnat in-interface=Ethernet_ПОРТ dst-address-type=local action=dst-nat to-addresses=192.168.2.100
Чтобы только конкретный порт пробрасывать - добавить protocol=tcp dst-port=порт_tcp
Пров говорит, что даст мне статический ip из своей сети - 172.16.16.99 - получается мне и dhcp на порт вешать не надо ?
Просто прописываю его в ip-adress -
172.16.16.99 ether5
192.168.1.1/24 ether2 (тут стоял bridge в настройках, а так как один из портов бриджа теперь в другой сети, то нужно указать только порт)
И делаю правило nat.
Два разных бриджа я думаю делать плохая идея - так как они потом не увидят друг друга .....?
-
- Сообщения: 4088
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Две локальные сети
Нет, его просто не надо добавлять ни в один бридж
Зависит от того, что он имеет в виду: то, что этот IP, выдаваемый DHCP, не будет меняться, или то, что вам его надо вручную настроить без DHCP.
Не вижу на схеме ether2, объяснение не понял, но на вашем рисунке серверы как будто подключены разными портами - предполагаю, нужен всё же bridge
Что значит "не увидят"? Маршрутизацию никто не отменял
-
- Сообщения: 21
- Зарегистрирован: 29 дек 2021, 21:40
Re: Две локальные сети
Сейчас так настроено - скрины.
Сервер пока один - 192.168.1.100, второй планируется только...
Пров сказал так - 172.16.16.99 назначать в ручную.
Сервер пока один - 192.168.1.100, второй планируется только...
Пров сказал так - 172.16.16.99 назначать в ручную.
У вас нет необходимых прав для просмотра вложений в этом сообщении.
-
- Сообщения: 4088
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Две локальные сети
Значит, назначайте вручную. На ether5? Предварительно его удалив из бриджа.
-
- Сообщения: 21
- Зарегистрирован: 29 дек 2021, 21:40
Re: Две локальные сети
Да я хотел на ether5.
Понял спасибо.
Понял спасибо.
-
- Сообщения: 21
- Зарегистрирован: 29 дек 2021, 21:40
Re: Две локальные сети
Попробовал сегодня сделать, как вы написали - пока не заработало...Chupaka писал(а): ↑13 янв 2022, 00:26 1. Никаких настроек. Просто навесить DHCP-клиент на этот порт. Даже без Add default route.
2. Например, /ip firewall nat add chain=dstnat in-interface=Ethernet_ПОРТ dst-address-type=local action=dst-nat to-addresses=192.168.2.100
Чтобы только конкретный порт пробрасывать - добавить protocol=tcp dst-port=порт_tcp
Делал так :
1. ether5 удалил из бриджа
2. ip-adresses - назначил ether5 ip из сети прова 172.16.16.99
3. Добавил правило NAT - add action=dst-nat chain=dstnat dst-address-type=local dst-port=3389 in-interface=ether5 protocol=tcp to-addresses=192.168.2.100 to-ports=3389
Что получилось:
1. С сервера 192.168.1.100 - пингую 172.16.16.99, пингую 192.168.2.100 (VPN).
2. С компьютеров пользователей - пингуется 172.16.16.99, далее ничего не пингуется из этого - 192.168.1.100, 192.168.2.100 (хотя может они пинговаться и не должны, но все же)
3. К 192.168.2.100 по RDP соответственно не подключается.
Что я сделал не так ?
P.S. Как я понимаю, туннель не заворачивается в сеть 172.16.16.0.
-
- Сообщения: 21
- Зарегистрирован: 29 дек 2021, 21:40
Re: Две локальные сети
Сам поэкспериментировал, попробовал так:
В одном бридже, ether5 - 172.16.16.99, ставим этот ip шлюзом на компьютерах пользователей и они видят уже 192.168.1.100.
Однако даже так, они не видят VPN 192.168.2.1, который с сервера 192.168.1.100 пингуется.
Пробовал прописать маршрут в ручную - route add 192.168.1.1 mask 255.255.255.0 192.168.2.1, не помогает...
Как этот VPN пропихнуть в 16 сеть ? Может еще правила IPSEC нужны.....
В одном бридже, ether5 - 172.16.16.99, ставим этот ip шлюзом на компьютерах пользователей и они видят уже 192.168.1.100.
Однако даже так, они не видят VPN 192.168.2.1, который с сервера 192.168.1.100 пингуется.
Пробовал прописать маршрут в ручную - route add 192.168.1.1 mask 255.255.255.0 192.168.2.1, не помогает...
Как этот VPN пропихнуть в 16 сеть ? Может еще правила IPSEC нужны.....
-
- Сообщения: 4088
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Две локальные сети
Так, у вас на картинке написано, что у пользователей должен быть доступ к серверу, а вы проверяете доступ от сервера к пользователям. Нет, настроек для этого я не предлагал.
По настройкам из поста viewtopic.php?p=11942#p11942 RDP надо поднимать на адрес 172.16.16.99. Вот это и проверьте.
Ну и IPSec должен пакеты из подсети пользователей к 192.168.2.100 отправлять в тоннель.
По настройкам из поста viewtopic.php?p=11942#p11942 RDP надо поднимать на адрес 172.16.16.99. Вот это и проверьте.
Ну и IPSec должен пакеты из подсети пользователей к 192.168.2.100 отправлять в тоннель.
-
- Сообщения: 21
- Зарегистрирован: 29 дек 2021, 21:40
Re: Две локальные сети
Все - теперь понял .....Chupaka писал(а): ↑17 янв 2022, 13:13 Так, у вас на картинке написано, что у пользователей должен быть доступ к серверу, а вы проверяете доступ от сервера к пользователям. Нет, настроек для этого я не предлагал.
По настройкам из поста viewtopic.php?p=11942#p11942 RDP надо поднимать на адрес 172.16.16.99. Вот это и проверьте.
Ну и IPSec должен пакеты из подсети пользователей к 192.168.2.100 отправлять в тоннель.
Не сразу врубился, что надо на 172.16.16.99 RDP поднимать.
Но я тут поговорил в провом и мне согласны отдать всю сеть 172.16.16.0/24.
Их админ говорит, что не надо эти костыли делать с NAT, - делаем бридж новый на моем микроте с сеткой 172.16.16.0/24, поднимаем DHCP.
Таблицу Leases мне выгрузят для того чтобы не перенастраивать ip которые к маку привязаны были и все, только на компах изменятся ip и пользователи ничего не заметят вообще.
Там как то через таблицу ARP он говорит это все будет работать c VPN намного проще....
Интернет будет с моего раздаваться - мне кажется так еще круче, я хоть буду знать что у меня в сети творится.
-
- Сообщения: 4088
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Две локальные сети
Т.е. они сделают ваш роутер шлюзом для сети 172.16.16.0/24 (ну, и DHCP вы сами будете раздавать). Отличный вариант. На своих роутерах вы сможете настроить все нужные маршруты.
-
- Сообщения: 21
- Зарегистрирован: 29 дек 2021, 21:40
Re: Две локальные сети
Да именно так они и хотят сделать.
Я тоже думаю, что это намного лучше - я хоть буду знать что в сети творится.
Спасибо всем за помощь !