@yuriknsk

Возможна ли такая схема подключения на Mikrotik?

Знаю, что Mikrotik умеет самые извращенные схемы, поэтому возникла идея.

Задача: весь трафик наружу и снаружи должен проходить через криптомаршрутизатор VipNet Coordinator HW100.
Условие: HW100 должен быть внутри сети (провайдер туда пихать нельзя).
Есть оборудование: Mikrotik RB1100AHx4, собственно сама HW100 и еще есть Mikrotik RB750.
Думал, что схема-1 ниже решит проблему, но тут же появилась идея отказаться от лишнего звена в лице RB750 (места в шкафу мало, лишние провода и т.д) и сделать все с использованием RB1100.
схема-1
5f619e896352c896444378.png


Теперь думаю, что RB1100 способен на такую схему-2:
схема-2
5f61a124d504a111406456.png
5f61a13d8d5d0846182023.png

То есть ether1 будет принимать провайдера, ether2 - отдаёт трафик на HW100. Это будет как-бы обособленный роутер.
Далее трафик от HW100 (как будто провайдерский, но уже шифрованный) идет на ether3 и будет основным трафиком для сети.
Как быть? Что читать? :)
Объясните, пожалуйста
  • Вопрос задан
  • 1606 просмотров
Пригласить эксперта
Ответы на вопрос 3
@dronmaxman
VoIP Administrator
Вы все правильно нарисовали (можно конечно упростить схему и использовать VLAN). Теперь надо просто взять и настроить.
- выдернуть е1,е2,е3 из бриджа
- назначить на е1,е2,е3 IP адреса ( по вашей схеме)
- настроить маскарад (NAT) на е1 и HW100
- настроить правила forward на МИК
- добавить маршрут на МИК - все гнать на 10.18.200.1

И поехали. Получится двойной НАТ, но что делать)

Если есть список маршрутов для которых надо применять эту железку, то я бы разрулил трафик на микротике, добавив нужные маршруты в сторону HW100, а все остальное пустил бы напрямую.

Можно попробовать повыдергивать сети из whois если есть весь список сайтов.
Ответ написан
anthtml
@anthtml
Системный администратор программист радиолюбитель
Да, по схеме 2 всегда и делаем, если нет отдельного требования ИБшников что WAN сегмент шифратора нигде физически не может пересекаться с LAN.
Еще схема 2 при использовании динамической маршрутизации дает + что можно только часть трафика отправлять на шифрование, либо при падении/повисании шифратора - перенаправлять сразу на WAN
Ответ написан
Keffer
@Keffer
Delenn Test Group
криптомаршрутизатор VipNet Coordinator HW100

Никак не могу взять в толк - зачем оно вообще нужно здесь? Все спокойно микротиками реализовывается, в том числе шифрование трафика.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы