@yuriknsk

Возможна ли такая схема подключения на Mikrotik?

Знаю, что Mikrotik умеет самые извращенные схемы, поэтому возникла идея.

Задача: весь трафик наружу и снаружи должен проходить через криптомаршрутизатор VipNet Coordinator HW100.
Условие: HW100 должен быть внутри сети (провайдер туда пихать нельзя).
Есть оборудование: Mikrotik RB1100AHx4, собственно сама HW100 и еще есть Mikrotik RB750.
Думал, что схема-1 ниже решит проблему, но тут же появилась идея отказаться от лишнего звена в лице RB750 (места в шкафу мало, лишние провода и т.д) и сделать все с использованием RB1100.
схема-1
5f619e896352c896444378.png


Теперь думаю, что RB1100 способен на такую схему-2:
схема-2
5f61a124d504a111406456.png
5f61a13d8d5d0846182023.png

То есть ether1 будет принимать провайдера, ether2 - отдаёт трафик на HW100. Это будет как-бы обособленный роутер.
Далее трафик от HW100 (как будто провайдерский, но уже шифрованный) идет на ether3 и будет основным трафиком для сети.
Как быть? Что читать? :)
Объясните, пожалуйста
  • Вопрос задан
  • 1538 просмотров
Пригласить эксперта
Ответы на вопрос 4
@dronmaxman
VoIP Administrator
Вы все правильно нарисовали (можно конечно упростить схему и использовать VLAN). Теперь надо просто взять и настроить.
- выдернуть е1,е2,е3 из бриджа
- назначить на е1,е2,е3 IP адреса ( по вашей схеме)
- настроить маскарад (NAT) на е1 и HW100
- настроить правила forward на МИК
- добавить маршрут на МИК - все гнать на 10.18.200.1

И поехали. Получится двойной НАТ, но что делать)

Если есть список маршрутов для которых надо применять эту железку, то я бы разрулил трафик на микротике, добавив нужные маршруты в сторону HW100, а все остальное пустил бы напрямую.

Можно попробовать повыдергивать сети из whois если есть весь список сайтов.
Ответ написан
anthtml
@anthtml
Системный администратор программист радиолюбитель
Да, по схеме 2 всегда и делаем, если нет отдельного требования ИБшников что WAN сегмент шифратора нигде физически не может пересекаться с LAN.
Еще схема 2 при использовании динамической маршрутизации дает + что можно только часть трафика отправлять на шифрование, либо при падении/повисании шифратора - перенаправлять сразу на WAN
Ответ написан
Keffer
@Keffer
Delenn Test Group
криптомаршрутизатор VipNet Coordinator HW100

Никак не могу взять в толк - зачем оно вообще нужно здесь? Все спокойно микротиками реализовывается, в том числе шифрование трафика.
Ответ написан
@yuriknsk Автор вопроса
Посмотрите конфиг, помогите разобраться. (с изменениями под реальную сеть)
Пинг и ether1 не идет
5f642f66a6fa7217203034.png


Экспорт
# model = RB1100Dx4
/interface bridge
add frame-types=admit-only-untagged-and-priority-tagged name=bridge vlan-filtering=yes
/interface ethernet
set [ find default-name=ether1 ] name=ether1-wan
set [ find default-name=ether2 ] name=ether2-to-hw
set [ find default-name=ether3 ] name=ether3-from-hw
set [ find default-name=ether4 ] name=ether4-lan
set [ find default-name=ether5 ] name=ether5-lan
set [ find default-name=ether6 ] name=ether6-lan
set [ find default-name=ether7 ] name=ether7-lan
set [ find default-name=ether8 ] name=ether8-lan
set [ find default-name=ether9 ] name=ether9-lan
set [ find default-name=ether10 ] name=ether10-lan
/interface vlan
add interface=bridge name="VLAN 11 - adm_201" vlan-id=11
add interface=bridge name="VLAN 12 - students" vlan-id=12
add interface=bridge name="VLAN 13 - TXO" vlan-id=13
add interface=bridge name="VLAN 14 - priemnaya" vlan-id=14
add interface=bridge name="VLAN 15 - metodist_216" vlan-id=15
add interface=bridge name="VLAN 16 - metodkab" vlan-id=16
add interface=bridge name="VLAN 17 - buh" vlan-id=17
add interface=bridge name="VLAN 18 - video" vlan-id=18
add interface=bridge name="VLAN 19 - guests" vlan-id=19
/interface bridge port
add bridge=bridge interface=ether4-lan
add bridge=bridge interface=ether5-lan
add bridge=bridge interface=ether6-lan
add bridge=bridge interface=ether7-lan
add bridge=bridge interface=ether8-lan
add bridge=bridge interface=ether9-lan
add bridge=bridge interface=ether10-lan
/interface bridge vlan
add bridge=bridge untagged=ether6-lan,ether7-lan tagged=ether8-lan,ether9-lan,ether10-lan vlan-ids=11,12,13,14,15,16,17,18,19
/interface list member
add interface=ether1-wan list=WAN
add interface=bridge list=LAN
add interface=ether3-from-hw list=WAN
/ip address
add address=10.0.11.1/24 interface=ether2-to-hw network=10.0.11.0
add address=10.0.1.1/24 interface="VLAN 11 - adm_201" network=10.0.1.0
add address=10.0.12.1/24 interface="VLAN 12 - students" network=10.0.12.0
add address=10.0.13.1/24 interface="VLAN 13 - TXO" network=10.0.13.0
add address=10.0.14.1/24 interface="VLAN 14 - priemnaya" network=10.0.14.0
add address=10.0.15.1/24 interface="VLAN 15 - metodist_216" network=10.0.15.0
add address=10.0.16.1/24 interface="VLAN 16 - metodkab" network=10.0.16.0
add address=10.0.17.1/24 interface="VLAN 17 - buh" network=10.0.17.0
add address=10.0.18.1/24 interface="VLAN 18 - video" network=10.0.18.0
add address=10.10.0.1/21 interface="VLAN 19 - guests" network=10.10.0.0
add address=100.0.0.1/24 interface=ether4-lan network=100.0.0.0
/ip dhcp-client
add disabled=no interface=ether1-wan
add disabled=no interface=ether3-from-hw
/interface list
add name=WAN
add name=LAN
/ip pool
add name=dhcp ranges=192.168.10.100-192.168.10.200
add name=adm_201 ranges=10.0.1.100-10.0.1.200
add name=students ranges=10.0.12.100-10.0.12.200
add name=TXO ranges=10.0.13.100-10.0.13.200
add name=priemnaya ranges=10.0.14.100-10.0.14.200
add name=metodist ranges=10.0.15.100-10.0.15.200
add name=metodkab ranges=10.0.16.100-10.0.16.200
add name=buh ranges=10.0.17.100-10.0.17.200
add name=video ranges=10.0.18.100-10.0.18.200
add name=guests ranges=10.10.0.10-10.10.7.250
add name=dhcp_pool10 ranges=100.0.0.200-100.0.0.250
/ip dhcp-server network
add address=10.0.1.0/24 dns-server=77.88.8.8,8.8.8.8 gateway=10.0.1.1
add address=10.0.12.0/24 dns-server=193.58.251.251 gateway=10.0.12.1
add address=10.0.13.0/24 dns-server=77.88.8.8,8.8.8.8 gateway=10.0.13.1
add address=10.0.14.0/24 dns-server=77.88.8.8,8.8.8.8 gateway=10.0.14.1
add address=10.0.15.0/24 dns-server=77.88.8.8,8.8.8.8 gateway=10.0.15.1
add address=10.0.16.0/24 dns-server=77.88.8.8,8.8.8.8 gateway=10.0.16.1
add address=10.0.17.0/24 dns-server=77.88.8.8,8.8.8.8 gateway=10.0.17.1
add address=10.0.18.0/24 dns-server=77.88.8.8,8.8.8.8 gateway=10.0.18.1
add address=10.10.0.0/21 dns-server=193.58.251.251 gateway=10.10.0.1
add address=100.0.0.0/24 dns-server=77.88.8.8,8.8.8.8 gateway=100.0.0.1
add address=192.168.10.0/24 dns-server=192.168.10.1 gateway=192.168.10.1 netmask=24
/ip dhcp-server
add address-pool=adm_201 disabled=no interface="VLAN 11 - adm_201" lease-time=6d name=adm_201
add address-pool=students disabled=no interface="VLAN 12 - students" lease-time=6d name=students
add address-pool=TXO disabled=no interface="VLAN 13 - TXO" lease-time=6d name=TXO
add address-pool=priemnaya disabled=no interface="VLAN 14 - priemnaya" lease-time=6d name=priemnaya
add address-pool=metodist disabled=no interface="VLAN 15 - metodist_216" lease-time=6d name=metodist
add address-pool=metodkab disabled=no interface="VLAN 16 - metodkab" lease-time=6d name=metodkab
add address-pool=buh disabled=no interface="VLAN 17 - buh" lease-time=6d name=buh
add address-pool=video disabled=no interface="VLAN 18 - video" lease-time=6d name=video
add address-pool=guests disabled=no interface="VLAN 19 - guests" lease-time=1d name=guests
add address-pool=dhcp_pool10 disabled=no interface=bridge lease-time=6d name=dhcp1
/ip dns
set allow-remote-requests=yes

/ip firewall nat
add action=masquerade chain=srcnat log=yes out-interface=ether1-wan
add action=masquerade chain=srcnat log=yes out-interface=ether3-from-hw

<b>/ip route
add check-gateway=ping distance=1 dst-address=10.18.224.0/24 gateway=ether3-from-hw pref-src=10.18.224.2 routing-mark=to_hw</b>


Вот что в маршрутах содержится, все динамические
Route list
[admin@RB1100x4] > ip route print detail 
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit 
 0 ADS  dst-address=0.0.0.0/0 gateway=10.18.224.1 gateway-status=10.18.224.1 reachable via  ether3-from-hw distance=1 scope=30 target-scope=10 vrf-interface=ether3-from-hw 
 1  DS  dst-address=0.0.0.0/0 gateway=10.0.12.1 gateway-status=10.0.12.1 reachable via  ether1-wan distance=1 scope=30 target-scope=10 vrf-interface=ether1-wan 
 2 ADC  dst-address=10.0.1.0/24 pref-src=10.0.1.1 gateway=VLAN 11 - adm_201 gateway-status=VLAN 11 - adm_201 reachable distance=0 scope=10 
 3 ADC  dst-address=10.0.11.0/24 pref-src=10.0.11.1 gateway=ether2-to-hw gateway-status=ether2-to-hw reachable distance=0 scope=10 
 4 ADC  dst-address=10.0.12.0/24 pref-src=10.0.12.1 gateway=VLAN 12 - students,ether1-wan gateway-status=VLAN 12 - students reachable,ether1-wan reachable distance=0 scope=10 
 5 ADC  dst-address=10.0.13.0/24 pref-src=10.0.13.1 gateway=VLAN 13 - TXO gateway-status=VLAN 13 - TXO reachable distance=0 scope=10 
 6 ADC  dst-address=10.0.14.0/24 pref-src=10.0.14.1 gateway=VLAN 14 - priemnaya gateway-status=VLAN 14 - priemnaya reachable distance=0 scope=10 
 7 ADC  dst-address=10.0.15.0/24 pref-src=10.0.15.1 gateway=VLAN 15 - metodist_216 gateway-status=VLAN 15 - metodist_216 reachable distance=0 scope=10 
 8 ADC  dst-address=10.0.16.0/24 pref-src=10.0.16.1 gateway=VLAN 16 - metodkab gateway-status=VLAN 16 - metodkab reachable distance=0 scope=10 
 9 ADC  dst-address=10.0.17.0/24 pref-src=10.0.17.1 gateway=VLAN 17 - buh gateway-status=VLAN 17 - buh reachable distance=0 scope=10 
10 ADC  dst-address=10.0.18.0/24 pref-src=10.0.18.1 gateway=VLAN 18 - video gateway-status=VLAN 18 - video reachable distance=0 scope=10 
11 ADC  dst-address=10.10.0.0/21 pref-src=10.10.0.1 gateway=VLAN 19 - guests gateway-status=VLAN 19 - guests reachable distance=0 scope=10 
12 ADC  dst-address=10.18.224.0/25 pref-src=10.18.224.2 gateway=ether3-from-hw gateway-status=ether3-from-hw reachable distance=0 scope=10 
13 ADC  dst-address=100.0.0.0/24 pref-src=100.0.0.1 gateway=bridge gateway-status=bridge reachable distance=0 scope=10


Обновил схему
5f6434f50f2b8343229274.png
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы