Как присоединить филиал к главной сети через VPN?

Мне нужно сделать доступ к сети филиала по VPN. Буду использовать GRE over IPSec на Микротиках. Роутеры есть, туннель я поднял для теста.
Вопрос больше теоретического характера.
Допустим адрес локальной сети в главном офисе 192.168.1.0/24. Можно ли задать адрес локальной сети в филиале 192.168.1.0? Или обязательно использовать другую, к примеру 192.168.2.0? Если можно, то как прописать маршрут на филиальном роутере (лучше сразу пример команды для RouterOS)? У него же уже есть одна непосредственно подключенная 192.168.1.0, а тут еще появляется вторая, доступная через туннель.

Еще интересно вот что, про GRE написано, что он пропускает широковещательный трафик. Значит ли это, что хосты в филиале и главной сети будут работать, как будто они находятся в одной L2-сети? Допустим хост из филиала имеет адрес 192.168.1.10, а сервер из главной сети 192.168.1.254. Будет ли удаленный хост получать IP-адрес от DHCP-сервера в главной сети, авторизовываться на контроллере домена и прочее?
  • Вопрос задан
  • 406 просмотров
Пригласить эксперта
Ответы на вопрос 2
CityCat4
@CityCat4 Куратор тега VPN
//COPY01 EXEC PGM=IEBGENER
Можно ли задать адрес локальной сети в филиале 192.168.1.0?

Можно. Но не нужно. Единственная известная мне причина, когда сеть настоятельно пытаются растянуть на L2 - это наличие софта с артефактами, например поиска компьютера сугубо по Netbios-имени (которое не работает ни через что, а работает только в пределах L2-сети). Попытка упростить себе администрирование приведет к его фантастическому усложнению.

Обычная схема построения VPN - это центр, к которому подключаются удаленные узлы. Маршрутизацию осуществляет центр. У центра своя подсеть, у узлов своя - у каждого узла своя. dhcp раздается узлом (теоретически dhcp можно пробрасывать с помощью dhcp realy, но при этом заметно страдает надежность - упал туннель - в филиале пропала сеть). Локальный DNS раздается центром, хотя при приличной нагрузке на узле обычно на узел ставят подчиненный сервер, на котором подымают дубли сервисов - dns, ad и прочее - чтобы не бегали юзера за аутентификацией на каждый чих в центр.
Ответ написан
@res2001
Developer, ex-admin
Можно ли задать адрес локальной сети в филиале 192.168.1.0?

Тут лучше начать с принципиального решения второй задачи. Ответа на нее я не знаю.
Но если вы хотите объединить сети в одну, то конечно в филиале надо использовать ту же подсеть, что и в головном офисе. Но как по мне - это плохая идея.

Так что лучше сети не объединять (в смысле ответа на второй вопрос) и использовать маршрутизацию вместо бриджа.
А значит, если вы в сети филиала будете использовать ту же подсеть, то получите кучу проблем с маршрутизацией, которые придется как-то решать.
Что бы в принципе избежать проблем - используйте другую подсеть.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы