Как объединить сети на Mikrotik (центральный офис и доп офисы)?

b375cb12771b4739bff62b3c42c4e399.jpg
Дано:
1. центральный офис назовем его (A) сеть 10.0.0.0/24 там находятся сервера и пользователи.
2. доп офис назовем его (B) сеть 10.0.1.0/24 там находятся только пользователи
3. доп офис назовем его (C) сеть 10.0.2.0/24 там находятся только пользователи
Дальше возможно открытие новых D(10.0.3.0/24), E(10.0.4.0/24), F(10.0.5.0/24) etc... поэтому хочу сделать изначально правильно :)
Во всех офисах кроме A динамический IP, а также во всех офисах стоит mikrotik.

Задача:
Нужно объединить все офисы таким образом чтобы они видели только центральную сеть 10.0.0.0/24 но не видели друг друга, а также центральная сеть (A) видела все сети.

Как лучше это реализовать и через что? pptp, l2tp, по верх них eoip? Вообщем нуждаюсь в совете гуру :) если можно еще и с примерами :)
  • Вопрос задан
  • 43314 просмотров
Пригласить эксперта
Ответы на вопрос 6
ifaustrue
@ifaustrue
Пишу интересное в теллеграмм канале @cooladmin
С учётом динамики в адресах лучше всего юзать l2tp туннели.

Для начала поднимаете l2tp сервер, настраиваете секреты и транзитные адреса (это те, что будут использоватся для самих туннелей). Потом со стороны доп.офиса настраиваете l2tp-client и добавляете маршрут до сети Головного офиса через адрес, где шлюзом будет адрес Головного шлюза в туннеле. На головном офисе делаете наоборот, маршрут до сети филиала, где шлюз адрес филиала в туннеле.
Последний штрих - на обоих девайсах исключить такой трафик из NAT (если он случайно или специально там оказался).
Всё сеть построена. Пинги ходят.

Теперь шифрование. На головном поднимаете пир с адресом 0.0.0.0/0 ставите опцию для генерации политик. Правите дефолтный шаблон на вкладке с Политиками и вместо All в поле протокола меняете на udp и порт выставляете 1701 - это исключит шанс заблокировать центральный маршрутизатор случайной неправильной настройкой со стороны "допника" - опция для генерации политик она этим опасна. Пир и пропорсалы настраиваете на ваш вкус, главное тут симметрия - они должны у "головны" и "допа" совпадать.

Последнее для шифрования - создаём пир на Допе в IPSec и добавляем политики. Вид политики в вашем случае будет примерно такой
Src Address = SA Address = Public IP Доп офиса (который сейчас)
Dst Address = Sa Address = Public Static IP Головы.
Галочка туннеля не стоит.

Если всё зашифровалось и туннель l2tp устанавливается - остаётся только зарешать проблему с динамикой в политике IPSec у филлиала, так как адрес будет меняться её тоже нужно вовремя подменять.
Вот готовый скрипт - wiki.mikrotik.com/wiki/IPSec_Policy_Dynamic замените в скрипте find на номер конкретной политики (в вашем случае "0") и запускайте его с интервалом раз в минуту через планировщик. Думаю нужно его подебажить для начала на локальном девайсе, но в целом если админите такую сеть - разберётесь =)
Ответ написан
@brutal_lobster
Делайте gre-туннели между точками и центром - минимум настройки и оверхеда. Поверх них настраивайте маршрутизацию как вам угодно - хоть ospf, хоть статику.
Разграничить доступ можно маршрутами на удаленных точках и простыми acl.
Про eoip - забудьте - это не ваш случай.

Если охота безопасности - можете поднять ipsec и поверх него уже gre.

UPD: ох, увидел, что у вас там динамические адреса на wan - это печально.
В таком случае вместо gre - l2tp
Ответ написан
Комментировать
nimbo
@nimbo
я вам не советую гонять ethernet поверх vpn (если только у вас там не какой-нибудь олдскульный sip).
ovpn стабильней, l2tp проще. принято делать l2tp+ipsec. на вашем месте я бы сразу микротик с аппаратным шифрованием присматривал бы в качестве сервера.
прелесть ovpn в том, что вы его можете повесить на любой порт, в частности я использую 443 - пролезет везде практически.
Ответ написан
deniracer
@deniracer
Системный администратор
Динамика в адресе не такая уж большая проблема одна строчка скрипта
/interface gre set "тот тунель куда ставим динамику" remote-address=[:resolve "мой любимый хост"]
и в шедулер с интервалом как нравится.

Gre+OSPF+IPSec лучший выбор.
Ответ написан
Комментировать
Night_Snake
@Night_Snake
Сети, микротики, циски и все, что рядом
l2tp/ipsec настраиваются примерно так: nixman.info/?p=2308. Про настройку l2tp/ipsec между двумя микротами есть на вики микротика, заводится на раз-два.
Ну а дальше настраиваете статику в сторону HQ (возможно даже не дефолт, если не хотите грузить VPN вконтактиком из филиалов), на головном роутере разруливаете фаерволом, кто и куда может ходить.
Ответ написан
Комментировать
@matvyeyev
Лучшая инструкция (+ видео) по Настройке L2TP на MikroTik для объединения офисов ....
Для дешёвой организации L2TP+IPSec рекомендую обратить внимание на Mikrotik hEX (RB750Gr3) с мощным процессором и аппаратным ускорением IPSec. В Центральный офис можно установить более дорогие модели с аппаратным шифрованием.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы