Как выдать белый айпи из ДЦ серверу, находящемуся в офисе?

Question

[Андрей]

В ДЦ есть VPS с одним физическим интерфейсом, на нем несколько белых IP, установлен Mikrotik CHR (Cloud Hosted Router)... В офисе за NAT есть железный Mikrotik который одним портом смотрит в локалку офисную (И-нет в т.ч.) во второй порт подключен физический сервер.
Нужно, чтобы физический сервер в офисе получал напрямую IP из белых в ДЦ. Понимаю, что первым делом нужен какой-то VPN до Микрота в цоде, но какой и что дальше - не понимаю... Проброс портов не подходит, нужно как написал выше, если такое возможно)
UPD: Поднял WireGuard, внутри него EoIP. Сбриджевал в ДЦ eoip и Единственный ether1, Микрот вернулся к жизни в сети только после того, как я присвоил бриджу мак адрес который был на интерфейсе ether1, видимо ДЦ привязывает выдаваемые айпи к маку? В офисе, видимо из-за этого не заработало: настроил бридж между EoIP и физ интерфейсом куда сервер воткнут, на сервере руками прописал белый IP из ДЦ - сеть сервер не пингует... Куда копать дальше, подскажите?)

Answer 1

[Valentin Barbolin]

Сложно будет реализовать, но можно попробовать использовать EoIP или VxLan.

В офисе за NAT есть железный Mikrotik

EoIP или VxLan требуют белый IP обеих сторон, поэтому придется использовать эти протоколы поверх VPN, например WG или IPsec. Что в свою очередь приведет к уменьшению MTU и может вылезти где-то боком.

Я бы не отбрасывал вариант с пробросом портов, он проще и стабильнее.

Comments

[CityCat4]

EoIP или VxLan требуют белый IP обеих сторон, поэтому придется использовать эти протоколы поверх VPN

Нифига городуля получится :) Запутаться просто.

[Valentin Barbolin]

CityCat4,

Нифига городуля получится :) Запутаться просто.

Это первое что я написал)

Сложно будет реализовать

Answer 2

[TheBigBear]

VPN-канал от офисного микротика до ДЦ (любой, я лично похожее реализовывал на L2TP)
далее EoIP-туннель поверх VPN
В офисе создать бридж, в который добавить EoIP-туннель и интерфейс, к которому подключен сервер - в ДЦ - в CHR создать бридж, в который добавить EoIP-туннель и интерфейс, смотрящий наружу (крайне рекомендую все настройки микротика делать включив SAFE MODE!!!!)
Вот только самое лучшее - простой проброс нужных портов до сервера. Почему он не подходит?

Comments

[Андрей]

Звучит и вправду для SAFE MODE))) Завернуть в бридж интерфейс вместе с EOIP, который поднят внутри впн который поднят на этом интерфейсе.

[TheBigBear]

Андрей,Всё не так страшно как кажется
Здесь бридж по сути - виртуальный коммутатор, в который будет воткнут сам микротик и какой-то там сервер. А EoIP - один из портов этого коммутатора
Просто в Микротике ДЦ понадобится назначить внешний IP адрес не на единственный интерфейс, а на вновь созданный бридж
А Safe Mode позволит откатить настройки если что не то сотворил
Если есть несколько белых IP - рекомендую создав бридж вначале назначить ему некий внешний IP и только потом добавлять в него единственный интерфейс

[Андрей]

TheBigBear, Да, понятно... Я там написал в вопросе UPD... Как-то все не просто))

[TheBigBear]

Андрей, сколько внешних IP адресов Вам предоставил ДЦ?
Их должно быть как минимум два - один для микротика CHR в ДЦ, второй для Вашего сервера
Каким образом они предоставляются? Ручками прописывать или DHCP?
Если DHCP - то необходимо сообщить админам ДЦ МАС Вашего сервера

Если внешний IP всего один - то такая схема работать не будет!

[Андрей]

TheBigBear, Два пока. Один на CHR, а второй я и пытаюсь пробросить

[TheBigBear]

Андрей, Вы не ответили - как они предоставляются
ручками или DHCP?

с сервера свой микротик или шлюз пинговать не пробовали? должно пинговаться если всё правильно

[Андрей]

TheBigBear, С микрота в офисе на интерфейсе eoip видит сеть провайдера в IPscan. с сервера не пингуется ничего(. По поводу метода выдачи IP - написал в тп. жду ответа.