Jump to content

Достъп до отдалечена мрежа


ianiovski

Recommended Posts

Здравейте , имам два отдалечени Микротика свързани с WireGuard към един главен RB ,който се намира при мен и използвам EOIP протоколи  . При мен мрежата е 192.168.1.0/24  , на другите Микротици са 192.168.0.0/24 и 192.168.3.0/24 .  На главният RB имам 3 бриджа ,единият е от локалната ми мрежа на който ми е свързан настолният компютър  в мрежата 192.168.1.0/24 ,а другите два бриджа са ми от двата отдалечени Микротика . Искам да го направя със статичен маршрут ,така че без да се включвам в другите бриджове да мога да си достъпвам другите мрежи от настолният ми компютър с адрес 192.168.1.3  . Разписвах статични маршрути на Windows-a ,както и от Firewall-a на RB зададох правило srcnat  (masquerade) с правила в единият отдалечен Микротик  Src Address 192.168.1.0/24  и Dst Addres 192.168.3.0/24 . Обаче няма никакъв резултат . Как мога да направя въпросното нещо ?  

Link to comment
Share on other sites

  • Administrator
/ip route
add disabled=no distance=2 dst-address=192.168.100.0/24 gateway=192.168.1.40 pref-src=0.0.0.0 routing-table=main scope=30 suppress-hw-offload=no target-scope=10
add disabled=no distance=2 dst-address=172.31.90.0/24 gateway=172.31.90.10 pref-src=0.0.0.0 routing-table=main scope=30 suppress-hw-offload=no target-scope=10
add disabled=no distance=2 dst-address=0.0.0.0/0 gateway=192.168.1.40 pref-src=0.0.0.0 routing-table=main scope=30 suppress-hw-offload=no target-scope=10
add disabled=no distance=2 dst-address=192.168.50.0/27 gateway=192.168.50.14 pref-src=0.0.0.0 routing-table=main scope=30 suppress-hw-offload=no target-scope=10

три отдалечени мрежи
отсреща имат същите реципрочни правила.

Гейта е ип-то което е зададено на отсрещната страна.

 

  • Like 1
Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

Благодаря стана ,но по малко друг начин . Видях какво пропускам, понеже пиша за гейт 192.168.1.1 ,а това ми е гейта за към Интернет-а ,а самият гейт за отдалечените Микротици са тези от бриджовете ,които дистанционно си вземат IP адрес от  главният ми Микротик . Единият ми гейт е 192.168.1.12 ,а  другият е 192.168.1.13 . Разписах само статичните маршрути на компютъра и стана . 

 

Quote

route add 192.168.0.0 mask 255.255.255.0 192.168.1.12

route add 192.168.3.0 mask 255.255.255.0 192.168.1.13

 

 

Edited by ianiovski
Link to comment
Share on other sites

Друг казус ми излезе .......... на отдалечение Микротик с мрежа 192.168.0.0 има и там закачен компютъра с който искам да достъпвам по същия начин мрежа 192.168.1.0 . Разписах му статичен маршрут 

Quote

route add 192.168.1.0 mask 255.255.255.0 192.168.0.12

 

Където 192.168.0.12 ми е изнесения Bridge  в главният ми Микротик при мен . 

Link to comment
Share on other sites

Извинявам се за повторните мнения ,но след някакъв период от време не мога да редактирам мненията . В крайна сметка трябваше  да въведа и във Firewall-a  правило за достъп до мрежите ,защото пинга го имаше на моменти и спираше . Вече и от двата компютъра имам достъп до съседните мрежи . Ако някой попадне в моята ситуация ,решението е разписване на статичен маршрут на компютъра и от Микротика  през IP --> Firewall  се разписва правило за достъп от отдалечената мрежа в локалната  мрежа ,това се прави на всички Микротици ,както написа  @111111

Link to comment
Share on other sites

  • 1 month later...

А може ли чрез правило в Микротиците без статичен маршрут на PC да се направи цялата 192.168.1.0 мрежа да има достъп до другите две мрежи 192.168.0.0 и 192.168.3.0  при положение ,че основният Микротика ми е зад ONT устройство на Виваком ? Пробвах да разписвам маршрути ,но нещо не се получава .

