• Как объединить сети на Mikrotik (центральный офис и доп офисы)?

    ifaustrue
    @ifaustrue
    Пишу интересное в теллеграмм канале @cooladmin
    С учётом динамики в адресах лучше всего юзать l2tp туннели.

    Для начала поднимаете l2tp сервер, настраиваете секреты и транзитные адреса (это те, что будут использоватся для самих туннелей). Потом со стороны доп.офиса настраиваете l2tp-client и добавляете маршрут до сети Головного офиса через адрес, где шлюзом будет адрес Головного шлюза в туннеле. На головном офисе делаете наоборот, маршрут до сети филиала, где шлюз адрес филиала в туннеле.
    Последний штрих - на обоих девайсах исключить такой трафик из NAT (если он случайно или специально там оказался).
    Всё сеть построена. Пинги ходят.

    Теперь шифрование. На головном поднимаете пир с адресом 0.0.0.0/0 ставите опцию для генерации политик. Правите дефолтный шаблон на вкладке с Политиками и вместо All в поле протокола меняете на udp и порт выставляете 1701 - это исключит шанс заблокировать центральный маршрутизатор случайной неправильной настройкой со стороны "допника" - опция для генерации политик она этим опасна. Пир и пропорсалы настраиваете на ваш вкус, главное тут симметрия - они должны у "головны" и "допа" совпадать.

    Последнее для шифрования - создаём пир на Допе в IPSec и добавляем политики. Вид политики в вашем случае будет примерно такой
    Src Address = SA Address = Public IP Доп офиса (который сейчас)
    Dst Address = Sa Address = Public Static IP Головы.
    Галочка туннеля не стоит.

    Если всё зашифровалось и туннель l2tp устанавливается - остаётся только зарешать проблему с динамикой в политике IPSec у филлиала, так как адрес будет меняться её тоже нужно вовремя подменять.
    Вот готовый скрипт - wiki.mikrotik.com/wiki/IPSec_Policy_Dynamic замените в скрипте find на номер конкретной политики (в вашем случае "0") и запускайте его с интервалом раз в минуту через планировщик. Думаю нужно его подебажить для начала на локальном девайсе, но в целом если админите такую сеть - разберётесь =)
    Ответ написан
    2 комментария