Как перевести сеть на подсети с использованием VLSM на Mikrotik?

Всем привет! Есть сеть предприятия, на роутере Mikrotik! Вся сеть "весит" на одном порту, и по всему зданию куча неуправляемых свитчей (дэлинки, тплипки), на еще одном порту точка доступа CAP ac. Сеть и вайфай объединены в бридж, гостевого вайфая нет, т.к. необходимости пока не было. В сети предприятия 7 сетевых принтера, 8 виндовых машин, 4 MacBook и линуксовый сервер с 1С. На вайфае сидят все макбуки и смартфоны сотрудников.
Возникла необходимость в настройке удаленной работы. На микротике я поднял VPN l2tp/Ipsec, т.к. его поддерживают и виндовс и MacOS, но теперь стал вопрос передачи маршрутов... и весь трафик идет через тунель и не печатают принтеры с удаленных рабочих мест... Сейчас сеть предприятия 192.168.1.0/24, IP - статика.
В интернете нашел два решения: 1. Перевести сеть на 172.16.0.0/16; 2. поделить сеть на подсети с использованием VLSM.
Суть я уловил, но в интернете не могу найти как это сделать непосредственно на mikrotike. Ввиду отсутствия профильного образования и скудных знаниями (работаю юристом), мои самостоятельные манипуляции с этими решениями к успеху не привели. На предприятии которое осуществляет нам поддержку 1с и разного рода услуги в области компьютерной техники мне не помогли, сказали специалистов таких у них нет...
Помогите пожалуйста советом как это осуществить, и первый и второй вариант...
  • Вопрос задан
  • 251 просмотр
Пригласить эксперта
Ответы на вопрос 4
@armodim
Либо я не совсем понял вопроса, либо вы нашли в сети не то направление решения.
Подсеть /24 дает вам использовать 254 хоста, что покрывает ваши нужды (7+8+4+1С) чуть более, чем полностью. То есть, брать /16 смысла никакого нет.
Для впн создайте пул из другой подсети. Однотипных мануалов в принципе в сети немеряно, вот один из них например.
https://wiki.mikrotik.com/wiki/Manual:Interface/L2...

Также я бы рекомендовал использовать не l2tp, а ipsec/IKE2
https://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Roa...
но это на вкус и цвет по большому счету, тем более если уже настроили l2tp.
Ответ написан
@d-stream
Готовые решения - не подаю, но...
Сеть 192.168.1.0/24 на предприятии - поганая засада в силу того что примерно 80% домашних "мыльниц" используют её же. В итоге с маршрутами до предприятия будет беда...

Для вашей задачи достаточно минимального - сменить сеть на более другую. Например 192.168.199.0/24
И все. При поднятии туннеля у произвольного юзера получится что для сети 192.168.199.0/24 шлюзом будет vpn адаптер, а для остального - родной мыльничный (вероятно 192.168.1.1).
Конечно не исключено что найдется гениальный юзер, настроивший свою домашнюю сеть на 192.168.199.0/24 - придется ему порекомендовать выбрать что-нибудь иное из диапазонов частных сетей типа 10.0.0.0/8, 172.16.0.0/12, 92.168.0.0/16, 100.64.0.0/10 и т.п. ну или сменить работу...
Ответ написан
Jump
@Jump
Системный администратор со стажем.
Не совсем понял в чем проблема в данный момент? Настроить не можете маршрутизацию? Отдать маршруты удаленным клиентам? Или Proxy ARP сделать? . Подробнее надо о схеме сети и сути проблем.
Если проблема чисто в том что трафик клиента весь идет в тоннель - надо убирать галку шлюза по умолчанию и маршрут ставить. Как вы это будете делать - вручную или скриптом, это другой вопрос.

И еще если нужна передача маршрутов удаленным клиентам удобнее использовать IKEv2 тоннель, а не l2tp/Ipsec, там с передачей маршрутов все на уровне, и работает стабильнее на плохих каналах.

Ну и еще -
192.168.1.0/24
Если намерены использовать тоннели, никогда не используйте эту сеть! Ну она же по дефолту у всех клиентов, и это создает проблемы. Выбирайте что-нибудь менее популярное, а не то, что вбивают на всех SOHO роутерах по дефолту.
Ответ написан
@dronmaxman
VoIP Administrator
> Сейчас сеть предприятия 192.168.1.0/24,
В результате конфликт с SOHO (домашними) маршрутизаторами. Правильно думаете, надо переносить все в другую сеть, лучше возьмите 10.0.0.0/8.

> IP - статика.
Зло как оно есть, чем больше сеть - тем больше зло. Почему не любят DHCP)

> VLSM
У вас все коммутаторы тупые, эта схема не для вас.

> VPN l2tp/Ipsec
Можно настроить и этот VPN как самый универсальный. Что бы не гонять весь трафик через офис, на стороне клиента надо снять галку в настройках VPN подключения. Хитрость маршрутизации в том, что при поднятии VPN
у клиента появляется маршрут в сеть с предприятия с маской /8. Поэтому рекомендую в локальной сети использовать именно адреса из подсети 10.0.0.0/8, тогда у клиента будет маршрут в эту сеть.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
27 окт. 2020, в 22:07
50000 руб./за проект
27 окт. 2020, в 21:27
20000 руб./за проект
27 окт. 2020, в 20:58
60000 руб./за проект