Объединяем офисы с помощью Mikrotik
В статье разбирается настройка IPIP/IPSec-туннеля на оборудовании MikroTik с целью объединения двух сетей (site-to-site VPN). Рассматривается метод экспресс-настройки с аутентификацией с помощью пароля. После создания VPN-канала между сетями будет настроена маршрутизация и выполнена проверка работоспособности. Также будут разобраны типичные проблемы, которые могут возникнуть в процессе настройки и проверки.
Введение
IP in IP — это протокол IP-туннелирования, который инкапсулирует один IP-пакет в другой IP-пакет. Инкапсуляция одного IP пакета в другой IP пакет, это добавление внешнего заголовка с SourceIP — точкой входа в туннель, и Destination — точкой выхода из туннеля. При этом внутренний пакет не был изменен (кроме поля TTL, которое уменьшилось). Поля Don’t Fragment и The Type of Service должны быть скопированы в внешний пакет. Если размер пакета больше чем Path MTU, пакет фрагментируется в инкапсуляторе, это должно быть во внешнем заголовке. Декапсулятор должен будет собрать пакет. Многие маршрутизатора, включая Cisco и Linux-based, поддерживают этот протокол.
Схема сети
В головном офисе установлен маршрутизатор GW1. В филиале установлен маршрутизатор GW2.
Головной офис
IP-адрес внешней сети головного офиса: 10.1.100.0/24
IP-адрес внешнего интерфейса маршрутизатора GW1: 10.1.100.1/24
IP-адрес внутренней сети головного офиса: 192.168.15.0/24
IP-адрес внутреннего интерфейса маршрутизатора GW2: 192.168.15.1/24
Филиал
IP-адрес внешней сети головного офиса: 10.1.200.1/24
IP-адрес внешнего интерфейса маршрутизатора GW1: 10.1.200.1/24
IP-адрес внутренней сети головного офиса: 192.168.25.0/24
IP-адрес внутреннего интерфейса маршрутизатора GW2: 192.168.25.1/24
VPN-канал
IP-адрес VPN-сети: 172.16.30.0/30
IP-адрес VPN-интерфейса маршрутизатора GW1: 172.16.30.1/30
IP-адрес VPN-интерфейса маршрутизатора GW2: 172.16.30.2/30
Настройка
Настройка первого маршрутизатора
Через графический интерфейс
Первым делом надо создать IPIP-туннель. Маршрутизатор добавить динамический IPsec peer с предназначенным ключом безопасности и политиков с параметрами поумолчанию (по умолчанию phase2 использует sha1/aes128cbc).
Объединение двух ЛВС через MikroTik.
Это описание немного сокращено в 2021г чтоб акцентировать внимание на рассматриваемой теме.
Есть роутер микротик и две ЛВС. Выполним настройки так, чтоб компьютеры обменивались пакетами на сетевом уровне и имели доступ в Интернет.
Освоить MikroTik Вы можете с помощью онлайн-куса «Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.
Использован MikroTik RB750Gr3 с прошивкой 6.49.
В разъем №1 подключаем провод от внешней сети (Интернет).
В разъем №2 подключаем провод от коммутатора ЛВС 8.
В разъем №3 подключаем провод от коммутатора ЛВС 9.
В сетевых адаптерах компьютеров сетей установлено получение IP-адреса по DHCP.
Внешний IP-адрес для выхода в Интернет прилетает так же по DHCP.
1.Подключение к роутеру, сброс конфигурации.
Подключаемся через WinBox по MAC-адресу.
Сбрасываем конфигурацию роутера на пустую (blank).
No Default Configuration — не оставлять дефолтную конфигурацию;
Do Not Backup — не делать резервную копию перед сбросом конфигурации.
Через командную строку терминала.
. Следует помнить, что удаляя базовые настройки, удалятся параметры безопасности. Если роутер будет работать шлюзом в Интернет необходимо настроить параметры безопасности (интерфейсы доступа, учетные записи, фильтры и прочие настройки).
Подключаемся к роутеру еще раз по MAC-адресу.
2.Назначение адресации для портов (LAN).
Для порта ether2 назначим IP-адрес 192.168.8.1
Для порта ether3 назначим IP-адрес 192.168.9.1
Каждый порт будет «смотреть» в свою сеть.
IP >> Addresses >> Нажимаем синий плюс >> В окне New Address вводим параметры:
Точно так же назначаем адрес второму порту с данными сети 9.
В результате в окне Adress List должны появится два адреса.
Через командную строку терминала:
3.Получение внешнего IP-адреса.
