Как направить локальный и интернет трафик в разные шлюзы?

Question

[Максим Валягин]

Здравствуйте! Помогите разобраться. Ситуация такая:
Есть офис 1 c mikrotik rb1100AHx2 ip 192.168.0.1 и офис 2 c mikrotik rb2011iL ip 192.168.0.13 между ними поднят EoIP туннель.
В офисе 1 есть контроллер домена dc1 с DHCP-сервером, который раздает сеть 192.168.0.0/22 со шлюзом 192.168.0.1 на оба офиса.
Как сделать чтобы сотрудники офиса 2 ходили в интернет через 192.168.0.13, а локальный трафик офиса 2
шел через туннель?

Comments

[kolossradosskiy]

Вы многое не договариваете.
Зачем в разных офисах одинаковые подсети? Зачем вам сеть 192.168.0.0/22? У вас тысяча хостов и стоят дешманские некротики?

Answer 1

[Денис Сечин]

Сперва нужно определить этот "локальный трафик" и потом завернуть его через туннель а деф. роут завернуть через интерфейс смотрящий в провайдера, ну и поменять подсеть dhcp чтобы она не пересекалась с туннелем

Comments

[Дмитрий]

Судя по описанию, там большой /22 L2 сегмент и DHCP общий на обе площадки. Я бы предложил сначала разделить сеть на два сегмента с разной адресацией, а потом настроить маршрутизацию. Но решать конечно автору.

Answer 2

[res2001]

Поднимите второй DHCP во втором офисе, раздавайте на нем адреса из той же подсети, сделайте не пересекающиеся диапазоны на обоих DHCP. Второй DHCP пусть так же выдает и другой шлюз для своих клиентов.
Т.к. второй DHCP находится ближе к своим клиентам, то он и будет первым на отвечать на их запросы. Хотя, конечно, есть шанс, что ответит и первый.
Можно на микротиках в фаерволе заблокировать прохождение DHCP трафика в удаленную сеть, тогда точно не будет путаницы. С другой стороны, можно рассматривать DHCP другого офиса как резервный.

Comments

[Nobody_Admin]

Как заблокировать прохождение DHCP-трафика через EoIP-туннель?
Я не тролль, мне правда интересно.

[Дмитрий]

Nobody_Admin, наверняка интерфейсы EoIP с двух сторон включены в bridge. Можно ограничить на уровне bridge firewall.

[Nobody_Admin]

Дмитрий, мне firewall при попытке включить правило, дропающее пакеты с портов 67-68, идущие через EoIP, говорил, что "in/out-interface matcher not possible when interface(EoIP_interface_name) is slave - use master instead". Хотя, вполне возможно, я что-то не так настраиваю

[Дмитрий]

Nobody_Admin, вы точно настраиваете в bridge firewall, а не в ip firewall?

[Nobody_Admin]

Дмитрий, сообразил, спасибо) Попробую у себя

[Nobody_Admin]

Дмитрий, на бридже, кстати, на input и forward создать можно - а на output фиг, то же самое сообщение

[Дмитрий]

Nobody_Admin, output - это трафик с самого роутера. В данном случае он без надобности. Но это уже сильно в оффтоп ушли.

Answer 3

[athacker]

Разберите EoIP и настройте нормальную маршрутизацию, с непересекающимися IP-подсетями. Жизнь будет много проще. Ну и да, две площадки -- два DHCP-сервера.