Jump to content
  • 0

Рутиране на L2TP в LAN... как?


niggata

Question

Здравейте! Имам следната мрежа 10.35.32.0/20 и един главен DHCP сървър, който раздава адреси. Имам и няколко подмрежи в различни vlan-ове, като основния е VLAN 1 и всички адреси се виждат в него. Купихме микротик борд като идеята му е, той да е връзката на външния свят с ресурсите на фирмата. Вдигнах L2TP сървър за целта и сетнах адрес 10.35.35.1 на микротика. В локалния DHCP е изключен рейджа 10.35.35.0/24 и него го назначих като pool във L2TP сървъра. След като маскарирах 10.35.35.0/24 клиентите който са закачени на L2TP-то започнаха да виждат локалната мрежа, но само тази, която е 10.35.32.0 до останалите различни мрежи и услуги няма достъп ? Въпроса ми е какви правила трябва да се направят, така че клиентите на L2TP след като получат адрес от локалното пространство, да могат да имат достъп да цялата инфраструктура на фирмата и също така, Е ли възможно хората с техните компютри от локалната мрежа да могат да достъпват директно компютрите на юзерите свързани през L2TP ?

Оптика --> Микротик --> Cisco --> LAN

Ако имате въпроси и неясноти, съм тук да обясня, защото от тези ми обяснения едва ли сте добили ясна картина ? ? 

Link to comment
Share on other sites

11 answers to this question

Recommended Posts

  • 0
  • Administrator

За какво ти е това Дриско щом не ти отговаря на рутинг заявките?

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

  • 0

цялата инфраструктура е изградена със сиско рутери, а микротика е само за да клати vpn. Предполагам, че нещо по настройките му не съм направил като хората. Възможна ли е изобщо цялата тази концепция да раздавам на L2TP интерфейсите IP-та, които са от вътрешната мрежа на сиско и те да се виждат отвсякъде? Все пак LAN интерфейса на микротика е с 10.35.35.1 и предполагам всички L2TP клиенти излизат през него и са под това общо IP. Сигурно е нещо елементарно, но не се сещам как да го направя и затова ви пиша за помощ и идеи

Link to comment
Share on other sites

  • 0
  • Administrator

Взимаш си лаптопа и физически се закачаш в тази мрежа.

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

  • 0
  • Administrator

Имаш ли път в борда за дестинация 10.35.32.0/20 през кой адрес/на цицкото/ да я търси ?

Edited by JohnTRIVOLTA
Link to comment
Share on other sites

  • 0

Ами микротика го е създал динамично интерфейса е този на който е вързано сиското, pref.source е IP-то на микротика на този интерфейс и дистанса е 0. Да го създам ли статично с дистанс 1 ?

Link to comment
Share on other sites

  • 0
  • Administrator

И кой е по високия приоритет в случая?

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

  • 0
  • Administrator
Преди 22 часа, niggata написа:

Ами микротика го е създал динамично интерфейса е този на който е вързано сиското, pref.source е IP-то на микротика на този интерфейс и дистанса е 0. Да го създам ли статично с дистанс 1 ?

Я виж по-добре този динамичен път за директно свързан интерфейс,че е с преф адреса на интерфейса ти на микротика !.... добави път за мрежата 10.35.32.0/20 с гейт адреса на цицкото !

Edited by JohnTRIVOLTA
Link to comment
Share on other sites

  • 0

опитах съветите ви, но нещо тотално се оплетох из тези рутираници. Качвам снимки на състоянието към момента. Сиското през флуките ми отговаря с IP 192.168.37.13 и съм сложил 192.168.37.84 на микротика. L2TP клиентите ми взимат адреси 10.35.35.0/24 като 10.35.35.250 го назначих на микротика. ether2 е интерфейса, който е вързан към сиското. Не мога да разбера в микротика ли нещо не съм направил или нещо някъде по трасето от тези сиско дръгели не е както трябва... :/

1.bmp

2.bmp

Link to comment
Share on other sites

  • 0
  • Administrator

Ако така обучават да се ползва Дриско трябва да разстрелят преподавателите-кожодери.

Това 10.35.35.250 от къде си го изсмука не разбрах.

Какво става като си сложиш лаптопа в таз мрежа 192.168.37.0/хх?

Научи се да ползваш разни сайтове като https://pasteboard.co и не се излагай с BMP RAW формати

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

  • 0
  • Administrator
Преди 4 часа, niggata написа:

опитах съветите ви, но нещо тотално се оплетох из тези рутираници. Качвам снимки на състоянието към момента. Сиското през флуките ми отговаря с IP 192.168.37.13 и съм сложил 192.168.37.84 на микротика. L2TP клиентите ми взимат адреси 10.35.35.0/24 като 10.35.35.250 го назначих на микротика. ether2 е интерфейса, който е вързан към сиското. Не мога да разбера в микротика ли нещо не съм направил или нещо някъде по трасето от тези сиско дръгели не е както трябва... ?

1.bmp

2.bmp

Вече подразбрах сякаш за какво иде реч, надявам се. Щом си назначил адрес с 20 битова маска не ти трябва този път. Ако искаш да имаш достъп и до мрежите 192.168.37.0/24 и 192.168.88.0/24 от нея то добави съответните правила за forward във филтъра:

/ip fi fi 

add chain=forward src-address=192.168.37.0/24 dst-address=10.35.32.0/20
add chain=forward src-address=10.35.32.0/20 dst-address=192.168.37.0/24
add chain=forward src-address=192.168.88.0/24 dst-address=10.35.32.0/20
add chain=forward src-address=10.35.32.0/20 dst-address=192.168.88.0/24

Правилата да са преди дроп правилата в преминаващата верига

Link to comment
Share on other sites

  • 0
  • Administrator

По лесно е да се казва кой рутер да управлява рутингите
 

/ip route
add comment=r_office_12 distance=2 dst-address=172.16.90.0/24 gateway=172.16.90.14

така може да се рутира през мрежа,

двупосочно със съответните правила.

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.