Назначим получение внешнего IP-адреса для доступа в интернет по DHCP через первый порт роутера.
IP >> DHCP Client >> Нажимаем синий плюс >> В окне New DHCP Client настраиваем:
Настройка Add Default Route: yes — установлена изначально, не изменяем ее чтоб автоматически создался маршрут для выхода в интернет.
В результате в окне DHCP Client появится строка с интерфейсом ether1 к которому через некоторое время присвоится внешний IP провайдера.
Через командную строку терминала:
Следует отметить, что в данном случае провайдером, раздающим интернет, является вышестоящий роутер сети нашей же организации. По этой причине отсутствуют пароли и прочие необходимые средства авторизации и доступа. В случае предоставления доступа в Интернет на платной основе через PPPoE или при выдаче статического IP-адреса провайдером по договору или еще какие-то варианты подключения, необходимо настраивать подключение в Интернет на роутере по отдельной инструкции, для каждого случая разной.
4.DHCP сервер.
Настроим сервер, для динамической раздачи IP-адресов в сетях.
4.1 Укажем сети для DHCP-сервера.
IP >> DHCP Server >> Вкладка Networks >> Нажимаем синий плюс.
В открывшемся окне DHCP Network вводим параметры:
Точно так же создаем сеть по адресу 192.168.9.0/24.
В результате в окне DHCP Server на вкладке Networks появятся две сети.
Через командную строку терминала:
/ ip dhcp — server network add address = 192.168.8.0 / 24 gateway = 192.168.8.1 dns — server = 192.168.8.1
/ ip dhcp — server network add address = 192.168.9.0 / 24 gateway = 192.168.9.1 dns — server = 192.168.9.1
4.2 Пул адресов, которые будет раздавать DHCP сервер.
IP >> Pool >> Нажимаем синий плюс >>В окне NEW IP Pool вводим параметры:
Точно так же создаем Пул для сети 9.
В результате в окне IP Pool появятся два Пула раздаваемых адресов для каждой сети.
Через командную строку терминала:
4.3 Создадим DHCP-сервер.
IP >> DHCP Server >> Нажимаем синий плюс >> Вводим параметры:
Повторяем действия и создаем DHCP сервер для сети 9.
В результате в окне DHCP Server можно увидеть созданные сервера.
Через командную строку терминала:
5.Правило NAT для доступа в Интернет.
IP >> Firewall >> Вкладка NAT >> Добавляем правило нажав синий плюс.
В открывшемся окне вводим параметры на вкладке General:
Переходим на вкладку Action.
Через командную строку терминала:
Другие правила при такой конфигурации не нужны. Если в процессе работы будет настраиваться брандмауэр и появятся различные запрещающие правила, то для того, чтоб трафик между сетями не блокировался можно добавить два правила в Filter Rules и расположить их вверху списка.
/ ip firewall filter add chain = forward in — interface = ether2 out — interface = ether3 action = accept
/ ip firewall filter add chain = forward in — interface = ether3 out — interface = ether2 action = accept
Servers: 8.8.8.8 — публичный DNS гугл (или любой другой публичный DNS или адрес который сообщит провайдер или вообще ничего при автоматическом получении)
Dynamic Servers: 192.168.0.1 — DNS который автоматически прилетает от вышестоящего роутера.
Allow Remote Requests — отмечаем галочкой (разрешение на обработку удаленных запросов, чтоб наш роутер отвечал на DNS запросы от пользователей ЛВС)
Через командную строку терминала:
Перезагружаем роутер, для актуализации IP-адресов раздаваемых по DHCP во все компьютеры.
Или обновляем IP-адрес через командную строку каждого компьютера:
Проверяем ping между компьютерами в разных сетях.
Если ping не проходит нужно приостановить защиту антивируса или отключить брандмауэр на тестируемых компьютерах.
На всякий случай трассировка (для неверующих).
Проверяем доступ в Интернет из обоих сетей. Интернет работает.
Посмотрим что в маршрутах. IP >> Routes.
Все маршруты динамические.
DAS — dynamic, Active, Static
DAC — dynamic, Active, Connected
1-для выхода в интернет, 2-внешняя сеть от вышестоящего роутера, 3 и 4 маршруты в локальные сети
Вся конфигурация в одном файле.
Освоить MikroTik Вы можете с помощью онлайн-куса «Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.
17 комментариев к записи “Объединение двух ЛВС через MikroTik.”
Сделал всё по статье, но работать структура не хочет, если я нахожусь в сети 9 и пингую комп в Сети 8 — пакет отрубает. Через средства маршрутизатора всё видит, PING идёт, а через командную строчку ПК Сети 9 — тишина.
