Как перевести сеть на подсети с использованием VLSM на Mikrotik?

Question

[Igor Leshchenko]

Всем привет! Есть сеть предприятия, на роутере Mikrotik! Вся сеть "весит" на одном порту, и по всему зданию куча неуправляемых свитчей (дэлинки, тплипки), на еще одном порту точка доступа CAP ac. Сеть и вайфай объединены в бридж, гостевого вайфая нет, т.к. необходимости пока не было. В сети предприятия 7 сетевых принтера, 8 виндовых машин, 4 MacBook и линуксовый сервер с 1С. На вайфае сидят все макбуки и смартфоны сотрудников.
Возникла необходимость в настройке удаленной работы. На микротике я поднял VPN l2tp/Ipsec, т.к. его поддерживают и виндовс и MacOS, но теперь стал вопрос передачи маршрутов... и весь трафик идет через тунель и не печатают принтеры с удаленных рабочих мест... Сейчас сеть предприятия 192.168.1.0/24, IP - статика.
В интернете нашел два решения: 1. Перевести сеть на 172.16.0.0/16; 2. поделить сеть на подсети с использованием VLSM.
Суть я уловил, но в интернете не могу найти как это сделать непосредственно на mikrotike. Ввиду отсутствия профильного образования и скудных знаниями (работаю юристом), мои самостоятельные манипуляции с этими решениями к успеху не привели. На предприятии которое осуществляет нам поддержку 1с и разного рода услуги в области компьютерной техники мне не помогли, сказали специалистов таких у них нет...
Помогите пожалуйста советом как это осуществить, и первый и второй вариант...

Answer 1

[brar]

Либо я не совсем понял вопроса, либо вы нашли в сети не то направление решения.
Подсеть /24 дает вам использовать 254 хоста, что покрывает ваши нужды (7+8+4+1С) чуть более, чем полностью. То есть, брать /16 смысла никакого нет.
Для впн создайте пул из другой подсети. Однотипных мануалов в принципе в сети немеряно, вот один из них например.
https://wiki.mikrotik.com/wiki/Manual:Interface/L2...

Также я бы рекомендовал использовать не l2tp, а ipsec/IKE2
https://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Roa...
но это на вкус и цвет по большому счету, тем более если уже настроили l2tp.

Comments

[Igor Leshchenko]

Вопрос в передаче маршрутов удаленным клиентам чтобы не использовать Proxy-Arp - вот для чего нужно или переходить на 172.16.0.0/16 или делить сеть с использованием VLSM....

[CityCat4]

Также я бы рекомендовал использовать не l2tp, а ipsec/IKE2

Я тоже за такой вариант - но к сожалению пока не смог решить вопрос с аутентификацией по сертификатам на Win8 и выше - винда тупо выбрасывает сообщение "неприемлемые учетные данные ike", при том, что на win7 и на андроид все работает и не жужжит. И маршруты там никакие прописывать не надо :)

Answer 2

[d-stream]

Сеть 192.168.1.0/24 на предприятии - поганая засада в силу того что примерно 80% домашних "мыльниц" используют её же. В итоге с маршрутами до предприятия будет беда...

Для вашей задачи достаточно минимального - сменить сеть на более другую. Например 192.168.199.0/24
И все. При поднятии туннеля у произвольного юзера получится что для сети 192.168.199.0/24 шлюзом будет vpn адаптер, а для остального - родной мыльничный (вероятно 192.168.1.1).
Конечно не исключено что найдется гениальный юзер, настроивший свою домашнюю сеть на 192.168.199.0/24 - придется ему порекомендовать выбрать что-нибудь иное из диапазонов частных сетей типа 10.0.0.0/8, 172.16.0.0/12, 92.168.0.0/16, 100.64.0.0/10 и т.п. ну или сменить работу...

Answer 3

[АртемЪ]

Не совсем понял в чем проблема в данный момент? Настроить не можете маршрутизацию? Отдать маршруты удаленным клиентам? Или Proxy ARP сделать? . Подробнее надо о схеме сети и сути проблем.
Если проблема чисто в том что трафик клиента весь идет в тоннель - надо убирать галку шлюза по умолчанию и маршрут ставить. Как вы это будете делать - вручную или скриптом, это другой вопрос.

И еще если нужна передача маршрутов удаленным клиентам удобнее использовать IKEv2 тоннель, а не l2tp/Ipsec, там с передачей маршрутов все на уровне, и работает стабильнее на плохих каналах.

Ну и еще -

192.168.1.0/24

Если намерены использовать тоннели, никогда не используйте эту сеть! Ну она же по дефолту у всех клиентов, и это создает проблемы. Выбирайте что-нибудь менее популярное, а не то, что вбивают на всех SOHO роутерах по дефолту.