 

DAd 0.0.0.0/0       192.168.1.1                        1
DAc 10.8.7.0/30     WireGuard_2                  0 
DAc 10.9.7.0/30     WireGuard_1                   0
DAc 10.10.7.0/30    Wireguard_Windows     0
DAc 10.11.7.0/30    WireGuard_Android        0
DAc 192.168.0.0/28  Bridge_2                       0
DAc 192.168.1.0/27  Bridge1_Home               0
DAc 192.168.3.0/24  Bridge_1                        0

 

Разписвах следните маршрути 

192.168.0.0/27 с gateway 192.168.1.12 (oтдалечения бридж на Микротика отсреща)

192.168.3.0/24 с gateways 192.168.1.13 (отдалечения бридж на 2-рия отдалечен Микротик)

Маршрутите не ми ги приема ,защото са със статус S  ,явно се препокриват с динамичните ми маршрути . 

 

 

Link to comment
Share on other sites

  • Administrator

Layer 3 Tunneling Routing 

https://itservice-bg.net/mikrotik-l2tp-bez-ipsec/

Статията по горе умишлено е орязана за да се схване смисъла а не конкретна конфигураия. В този сценарии:

1. Няма NAT в тунелите за да се виждат устройствата между офисите без никакви ограничения.
2. Няма криптиране защото това не е банка, а и да е, има си протоколи за пренос като HTTPS, FTPS и SSH.
3. На устройствата зад рутера не се изискват никакви специални конфигурации, като рутиране например.
4. Не се "бриджват" тунелите, съответно липсва опасноста от Loop в отдалечния офис на 100 км.
5. Проста конфигурация: Default Gateway от към клиента може да ти е самият тунел (последния ред от статията)
6. В рутера може да се опише статичен DNS. Клиента няма да прави разлика между Интернет и отдалечен офис.
7. Конфигурацията е валидна за всички L3 тунели с лека промяна на транспортните адреси трябва маската да е /30
8. Ако отдалечения офис има два доставчика може с още един L3 тунел да се направи Failover с check ping.

Уточнение: L3 тунелите са предпочитан вариант поради факта, че по лесно се диагностицират проблемите: ping, traceroute са напълно достатъчни инструменти. Трябва обаче да е ясно, че за да няма NAT, Bridge и Loop: - маршрутизирането трябва да е от двете страни с правилните Gateways на транспортната мрежа !

  • Thanks 2
Link to comment
Share on other sites

В допълнение на горното , то е вярно ако се достъпват ресурси само в централният офис. Ако искаме да достъпваме ресурси в друг офис то трябва да окажем такива статици и в отдалечените офиси .

Link to comment
Share on other sites

  • Administrator

1. Изрично е написано в статията, че няма NAT. Това значи, че на всеки клиент (рутер в отдалечен офис) трябва да има следния маршрут:

/ip route
add distance=1 dst-address=192.168.122.0/24 gateway=l2tp-out1

Където мрежата 192.168.122.0/24 е зад централния рутер макар, че когато има така нареченото двупосочно рутиране думата "централно" се размива. Ако го няма този маршрут, както централно така и отдалечено мрежите зад рутерите няма да се виждат. (ще се виждат само транспортните ип адреси) Това ще го разберем много лесно като пуснем от отдалечения офис /tool traceroute 192.168.122.1 и той спре на транспортния адрес на централния рутер преди тази мрежа.

2. Ако този маршрут на клиента го няма, за да вижда централния рутер мрежите зад клиентите трябва да има NAT на тунела към клиента, така пакетите ще се транслират през транспортния адрес на самият тунел. А клиента вижда този транспортен адрес без никакво рутиране защото той така или иначе е вдигнат на тунела който е и интерфейс на самият клиент. Затова си го рутира автоматично с metric 0 както всеки един добавен адрес.

3. При повече от 4-5 тунела може да се вдигне диманичен протокол RIP, OSPF, BGP и всичко става автоматично. Тогава вече може да имаме достъп до повече от два хопа или благинки като Failover. Но естествено пак банално да кажа, че не трябва да има никъде NAT. NAT съществува защото IPv4 адресното пространство не стига а не някой хора както си мисля за Security.
 

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.