Настройка l2tp на микротике, и как откуда что взять?
Здравствуйте, перечитал несколько статей и посмотрел множество видео, но так и не понял откуда что берется. Сама задача: Имеется один центральный микротик, на котором, я так понял, будет развернут l2tp сервер, остальные микротики разбросаны по городу, будут выступать в качестве пользователя, чтобы подключиться к центральному и было, что-то вроде объединения всех офисов в одну сеть.
Первый вопрос: У каждого микротика свой внешний айпи адрес и своя внутренняя подсеть, в видео и статьях показывают что они просто вписывают айпи адреса по типу 10.12.1.1, он взят из головы или он откуда-то все таки берется?
Второй вопрос: Когда создается новый PPP Profile, в локальном адресе указывать так же чей адрес, адрес локальной сети микротика который например 192.168.0.1 или на микротике так же создать нужно что-то и указывать похожий адрес по типу 10.12.1.2 уже?
Третий вопрос: Подключение будет постоянно или нет? Получается же что микротик работает по туннелю и входит в локальную сеть центрального? Или нет?
Знаю люди, подскажите пожалуйста.
> У каждого микротика свой внешний айпи адрес
При использовании l2tp иметь белый IP достаточно только серверу, остальные клиенты могут иметь серый адрес
>и своя внутренняя подсеть,
Да, каждый клиент и центральный офис должны иметь свою внутреннюю подсеть которая не будет пересекаться с другими клиентами.
> айпи адреса по типу 10.12.1.1
В спецификации определены IP который рекомендую использовать внутри локальной сети. Да, просто выбирается практический любой адрес из списка богон сетей. Чаще всего использую адрес из диапазона 10.0.0.0/8. https://www.securitylab.ru/blog/personal/aodugin/3...
> Когда создается новый PPP Profile, в локальном адресе указывать так же чей адрес, адрес локальной сети микротика который например 192.168.0.1
В профиле указывается адрес который будет у микротика внутри VPN сети.
То есть,
Микротика центрального офиса
WAN: 1.1.1.1
LAN 192.168.10.1
VPN: 10.12.1.1
Микротик филиал 1
WAN: не важно какой
LAN 192.168.20.1
VPN: 10.12.1.2
Микротик филиал 2
WAN: не важно какой
LAN 192.168.30.1
VPN: 10.12.1.3
Соответственно, когда клиент из филиала 2 захочет подключиться к серверу в центральном офисе с адресом 192.168.10.100, то путь пакета будет таким. 192.168.20.10-192.168.20.1-10.12.1.3-10.12.1.1-192.168.10.1-192.168.10.100.
Адреса внутри L2TP нужны для настройки маршрутов, соответственно их лучше определить сразу, что бы потом не переписывать маршруты при смене адреса. Так можно запустить динамическую маршрутизацию, но об этом пока рано говорить)
> Подключение будет постоянно или нет?
Да, пока есть интернет.
> Получается же что микротик работает по туннелю и входит в локальную сеть центрального?
Не корректное описание. Тут надо понять, что такое L2 и L3 связанность. Внутри филиала в одной подсети ПК могут отправлять пакеты между собой напрямую минуя маршрутизатор. Получается, каждый филиал это L2 сегмент, что бы им общаться между собой необходимо организовать L3 связанность, эту задачу выполняет микротик по средствам построения VPN. Такое построение VPN называется site-2-site или lan-2-lan. Как будет ходить трафик в VPN определяешь ты с помощью маршрутов и ТЗ.
"Да, каждый клиент и центральный офис должны иметь свою внутреннюю подсеть которая не будет пересекаться с другими клиентами.". Я правильно понимаю, что если у меня на филиале есть микрот с внутренней сетью 192.168.88.1 и другой филиал, третий, тоже с аналогичной подсетью, то мне нужно поменять подсеть им и переконфигурировать, дабы не пересекались?
По первому вопросу
У клиентов-микротиков вовсе не обязательно иметь постоянный внешний IP адрес
Прописывать у них нужно ВНЕШНИЙ IP микротика назначенного L2TP сервером. А ему по-барабану - есть ли у тех внешний IP или нет. Главное - не забыть открыть UDP-порты в файерволе (500,1701,4500)
IP который даётся при подключении Микротику к L2TP серверу ДЕЙСТВИТЕЛЬНО берётся из головы сисадмина
Просто есть правила которых стараются придерживаться
Т.е. принимается, что диапазон (Pool) например 10.10.10.1-10.10.10.200 или 10.12.1.1-10.12.1.200. или 172.16.0.1-172.16.0.200 будет назначаться подключаемым устройствам
По второму
Будешь прописывать Secret (пользователей) - можно просто указать этот Pool адресов и автоматически назначать - но лучше писать ручками
local address - 10.12.1.1 (адрес сервера L2tp)
remote address - 10.12.1.2 (адрес клиента l2tp)
и у каждого свой. Легче маршруты прописывать
И крайне желательно, чтобы подсети не совпадали
например
центральный офис - 192.168.0.0/24
филиал1 - 192.168.1.0/24
филиал2 - 192.168.2.0/24
А сами маршруты можно отдать на откуп OSPF - справится
Или ручками прописать - ничего сложного если их немного
По третьему
подключение будет постоянное если не настроишь иное (таймаут, лимит, расписание)
причем как на стороне сервера, так и клиента (желательно - тогда он не будет "доставать" сервер попытками подключения когда тот отрубит соединение)
Первый вопрос: 10.12.1.1 - адрес bogon сети. Тоесть она не маршрутизируемая. Тоесть человек назначил сам. Вместо этого мог быть и 192.168.1.1
Второй вопрос: адрес локальной сети. тот адрес, который будет назначен l2tp интерфейсу, из подсети которого, будут клиентам раздаваться айпишники
Третий вопрос: подключение будет постоянно. до тех пор, пока свзяь не оборвется. Создался туннель. При этом создался виртуальный интерфейс. Всё, связь между двумя устройствами есть. Потом, чтобы эти другие устройства могли ходить по сети другой, надо настроить правила маршрутизации.
Средний