Работает. В нашей сети на оборудовании crs326 таким способом объединено уже 6 сетей. Гдето на мостах, где-то просто на интерфейсах. http://www.pc360.ru/wp-content/uploads/2022-06-17_15-28-34.png Смотрите внимательно настройку DHCP.
Добрый день.
Попробовал реализовать эту структуру на роутере RB2011
На RB2011 (шлюз в интернет)
eth1_WAN 192.168.1.1
еth2 192.168.2.1
eht3..9 клиенты с ip.192.168.1.10..254
По логике я должен пинговать из 1й подсети 2ю и обратно.
Но: из подсети 192.168.1.0 я пингую любую машину в подсети 192.168.2.0
Из подсети 192.168.2.0 я могу пинговать
192.168.2.1 (для 2й подсети это шлюз)
192.168.1.1 (шлюз rb2011)
Но подсеть 192.168.1.0 из 2й подсети для меня недоступна.
Подозреваю, что я что то не так понял, но не могу разобраться что именно.
Не сочтите за труд, подскажите плз.
В вашем случае пинг из сети 192.168.2.0 идет к шлюзу 192.168.1.1 и дальше не знает куда ему тк это ether1 а сеть на ether3-9
Я бы так сделал:
ether1 — поменять IP-адрес на что-то другое (обычно внешний IP от провайдера или через pppoe)
ether2 192.168.2.1
ether3-9 объединить в мост и назначить ему IP-адрес 192.168.1.1
Добрый день. Вы совершенно правы, а я просто опечатался, так как писал с мобильника.
На RB2011 (шлюз в интернет)
eth1_WAN 145.*.*.86 — Статический IP провайдера
еth2 192.168.2.1 — это подсеть.
eht3..9 клиенты с ip.192.168.1.10..254 — тоже подсеть,
По логике я должен пинговать из 1й подсети 2ю и обратно.
Но: из подсети 192.168.1.0 я пингую любую машину в подсети 192.168.2.0, а Из подсети 192.168.2.0 я могу пинговать
192.168.2.1 (для 2й подсети это шлюз)
192.168.1.1 (шлюз rb2011)
Но подсеть 192.168.1.0 из 2й подсети для меня недоступна.
Подозреваю, что я что то не так понял, но не могу разобраться что именно.
Не сочтите за труд, подскажите плз.
Что значит: 192.168.1.1 (шлюз rb2011)? Это должен быть шлюз для подсети 192.168.1.0/х может в этом проблема. Какой шлюз у сети 192.168.1.0?
Очень часто пинг не проходит из-за брандмауэра и антивируса. Отключите все правила firewall роутера временно. Попробуйте вместо компьютера в сети 192.168.1.0/х подключить управляемый коммутатор с IP-адресом и посмотрите будет ли проходит пинг до него.
Да, вы опять правы,
для подсети 192.168.1.0 шлюзом является именно 192.168.1.1 картина следующая:
IP->addresses->Address list
145.*.*.86 -> ether1_WAN
192.168.1.1/24 -> bridge_1 (туда входят порты 3..10)
192.168.2.1/24 -> ether2
DHCP на обе подсети файрвол полностью отключил не помогло, включил обратно. Забил на это и уже смирился, что так и останется, но через 2 дня все само заработало. хотя routing был на обе подсети (DAC) изначально… я так и не понял в чем было дело.
Сейчас обе подсети пингуются и видят друг друга. Самое непонятное — это не то, что я не пинговал 1-ю подсеть из 2-й. а непонятно, почему 2-ю в тоже время из 1-й я видел сразу. По моей логике, если что-то мешает видеть подсеть с настройками firewall по умолчанию, то это что-то должно мешать в обе стороны, ИМХО)
В этом комментарии я увидел нечто подобное тому, что мне нужно. А именно, бьюсь над настройкой Микротика таким образом. На Микротик приходит Интернет,имеется всего 5 портов, eth1 -WAN, раздается WiFi, eth 2-4 одна подсеть, eth 5 — другая подсеть. Обе подсети должны выходить в Интернет, но не должны видеть друг друга. Проще говоря надо изолировать один порт, на котором будет DHCP, DNS, интернет для отдельного компьютера (соседа). Надо ли объединять порты 2-4 в бридж? Вообще такая схема возможна? Прошу ответить, если не трудно. Заранее благодарен. А еще лучше, если бы была статья на эту тему. Весь Интернет перерыл, не нашел подобного.