Задать вопрос
@Aptwel
vpn

Как настроить MikroTik в одну подсеть на нескольких подразделениях?

Имеется Proxmox кластер из трёх нод, который пока-что находится физически в одной подсети. Сейчас сеть работает через Wireguard тоннели с OSPF маршрутизацией.
6735d241e8bfa657696307.png
Что бы развести ноды в разные места, мне необходимо настроить сеть в новых местах так, что бы
1) Ноды могли видеть друг друга по всё тем же самым ip (192.168.88.101; 192.168.88.102; 192.168.88.103)
2) Офис и производство могло попадать на VM которые имеют локальные ip типа 192.168.88.35 (статика через динамику DHCP) не зависимо на какой из нод прямо сейчас работает та или иная VM
Планируется между маршрутизаторами нод поднять EoIP тоннели, но тоннели к офису и производству оставить через wireguard/ospf и должно иметь следующий вид
6735b7464ef40071818872.png
Сейчас в качестве теста работы по wireguard/ospf между офисом и новым местом на стороне поднят микрот со следующими настройками
настройки
# 2024-11-11 09:19:49 by RouterOS 7.12.1
# software id = DGHY-UT5J
#
# model = RB951G-2HnD
# serial number = 642E07A520B6
/interface bridge
add admin-mac=64:D1:54:17:E8:5A auto-mac=no comment=defconf name=bridgeLocal
add arp=disabled name=lo
/interface wireless
# managed by CAPsMAN
set [ find default-name=wlan1 ] ssid=MikroTik
/interface ethernet
set [ find default-name=ether1 ] name=ether1-geteway
/interface l2tp-client
/interface eoip
add !keepalive mac-address=02:B5:40:78:96:72 mtu=1410 name=\
EoIP_Mother_to_Viva remote-address=10.100.100.88 tunnel-id=188
add disabled=yes !keepalive local-address=98.168.8.2 mac-address=\
02:B5:40:78:96:72 mtu=1410 name=Viva_EoIP_L2TP remote-address=98.168.8.1 \
tunnel-id=153
/interface wireguard
add listen-port=13231 mtu=1420 name=wireguard1
add listen-port=13232 mtu=1420 name=wireguard2
/interface list
add name=WAN
add name=LAN
/interface lte apn
set [ find default=yes ] ip-type=ipv4 use-network-apn=no
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=dhcp authoritative=after-2sec-delay interface=bridgeLocal \
lease-time=1w10m name=server1
/routing bgp template
set default disabled=no output.network=bgp-networks
/routing id
add disabled=no id=10.10.10.89 name=lo select-dynamic-id=only-loopback
/routing ospf instance
add disabled=no in-filter-chain=ospf-in name=ospf-instance-1 \
out-filter-chain=ospf-out redistribute=connected router-id=lo
/routing ospf area
add disabled=no instance=ospf-instance-1 name=ospf-area-v2
/interface bridge filter
add action=drop chain=forward disabled=yes dst-port=67-68 ip-protocol=udp \
mac-protocol=ip
add action=drop chain=forward disabled=yes dst-port=67-68 ip-protocol=udp \
mac-protocol=ip
/interface bridge port
add bridge=bridgeLocal comment=defconf interface=ether2
add bridge=bridgeLocal comment=defconf interface=ether3
add bridge=bridgeLocal comment=defconf interface=ether4
add bridge=bridgeLocal comment=defconf interface=ether5
add bridge=bridgeLocal interface=EoIP_Mother_to_Viva
/ip neighbor discovery-settings
set discover-interface-list=LAN
/ip settings
set max-neighbor-entries=8192
/ipv6 settings
set disable-ipv6=yes max-neighbor-entries=8192
/interface list member
add interface=ether1-geteway list=WAN
add interface=*9 list=LAN
/interface ovpn-server server
set auth=sha1,md5
/interface wireguard peers
add allowed-address="10.100.100.0/24,192.168.0.0/24,192.168.2.0/24,192.168.3.0\
/24,192.168.4.0/24,192.168.5.0/24,192.168.87.0/24,224.0.0.0/4" comment=\
WG_to_Office endpoint-address=85.*******.64 endpoint-port=13231 interface=\
wireguard1 persistent-keepalive=10s public-key=\
"J*************************************g="
add allowed-address="10.200.200.0/24,192.168.0.0/24,192.168.2.0/24,192.168.3.0\
/24,192.168.4.0/24,192.168.5.0/24,192.168.87.0/24,224.0.0.0/4" comment=\
WG_to_Promka endpoint-address=85.********.240 endpoint-port=13232 \
interface=wireguard2 persistent-keepalive=10s public-key=\
"U************************************s="
/interface wireless cap
#
set bridge=bridgeLocal discovery-interfaces=bridgeLocal enabled=yes \
interfaces=wlan1
/ip address
