Как присоединить филиал к главной сети через VPN?

Question

[RedFirefly]

Мне нужно сделать доступ к сети филиала по VPN. Буду использовать GRE over IPSec на Микротиках. Роутеры есть, туннель я поднял для теста.
Вопрос больше теоретического характера.
Допустим адрес локальной сети в главном офисе 192.168.1.0/24. Можно ли задать адрес локальной сети в филиале 192.168.1.0? Или обязательно использовать другую, к примеру 192.168.2.0? Если можно, то как прописать маршрут на филиальном роутере (лучше сразу пример команды для RouterOS)? У него же уже есть одна непосредственно подключенная 192.168.1.0, а тут еще появляется вторая, доступная через туннель.

Еще интересно вот что, про GRE написано, что он пропускает широковещательный трафик. Значит ли это, что хосты в филиале и главной сети будут работать, как будто они находятся в одной L2-сети? Допустим хост из филиала имеет адрес 192.168.1.10, а сервер из главной сети 192.168.1.254. Будет ли удаленный хост получать IP-адрес от DHCP-сервера в главной сети, авторизовываться на контроллере домена и прочее?

Answer 1

[CityCat4]

Можно ли задать адрес локальной сети в филиале 192.168.1.0?

Можно. Но не нужно. Единственная известная мне причина, когда сеть настоятельно пытаются растянуть на L2 - это наличие софта с артефактами, например поиска компьютера сугубо по Netbios-имени (которое не работает ни через что, а работает только в пределах L2-сети). Попытка упростить себе администрирование приведет к его фантастическому усложнению.

Обычная схема построения VPN - это центр, к которому подключаются удаленные узлы. Маршрутизацию осуществляет центр. У центра своя подсеть, у узлов своя - у каждого узла своя. dhcp раздается узлом (теоретически dhcp можно пробрасывать с помощью dhcp realy, но при этом заметно страдает надежность - упал туннель - в филиале пропала сеть). Локальный DNS раздается центром, хотя при приличной нагрузке на узле обычно на узел ставят подчиненный сервер, на котором подымают дубли сервисов - dns, ad и прочее - чтобы не бегали юзера за аутентификацией на каждый чих в центр.

Comments

[RedFirefly]

Ну да, я помню что-то про размещение RODC в филиале.
Если DNS-сервер будет в главном офисе, то удаленный хост сможет получить от него ответ, если я пропишу шлюзом DNS-сервера адрес роутера в локальной сети этого офиса?
У меня уже указан один шлюз в DNS-сервере. Это адрес L3-коммутатора, на котором прописаны 2 vlan, на которые разделена моя сеть. Коммутатор маршрутизирует одну vlan в другую.
Мне теперь второй шлюз (роутер) нужно добавить на DNS-сервере? Это возможно - иметь 2 шлюза по умолчанию?
DNS поднят на Windows Server.

[Максим Гришин]

RedFirefly, шлюзом в сети центра так или иначе останется тот узел, который им сейчас является, он же будет заруливать маршрутизацией пакетов от и до VPN-сервера, т.е. центральный DNS ты не трогай. Если у тебя будет двусторонняя L3-связность с филиалом, то ответ от него ты и так получишь. И нет, шлюз по умолчанию всегда один, просто потому, что может быть всего один маршрут на 0.0.0.0/0.

[CityCat4]

RedFirefly, Возможно иметь несколько маршрутов для 0.0.0.0/0, если пакеты маркируются и есть условие по маркам, но при этом маршрут для 0.0.0.0/0 без марки может быть только один. Если на DNS значительная нагрузка - лучше слейвов понатыкать по филиалам, которые синхронизируются с мастером.

Answer 2

[res2001]

Можно ли задать адрес локальной сети в филиале 192.168.1.0?

Тут лучше начать с принципиального решения второй задачи. Ответа на нее я не знаю.
Но если вы хотите объединить сети в одну, то конечно в филиале надо использовать ту же подсеть, что и в головном офисе. Но как по мне - это плохая идея.

Так что лучше сети не объединять (в смысле ответа на второй вопрос) и использовать маршрутизацию вместо бриджа.
А значит, если вы в сети филиала будете использовать ту же подсеть, то получите кучу проблем с маршрутизацией, которые придется как-то решать.
Что бы в принципе избежать проблем - используйте другую подсеть.