Как объединить несколько офисов с одинаковой адресацией в одну сеть без реальных IP?

Question

[palantir]

Добрый день.
Есть несколько офисов, территориально разнесенных. Выход в интернет через роутеры Mikrotik, реального IP нет. Адресация везде 192.168.0.0/24, адреса всего оборудования в разных офисах не пересекается.
Кроме этого есть отдельный Linux-сервер с реальным IP.
Задача: объединить все это в одну сеть с целью мониторинга оборудования. Но я не могу понять как сделать чтоб при работе внутри офиса локальное оборудование было доступно по локальной сети, а оборудование удаленных офисов - через, к примеру, OpenVPN-сервер. Адресация ведь одна.
Как я вижу - все оборудование в офисах подключено через свитч, он уже в роутер, и на нем маршрут на OpenVPN. Тогда локальный траффик доходить до роутера не должен.
Подскажите, как это все правильно можно организовать.

Answer 1

[Victor]

Можно поднять VPN на сервере, все микротики к нему по L2TP, после этого поверх L2TP настроить EoIP туннели. Будет сеть такая, будто полностью в одном здании с одной адресацией. Не забыть заблокировать хождение DHCP по туннелям. Не знаю, хорошо ли так делать в офисной сети, но я так объединил несколько домашних - шикарно работает.

Comments

[palantir]

в такой схеме не пойму как будет обстоять дело с маршрутизацией. При общей сети как должно происходить определение в каком офисе какой IP?

[Victor]

palantir, вы запрещаете хождение DHCP между офисами, но пространство одно. В каждом офисе на микротике DHCP сам выдаёт всем нужные адреса. Можете для всех устройств во каждом офисе закрепить IP, тогда каждый при переходе в другой офис получит тот айпи, что и был ранее.

[palantir]

Виктор Скоблин, IP это хорошо. Но так и не решен вопрос с маршрутизацией: в одном офисе ноутбук с адресом 192.168.0.151, как он поймет, 192.168.0.201 с ним в одной локалке, или надо его как-то в другой офис гнать?

[Victor]

Тут создаётся такая ситуация, как будто они все воткнуты в один коммутатор. Никакой разницы. Поэтому микротик просто сам переправит трафик куда надо. EoIP аналогичен просто кабелю Ethernet. Абсолютно никакой разницы ни для одного компа не будет, где они находятся. Точно так же, как они находят друг друга рядом, так же найдут и через тоннель. Не хватает мне грамотности, чтобы написать, кто отвечает за направление пакетов на нужный порт (arp-таблица?). Так вот, оно само заработает так.

[palantir]

Виктор Скоблин, А EoIP туннели между серваком и микротиками?

[Victor]

palantir, нет, между самими микротиками. Ну вы нарисуйте схему так, чтобы каждый микротик был соединён хотя бы с одним. Снова представляем коммутаторы и делаем так, чтобы каждый был воткнут в сеть. И в соответствии с этим делайте тоннели между роутерами.

[palantir]

Виктор Скоблин, Спасибо! Какой сервер для подключения mikrotik под linux посоветуете? Чтоб легкий в установке и настройке и чтоб нормально с ним микротик работал?

[Victor]

palantir, к сожалению, ни разу не поднимал VPN на сервере, поэтому не могу ничего тут посоветовать.:(

[Эдуард Гильмутдинов]

А каким образом вы запретили DHCP "хождение" по тоннелям?

[Victor]

Эдуард Гильмутдинов, bridge->filters. Ну далее понятно, известные порты udp.

Answer 2

[Ziptar]

Нормально разбивать на подсети, больше никак.

Comments

[palantir]

Вот в том то и вопрос, что нормально разбить не получится, оборудование переносится с места на место, а его адресация всегда должна оставаться неизменной...

[Ziptar]

palantir, в смысле из офиса в офис?

[palantir]

да, именно так. специфика

[Ziptar]

palantir, тогда site-to-site vpn (ovpn в режиме ethernet в частности, но лучше, проще и безопаснее - ipsec) + динамическая маршрутизация, но с последним я не помощник - никогда не сталкивался, за сим удаляюсь :)

[Ziptar]

palantir, ещё можно собрать маки оборудования и привязывать их статикой на dhcp-серверах каждого офиса (например в одном офисе 192.168.1.234, в другом 192.168.2.234, в третьем 192.168.3.234, с маской /24); в итоге будут меняться только подсети, и найти нужное устройство будет несложно.
Правда это костыли и колхоз, зато достаточно просто в реализации, если оборудования и офисов немного - юзабельно.

[palantir]

Константин Антонов, нужно, чтоб IP были именно одинаковые...

[palantir]

Константин Антонов, ovpn в режиме ethernet насколько стабильно работает на MIKROTIK-клиентах не в курсе? А то пишут что какаха у МТ с этим...

[Ziptar]

palantir, вот как раз для микротика я бы не рекомендовал использовать ovpn вообще. Не то чтобы всё совсем плохо, но могло бы быть и гораздо лучше. Используйте ipsec.