add address=192.168.88.2/24 interface=bridgeLocal network=192.168.88.0
add address=10.100.100.89/24 interface=wireguard1 network=10.100.100.0
add address=10.10.10.89 interface=lo network=10.10.10.89
add address=10.200.200.89/24 interface=wireguard2 network=10.200.200.0
/ip dhcp-client
add interface=ether1-geteway
/ip dhcp-server lease
ff:4d:8:12:64:0:1:0:1:2e:3b:5e:7e:22:32:4d:8:12:64 comment=PVE1 \
mac-address=22:32:4D:08:12:64 server=server1
add address=192.168.88.102 client-id=\
ff:4d:7:3e:88:0:1:0:1:2e:3b:8b:85:22:2:4d:7:3e:88 comment=PVE2 \
mac-address=22:02:4D:07:3E:88 server=server1
add address=192.168.88.103 client-id=\
ff:4d:4:1f:c9:0:1:0:1:2e:3b:ae:2f:22:11:4d:4:1f:c9 comment=PVE3 \
mac-address=22:11:4D:04:1F:C9 server=server1
/ip dhcp-server network
add address=192.168.88.0/24 dns-server=8.8.8.8,192.168.88.2 gateway=\
192.168.88.2
/ip dns
set allow-remote-requests=yes
/ip firewall filter
add action=accept chain=input connection-state=established,related
add action=drop chain=input connection-state=invalid
add action=accept chain=forward connection-state=established,related
add action=drop chain=forward connection-state=invalid
add action=accept chain=input protocol=icmp
add action=accept chain=input protocol=gre
add action=accept chain=input dst-port=80,1723,8291,34567 protocol=tcp
add action=accept chain=input protocol=ospf
add action=accept chain=input dst-port=13231 protocol=udp
add action=accept chain=input port=500,1701,4500 protocol=udp
add action=drop chain=forward src-address=192.168.88.91
add action=accept chain=input protocol=ipsec-esp
/ip firewall mangle
add action=clear-df chain=prerouting passthrough=no tcp-flags=""
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1-geteway
add action=masquerade chain=srcnat dst-address=192.168.88.254
add action=masquerade chain=srcnat src-address=192.168.88.0/24
add action=dst-nat chain=dstnat disabled=yes dst-address-list="" dst-port=443 \
protocol=tcp to-addresses=192.168.88.220 to-ports=443
add action=dst-nat chain=dstnat dst-port=18000-19000 protocol=udp \
to-addresses=192.168.88.254 to-ports=18000-19000
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set h323 disabled=yes
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ip ssh
set forwarding-enabled=remote
/routing bfd configuration
add addresses="" disabled=yes interfaces=all min-rx=200ms min-tx=200ms \
multiplier=5
/routing filter rule
add chain=ospf-in disabled=no rule=\
"if (dst in 192.168.0.0/16 && dst-len in 16-32) {accept;}"
add chain=ospf-in disabled=yes rule=\
"if (dst in 10.100.100.0/24 && dst-len in 24-32) {accept;}"
add chain=ospf-out disabled=no rule=\
"if (dst in 192.168.0.0/16 && dst-len in 16-32) {accept;}"
add chain=ospf-out disabled=yes rule=\
"if (dst in 10.100.100.0/24 && dst-len in 24-32) {accept;}"
/routing ospf interface-template
add area=ospf-area-v2 cost=10 disabled=no interfaces=wireguard1 networks=\
10.100.100.0/24 priority=1 type=ptmp
add area=ospf-area-v2 cost=20 disabled=no interfaces=wireguard2 networks=\
10.200.200.0/24 priority=1 type=ptmp
/routing ospf static-neighbor
add address=10.200.200.2%wireguard2 area=ospf-area-v2 disabled=no \
poll-interval=5s
add address=10.100.100.1%wireguard1 area=ospf-area-v2 disabled=no \
poll-interval=5s

но при запуске wireguard интерфейсов - кладётся основная действующая сеть между офисом и 192.168.88.0/24
Прошу помочь знающих разобраться в чем может быть проблема, либо предложить альтернативу. Спасибо
  • Вопрос задан
  • 186 просмотров
19 комментариев
Подписаться 2 Сложный 19 комментариев
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы
Вакансии с Хабр Карьеры
Преподаватель курса по информационной безопасности
Eltex Новосибирск
от 130 000 ₽
Customer Support manager
IT Consult
от 600 $
Сетевой инженер
Cloud4Y Ярославль
от 150 000 до 250 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Найти параметр, который укажет на вмешательство в PDF файл (подделка)
13 нояб. 2024, в 21:05
50000 руб./за проект
Разработать сайт компании
14 нояб. 2024, в 22:05
50000 руб./за проект
Доработка проекта на CS2
14 нояб. 2024, в 22:04
20000 руб./за проект
Ещё заказы