Телеграмм чат группы MikrotikRus страница 31229

гугли объединение 2х филиалов микротик. рано тебе еще в икев2

хорошо

21:56пожаловаться

Разделил на две подсетки.

Локалка: 192.168.10.0/24 шлюз 192.168.10.10
Клиенты vpn: 192.168.20.0/24 шлюз 192.168.20.10

1) Как правильно настроить роутинг и фаервол, чтобы клиенты из разных подсетей видели друг друга и могли нормально общаться? вроде у меня они пингуются и в целом есть доступ, но трэйсроут выдаёт кучу звёздочек, что меня смущает.

2) среди впн клиентов у меня есть один особенный, который я хочу использовать как шлюз для интернета. как это реализовать?

буду признателен как общим идеям, так и конкретным или ссылкам на доки/статьи.

22:52пожаловаться

Andrew Tropin

Есть такой конфиг:
на микротике есть три интерфейса wan0 lan0 l2tp-client0
на удалённой машинке есть eth0 ppp0 (тунель к микротику)
lan0 192.168.10.100-200
l2tp-client0 192.168.10.250

Написал правило маскарадинга из 192.168.10.0/24 в l2tp-client0.

На удалённой машинке сделал маскарадинг из ppp0 в eth0

Подскажите плз, что нужно, чтобы завернуть трафик с клиентов из lan0 в l2tp-client0, а не wan0.

первый пост

22:54пожаловаться

если клиенты на винде ниче настраивать не надо, все работает из коробки без всяких звездочек

23:14пожаловаться

если клиенты на винде ниче настраивать не надо, все работает из коробки без всяких звездочек

клиенты разные.

1) я хочу, чтобы vpn клиенты могли общаться с машинами из локалки. вроде сделал, но трейсроут странный

23:21пожаловаться

либо маршрут прописывать до 192,168,10,0/24 через впн сервер, либо дефалт гейт через впн

23:21пожаловаться

на клиентах. и все будет ок

23:21пожаловаться

2) есть магический впн клиент 192.168.20.100. Хочется, чтобы весь трафик из 192.168.10.0/24 в глобальную сеть шёл через него.

23:22пожаловаться

ну дефалт роут на него ставишь и все

23:22пожаловаться

ну дефалт роут на него ставишь и все

где, на каждом клиенте?

23:22пожаловаться

на роутере

23:23пожаловаться

Welcome Bot in MikrotikRus

Добро пожаловать в чат про MikroTik.
Если у тебя есть затруднения с настройкой MikroTik, посмотри здесь, как правильно задавать вопросы:
https://habr.com/ru/post/460221/

23:24пожаловаться

А не будет ли каких-то проблем из-за того, что компы в разных подсетях?

и ещё юзкейс: как чисто гипотетическая подсеть 192.168.30.0/24 будет ходить в интернет через этот же роутер? (не через этого волшебного впн клиента, а через wan интерфейс роутера)
понимаю, что звучит странно, но это важно.

23:25пожаловаться

Andrew Tropin

30.0/24 через route rule

23:26пожаловаться

о каких проблемах идет речь?

не будет работать например виндовый нетбиос

l2 ходить не будет

если это проблема - то значит проблемы будут

ну дефалт роут на него ставишь и все

дополняю инфу. у роутер есть wan, смотрящий в интернет, через этот wan установлен тунель с 192.168.20.100.

Раньше клиенты получали инет, потому что был нат из локалки в wan. Теперь я отключил это правило и сделал 192.168.20.100 дефолт гетвеем.

на 192.168.20.100:
-A FORWARD -i eth0 -o ppp0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i ppp0 -o eth0 -j ACCEPT
-A POSTROUTING -o eth0 -j MASQUERADE

Инет из локалки через 192.168.20.100 не работает

23:36пожаловаться

так сделай точно такой же НАТ на тунель а не на ван