[palantir]

Константин Антонов, спасибо, покурю IPSEC, никогда с ним не связывался. Там, как я понимаю, вместо овпн сервера ipsec сервер ставится?

[Ziptar]

palantir, про ipsec на вики гляньте
https://wiki.mikrotik.com/wiki/Manual:IP/IPsec

Answer 3

[cssman]

Если адресация нигде! не пересекается, то вариантом будет костыль с proxyarp.
Но это плохой вариант, лучше сделать один раз как следует и спроектировать адресацию "с нуля".

Comments

[palantir]

Выше уже написал: поменять адресацию не получится, так как оборудование периодически мигрирует из офиса в офис, но должно быть доступно по одному IP везде, поэтому и одна подсеть...

[cssman]

palantir, тогда поднимайте proxyarp, на сегодня проблема решится, а завтра как пишет коллега SyavaSyava у Вас всё станет очень и очень плохо.

Answer 4

[Денис]

на лмнукс машине опенвпн с tap не!!! tun. В офисах tap сбриджить с интфейсом смотрящим внутрь. Возможно внутри офиса будет очень тормозная сеть

Comments

[palantir]

Разве после этого не все будет ходить через овпн сервер? мне надо чтоб локальные ходили по локалке, а все, которые в локальном сегменте не найдены (грубо говоря, которые не подключены в офисный свитч) ходило через овпн.
А вот тормозная внутриофисная сеть точно не подходит...

[Денис]

Бридж- виртуальный свитч. локальные будут ходить по локалке

[palantir]

Денис, надо будет протестить...
"Возможно внутри офиса будет очень тормозная сеть" - а что вы имели в виду? от чего в такой связке могут возникнуть тормоза?

[Денис]

palantir, там была очень навороченная и запутанная схема. После избавления всё отлично

Answer 5

[dan lar]

Чтоб по человечески свящать все офисы в олин вам понадобиться разные подсети и внешний ip, а чтоб ваше оборудование свабодно мигрировало с места на место и оставалось какбы в одной сети почмотрите в сторону Vlan.

Comments

[dan lar]

Ноооо можно как выше предложили использовать openvpn, но об сетевой перефирии типа принтер забудьте, а вообще нужно точное ТЗ что хотите добиться, а так это пальцем в воде водить..

[palantir]

dan lar, вот как раз основная масса оборудования - принтеры. Поэтому они и должны быть доступны локально внутри офиса. А связь нужна для мониторинга по снмп. ну и для мониторинга-настройки роутеров...

[dan lar]

Наберите в поиске "сеть звезда vpn" есть наглядные способы организации того что вам нужно, да и про vlan не забудьте

[Pavel Valeo]

Как у вас в этом случае работает офисная АТС на все подсети?

Answer 6

[ky0]

Если только для целей мониторинга - ставьте в каждом сегменте прокси (если, конечно, ваша система такое умеет).

Answer 7

[АртемЪ]

Адресация ведь одна.

Начать надо именно с адресации. Каждому филиалу свою подсеть.
Вообще не обязательно что-то глобально менять, главное чтобы адресация в виртуальной сети, никак не пересекалась с адресацией в локальных сетях. Но лучше все-таки разобраться с адресацией, и сделать единую схему, чтобы адреса в локальных сетях всех филиалов не пересекались.

Если вы сделаете грамотную адресацию и локальные адреса в филиалах пересекаться не будут - управлять и настраивать будет гораздо проще, просто поднять VPN на роутерах филиалов и прописать маршруты.

А если у вас будет десяток филиалов 192.168.0.1/24 - тогда вам придется на каждом компьютере создавать подключение к VPN. И прописывать маршруты, и следить за всеми этими подключениями.

Белый (реальный) адрес нужен в любом случае, хотя бы один - на нем поднимаете VPN сервер и все подключаетесь к нему.

Comments

[palantir]

Про пересечение вы имеете в виду именно чтоб в разных филиалах были разные подсети? Это не получится реализовать. А IP и так не пересекаются. Но вот как настроить маршрутизацию - хоть убей не пойму!

[АртемЪ]

palantir,

Про пересечение вы имеете в виду именно чтоб в разных филиалах были разные подсети?

Именно так.
В таком случае все делается гораздо проще. Просто настраивается маршрутизация на роутере.

Если же у вас в каждом филиале будут одинаковые подсети, тут все сложнее.
Вам нужно будет подключать к VPN каждый компьютер и настраивать маршрутизацию на каждом компьютере

Разницу чувствуете?
Например у вас два офиса в каждом десять компьютеров -

• Если сети не пересекаются вам нужно будет настроить маршрутизацию на двух роутерах, и все будет отлично.
  
• Если сети пересекаются - на роутерах ничего не надо настраивать - нужно создать подключение к VPN на 20 компьютерах, и настроить на всех этих компьютерах маршрутизацию.
  

[Pavel Valeo]

АртемЪ, подскажите, а как в Вашем случае реализуется IP-телефония (например, если она привязана к центральному офису). Как смаршрутизировать ее через l2tp тоннель?