MikroTik. Домашная сеть 192.168.1.0/24 и рабочая сеть 192.168.1.0/24 через VPN

Question

[Klajnor]

На работе есть фряха на которой настроен pptp сервер. Возникла мысль реализовать на микротике постоянное подключение к рабочей сети, но есть проблема.
И домашняя и рабочая сеть имеет адреса 192.168.1.0/24. Менять диапазон домашней сети не хочу. Привык. Диапазон рабочей сети нет возможности. При подключении к VPN микротик получает IP из диапазона 192.168.111.201-192.168.111.210.
Думаю, что надо добавить правило вроде:
/ip firewall nat add chain=srcnat src-address=2.2.2.1-2.2.2.254 \
action=netmap to-addresses=11.11.11.1-11.11.11.254
Взято из вики микротика, адреса не изменял. И указать интерфейс pptp. Будет ли такое правило преобразовывать адреса из рабочей сети в адреса вида 192.168.2.0/24? Или как правильно сделать подключение?

Answer 1

[Андрей Буров]

Вам придется где-то поменять адресацию сети, т.к. не может быть двух разных сетей, напрямую связанных между собой и имеющих одинаковое адресное пространство.

Comments

[Klajnor]

Да о прямом соединении речь и не идёт. Представляется какой-то вид ната, который будет пересылать пакеты идущие из домашней сети на адрес 192.168.2.1 на сервер 192.168.1.1. рабочей сети. Доступ из рабочей сети в домашнюю не нужен.

Answer 2

[DmZ]

Вы правильно вычитали в вики, только вам нужен не srcnat, а dstnat.
Т.е. вы можете попробовать соединится с офисом и замапить его диапазон 192.168.1.0/24 на виртуальный 1.1.1.0/24. И соответственно из дома ходить на адреса вида 1.1.1.10 которые будут разворачиваться в офисные 192.168.1.10.
в этом случае dst-address=1.1.1.0/24 а to-addresses=192.168.1.0/24
еще нужен будет маскарадинг на впн интерфейсе чтобы офис роутил нормально ответы и роут сети 1.1.1.0/24 через впн.

Comments

[Klajnor]

Почти разобрался, но работает отвратительно.
Сделал так, лишние правила убрал:
Метим пакеты:

[Klajnor@MikroTik] > /ip firewall mangle print
Flags: X — disabled, I — invalid, D — dynamic
0 ;;; Mark packets to 192.168.2.0/24
chain=prerouting action=mark-routing new-routing-mark=intercom passthrough=yes dst-address=192.168.2.0/24

Мапим диапазон IP адресов и настраиваем маскарад:
[Klajnor@MikroTik] > /ip firewall nat print
Flags: X — disabled, I — invalid, D — dynamic

2 I ;;; Intercom NAT
chain=srcnat action=masquerade out-interface=PPTP Interkom

11 ;;; Map 192.168.2.0/24 to 192.168.1.0/24
chain=dstnat action=netmap to-addresses=192.168.1.0/24 dst-address=192.168.2.0/24

Для помеченных пакетов добавляем маршрут. Вроде и работает, но не совсем.

Пингую сервер 192.168.1.5 на работе:
C:\Users\Klajnor>tracert 192.168.2.5

Трассировка маршрута к INT-SRV1 [192.168.2.5]
с максимальным числом прыжков 30:

1 <1 мс <1 мс <1 мс INT-SRV1 [192.168.2.5]
2 61 ms 59 ms 60 ms INT-SRV1 [192.168.2.5]
3 61 ms 60 ms 62 ms INT-SRV1 [192.168.2.5]

Радмин, шары и т.п. вроде и работают, но очень-очень плохо. Чего-то не хватает в супе

[DmZ]

Чтобы трасерт показывал правильно, попробуйте добавить еще srcnat для обратного мапинга сети c in-interface=pptp. (chain=srcnat action=netmap to-addresses=192.168.2.0/24 src-address=192.168.1.0/24 in-interface=pptp). Не уверен что оно сработает раньше чем сохраненное состояние dstnat, но попробовать стоит.

Для проверки чего не хватает — нужно сначала проверить есть ли лаги при нормальном подключении, т.е. с другого диапазона IP. Поднимите отдельный интерфейс с другим диапазоном адресов для проверки. Оставьте только маскарадинг на pptp. Подключитесь и проверьте — если будет так же плохо, то дело в самом соединении.

[Klajnor]

С трассировкой так и не получилось. Правило добавлял.

А по поводу проверки — если поднимать соединение с домешнего компа и добавлять маршрут по умолчанию через VPN — то работает нормально. И радмин и шары, даже пинги до внешнего инета ходят. Наверное можно в фаерволле разрешить трафик и выходить в инет с рабочего шлюза.
Ладно. К чёрту такая морока. Сменю адресацию домашней сети, это проще. Пожалуй проще сменить 20-30 цифр в известных местах, чем ломать голову над тем, что ещё неизвестно.

Answer 3

[rPman]

Уже очень давно, с самого начала использования личной локальной сети, использую адреса вида 192.168.234.x/24. Ни с чем еще не пересекался.

Comments

[Klajnor]

Да, пожалуй так и сделаю. Будет проще

Answer 4

[ur3ckr]

У меня почти аналогичная была задача. На работе фрибсд, сеть 192.168.2.0/24, дома микротик, сеть 192.168.0.0/24 Нужно было с дома заходить на работу. Сделал так: на микротике поднял pptp-сервер, завел логин и пароль. На работе, на фрибсд установил клиент mpd5-клиент, прописал логин и пасс. Добавил его в крон и прописал route add С работы пингую только микторик, что и нужно было. С дома могу спокойно подключаться на любой рабочий комп.

Answer 5

[tassadar_ha]

С точки зрения сетевого инжиниринга, вам поможет VPN на основании L2 протокола. Например, L2TP. Как конкретно настроить его в FreeBSD я не знаю, попробуйте погуглить.