Достъп до отдалечена мрежа

[ianiovski]

Здравейте , имам два отдалечени Микротика свързани с WireGuard към един главен RB ,който се намира при мен и използвам EOIP протоколи  . При мен мрежата е 192.168.1.0/24  , на другите Микротици са 192.168.0.0/24 и 192.168.3.0/24 .  На главният RB имам 3 бриджа ,единият е от локалната ми мрежа на който ми е свързан настолният компютър  в мрежата 192.168.1.0/24 ,а другите два бриджа са ми от двата отдалечени Микротика . Искам да го направя със статичен маршрут ,така че без да се включвам в другите бриджове да мога да си достъпвам другите мрежи от настолният ми компютър с адрес 192.168.1.3  . Разписвах статични маршрути на Windows-a ,както и от Firewall-a на RB зададох правило srcnat  (masquerade) с правила в единият отдалечен Микротик  Src Address 192.168.1.0/24  и Dst Addres 192.168.3.0/24 . Обаче няма никакъв резултат . Как мога да направя въпросното нещо ?  

[111111]

/ip route
add disabled=no distance=2 dst-address=192.168.100.0/24 gateway=192.168.1.40 pref-src=0.0.0.0 routing-table=main scope=30 suppress-hw-offload=no target-scope=10
add disabled=no distance=2 dst-address=172.31.90.0/24 gateway=172.31.90.10 pref-src=0.0.0.0 routing-table=main scope=30 suppress-hw-offload=no target-scope=10
add disabled=no distance=2 dst-address=0.0.0.0/0 gateway=192.168.1.40 pref-src=0.0.0.0 routing-table=main scope=30 suppress-hw-offload=no target-scope=10
add disabled=no distance=2 dst-address=192.168.50.0/27 gateway=192.168.50.14 pref-src=0.0.0.0 routing-table=main scope=30 suppress-hw-offload=no target-scope=10

три отдалечени мрежи
отсреща имат същите реципрочни правила.

Гейта е ип-то което е зададено на отсрещната страна.

 

[ianiovski]

Благодаря стана ,но по малко друг начин . Видях какво пропускам, понеже пиша за гейт 192.168.1.1 ,а това ми е гейта за към Интернет-а ,а самият гейт за отдалечените Микротици са тези от бриджовете ,които дистанционно си вземат IP адрес от  главният ми Микротик . Единият ми гейт е 192.168.1.12 ,а  другият е 192.168.1.13 . Разписах само статичните маршрути на компютъра и стана . 

 

Quote

route add 192.168.0.0 mask 255.255.255.0 192.168.1.12

route add 192.168.3.0 mask 255.255.255.0 192.168.1.13

 

 

Редактирано 18 Август, 2022 от ianiovski

[ianiovski]

Друг казус ми излезе .......... на отдалечение Микротик с мрежа 192.168.0.0 има и там закачен компютъра с който искам да достъпвам по същия начин мрежа 192.168.1.0 . Разписах му статичен маршрут 

Quote

route add 192.168.1.0 mask 255.255.255.0 192.168.0.12

 

Където 192.168.0.12 ми е изнесения Bridge  в главният ми Микротик при мен . 

[ianiovski]

Извинявам се за повторните мнения ,но след някакъв период от време не мога да редактирам мненията . В крайна сметка трябваше  да въведа и във Firewall-a  правило за достъп до мрежите ,защото пинга го имаше на моменти и спираше . Вече и от двата компютъра имам достъп до съседните мрежи . Ако някой попадне в моята ситуация ,решението е разписване на статичен маршрут на компютъра и от Микротика  през IP --> Firewall  се разписва правило за достъп от отдалечената мрежа в локалната  мрежа ,това се прави на всички Микротици ,както написа  @111111 . 

[ianiovski]

А може ли чрез правило в Микротиците без статичен маршрут на PC да се направи цялата 192.168.1.0 мрежа да има достъп до другите две мрежи 192.168.0.0 и 192.168.3.0  при положение ,че основният Микротика ми е зад ONT устройство на Виваком ? Пробвах да разписвам маршрути ,но нещо не се получава .

