Как объединить 2 виртуальных Микротика в VPN сеть?

Question

[trueguard]

Есть рабочая станция,
к ней подходят 2 канала интернет:
1 - кабель (провайдер 1)
2 - wifi (провайдер 2)
провайдеры оба за NAT

В виртуальной среде (VMWARE) созданы роутеры:
MIKROTIK1 6.38.5
MIKROTIK2 6.38.5
виртуальные сетевые адаптеры тип - мост (основной интернет идёт с кабеля, соответственно адреса МИКРОТИКАМ выдаёт роутер от провайдера 1, адреса вида - 192.168.1.* ; к слову, с роутера второго провайдера выдаются адреса нулевой подсети 192.168.0.* )

Эта схема создана в качестве теста, - основная задача связать в VPN сеть две железки mikrotik и отдать по офисам. Пока они не доехали, поэтому используется эта схема дабы научиться.

Вопрос:
Как правильно настроить виртуальные сетевые адаптеры в VMWARE?
Как создать VPN сеть между микротиками в данной конфигурации?

Answer 1

[trueguard]

Важная поправка - на железках будет использоваться DDNS! ибо на штатных местах они будут стоять за NAT. Белых айпишников не будет

Comments

[Wexter]

В такой постановке задача не имеет решения, вам нужен третий роутер с белым адресом, к которому будут подключаться оба маршрутизатора и гонять трафик через него

Answer 2

[Владимир Пилипчук]

Уточните, что хотите получить на выходе? Просто связать два роутера? Балансировку? Multihoming?

Comments

[trueguard]

связать два роутера в vpn, + видимость компьютеров из той и из другой сетей. раздать по офисам железки в итоге.

[Владимир Пилипчук]

trueguard,
Можете создать на них IPIP туннель и смаршрутизировать через него сети за микротами.
Можете создать L2TP-туннель (ipsec по желанию) сервер и клиент соответсвенно и обеспечить связность на L2 или L3.
Я бы выбрал топологию HUB-SPOKE (в терминологии Cisco). Одинг миктрот выступает сервером, остальные к нему подключаются по L2TP/IPSEC + OSPF для маршрутизации всего этого дела.

НО! Для терминации удаленных подключений необходимо обеспечить доступность терминирующего оборудования. То есть на HUB должен быть глобально-маршрутизируемый IP. Как Вы, наверное, понимаете, устройство с адресом 192.168.*.* никогда не будет доступно извне.

НО-2! Если будете использовать DDNS и не собираетесь использовать хотя бы на стороне хаба белые IP, то защитить информацию на уровне канала не получится. На микротиках из стойкого шифрования есть только IPSEC. A DDNS - это duble-nat. В этом случае IKE не поднимится, а значит на IPSEC расчитывать не стоит.

[Сергей]

Владимир Пилипчук, Вы наверное имели ввиду EOIP тунель, ethernet over IP. trueguard Самое дельное предложение кстати, иначе вам без третьей стороны не обойтись. Плюс этого туннеля - весь трафик внутри udp. Не шифрованный конечно, но это за частую и не нужно.