Как объединить две одинаковые подсети через IPIP на Микротике?

Question

[Кирилл]

Есть два удаленных друг от друга офиса. У обоих подсеть 10.10.3.0/24.
У обоих Микротиков WAN'овский IP белый.

IPIP в бридж не засунешь, как EoIP. Пробовал на Микротике 1 прописать подсеть чисто для проброса, допустим 10.100.10.0/30, а на Микротике 2 подсеть 10.200.10.0/30.

А потом просто на Микротике №1 гонять трафик с подсети 10.100.10.0/30 в подсеть 10.10.3.0/24 в Офисе 1, а на Микротике №2 гонять трафик с подсети 10.200.10.0/30 в подсеть 10.10.3.0/24 в Офисе 2.

Сети 10.100.10.0/30 и 10.200.10.0/30 чисто для проброса. Они на LAN-интерфейсе. На том же LAN-интерфейсе прописаны адреса для Микротика №1 — 10.10.3.1, а для Микротика №2 — 10.10.3.250.

Подскажите, на верном ли я пути? Как проще объеденить посредством IPIP две одинаковые подсети. Иными словами, чтобы подсетку 10.10.3.0/24 "растянуть" между двумя офисами.

EoIP не предлагать! :-) Можете что-нибудь другое предложить

Comments

[Ruslan-Strannik]

Подскажите, на верном ли я пути?

нет. измените одну из сетей на 10.10.4.0/24 , к примеру

Answer 1

[Дмитрий Александров]

Пожалуйста, можете страдать =) :
Роутер1:
типа тыкаем на "виртуальную подсеть"
/ip route add distance=1 dst-address=10.10.20.0/24 gateway=ваш-vpn-ip-роутер2
входящий трафик "типа виртуальной подсети" разворачиваем в реальную подсеть
/ip firewall nat add action=netmap chain=dstnat dst-address=10.10.10.0/24 to-addresses=10.10.3.0/24
исходящий трафик маскируем в типа "левую вируальную подсеть"
/ip firewall nat add action=netmap chain=srcnat src-address=10.10.3.0/24 out-interface=ваш-vpn-ip-роутер2 to-addresses=10.10.10.0/24

Роутер2:
/ip route add distance=1 dst-address=10.10.10.0/24 gateway=ваш-vpn-ip-роутер1
/ip firewall nat add action=netmap chain=dstnat dst-address=10.10.20.0/24 to-addresses=10.10.3.0/24
/ip firewall nat add action=netmap chain=srcnat src-address=10.10.3.0/24 out-interface=ваш-vpn-ip-роутер1 to-addresses=10.10.20.0/24

Работать будет, каждый роутер будет считать что общается с совершенно иной подсетью. На практике это колхоз и проще руки поотрывать тем кто не хочет привести в порядок свои подсети побив их на отдельные и по уму.

Comments

[Кирилл]

Если такое решение колхозное, то тогда как сделать правильно..?

[Кирилл]

На отдельные разбивать — нельзя, потому что по обеим сторонам сети много серверов и ПК с прописанной статикой. Тем более у пользователей развернуты шары со статикой

[Diman89]

Кирилл, за статику повторно оторвать руки

[Дмитрий Александров]

Кирилл, Подсети априори должны быть РАЗНЫЕ, это первое.
Статики быть вообще не должно это два, исключения это служебные подсети и железки, скажем подсеть со свитчами, шлюзы. Все остальное только dhcp
Чтобы не фигурировать вообще никакими ip присваиваются dns имена, для совсем бедных можно хоть статические dns имена в самом микротике сделать т.к. один хрен серверов с шарами не так много.

А вообще смотрите на DHCP, курите, через него очень многое делается, помимо раздачи ip адреса клиенту можно раздать еще кучу всего интересного.

Еще лучше если поднимете нормальные домены.

Answer 2

[nApoBo3]

У вас какая-то каша. Если вы хотите объеденить их l2 туннелем( тоннель в бридж ), то у вас не две подсети, а одна географически распределённая.
Если же у вас реально две одинаковые подсети, то ваша идея корректна. В каждой подсети вы маскирует( подменяет ) другу сеть, меняя в ней адреса, подставляя вместо нее виртуальную сеть, маршрутизируете эту сеть на другой роутер и там делаете обратное преобразование. Сделать это надо на двух концах туннеля, поскольку иначе у вас не будут проходить ответы.

Comments

[nApoBo3]

Да, с некоторыми протоколами и вас могут возникнуть сложности, например https, dns и т.д.

[Кирилл]

Ну я и говорю, что IPIP-туннель в бридж не засунешь, потому что он устроен иначе, не как EoIP. А сам EoIP использовать не стану, потому что медленный

Answer 3

[Gregory]

я коне что сам за 1:1 mapping, как у же было предложено выше, но давно натыкался на вот эту статью
https://habr.com/ru/post/282858/