 

DAd 0.0.0.0/0       192.168.1.1                        1
DAc 10.8.7.0/30     WireGuard_2                  0 
DAc 10.9.7.0/30     WireGuard_1                   0
DAc 10.10.7.0/30    Wireguard_Windows     0
DAc 10.11.7.0/30    WireGuard_Android        0
DAc 192.168.0.0/28  Bridge_2                       0
DAc 192.168.1.0/27  Bridge1_Home               0
DAc 192.168.3.0/24  Bridge_1                        0

 

Разписвах следните маршрути 

192.168.0.0/27 с gateway 192.168.1.12 (oтдалечения бридж на Микротика отсреща)

192.168.3.0/24 с gateways 192.168.1.13 (отдалечения бридж на 2-рия отдалечен Микротик)

Маршрутите не ми ги приема ,защото са със статус S  ,явно се препокриват с динамичните ми маршрути . 

 

 

[Самуил Арсов]

Layer 3 Tunneling Routing 

https://itservice-bg.net/mikrotik-l2tp-bez-ipsec/

Статията по горе умишлено е орязана за да се схване смисъла а не конкретна конфигураия. В този сценарии:

1. Няма NAT в тунелите за да се виждат устройствата между офисите без никакви ограничения.
2. Няма криптиране защото това не е банка, а и да е, има си протоколи за пренос като HTTPS, FTPS и SSH.
3. На устройствата зад рутера не се изискват никакви специални конфигурации, като рутиране например.
4. Не се "бриджват" тунелите, съответно липсва опасноста от Loop в отдалечния офис на 100 км.
5. Проста конфигурация: Default Gateway от към клиента може да ти е самият тунел (последния ред от статията)
6. В рутера може да се опише статичен DNS. Клиента няма да прави разлика между Интернет и отдалечен офис.
7. Конфигурацията е валидна за всички L3 тунели с лека промяна на транспортните адреси трябва маската да е /30
8. Ако отдалечения офис има два доставчика може с още един L3 тунел да се направи Failover с check ping.

Уточнение: L3 тунелите са предпочитан вариант поради факта, че по лесно се диагностицират проблемите: ping, traceroute са напълно достатъчни инструменти. Трябва обаче да е ясно, че за да няма NAT, Bridge и Loop: - маршрутизирането трябва да е от двете страни с правилните Gateways на транспортната мрежа !

[niki5]

В допълнение на горното , то е вярно ако се достъпват ресурси само в централният офис. Ако искаме да достъпваме ресурси в друг офис то трябва да окажем такива статици и в отдалечените офиси .

[Самуил Арсов]

1. Изрично е написано в статията, че няма NAT. Това значи, че на всеки клиент (рутер в отдалечен офис) трябва да има следния маршрут:

/ip route
add distance=1 dst-address=192.168.122.0/24 gateway=l2tp-out1

Където мрежата 192.168.122.0/24 е зад централния рутер макар, че когато има така нареченото двупосочно рутиране думата "централно" се размива. Ако го няма този маршрут, както централно така и отдалечено мрежите зад рутерите няма да се виждат. (ще се виждат само транспортните ип адреси) Това ще го разберем много лесно като пуснем от отдалечения офис /tool traceroute 192.168.122.1 и той спре на транспортния адрес на централния рутер преди тази мрежа.

2. Ако този маршрут на клиента го няма, за да вижда централния рутер мрежите зад клиентите трябва да има NAT на тунела към клиента, така пакетите ще се транслират през транспортния адрес на самият тунел. А клиента вижда този транспортен адрес без никакво рутиране защото той така или иначе е вдигнат на тунела който е и интерфейс на самият клиент. Затова си го рутира автоматично с metric 0 както всеки един добавен адрес.

3. При повече от 4-5 тунела може да се вдигне диманичен протокол RIP, OSPF, BGP и всичко става автоматично. Тогава вече може да имаме достъп до повече от два хопа или благинки като Failover. Но естествено пак банално да кажа, че не трябва да има никъде NAT. NAT съществува защото IPv4 адресното пространство не стига а не някой хора както си мисля за Security.