Обєднати офіси ЕоІР за допомогою Мікротік

[AndriyLL 0]

Буду вдячний якщо допоможете.  Е головний офіс де стоїть сервер і крутиться база , айпішк біла , статична .  Також є ще два офіси і  планується підключити ще два . Де айпішка теж біла але динамічна і інший пров. Скрізь стоїть Мікротик.  Як їх обєднати в одну мережеу , Чи обовязково для ЕоІР щоб була статина адреса скрізь ?  Бо як не гуглив то щось пише що потрібна статика . 

Якщо хтось кине детальну інструкцію яку я не зміг нарити , буду вдячний .

 

Мало не забув що робить з DHCP?  чи не буде один мікротик назначати айпі адреси в інший офіс ?   як то все правильно налаштувати ? 

Відредаговано 2016-06-06 12:06:35 AndriyLL

[lemosh 60]

Подымайте ВПН. Сервером делайте микротик со статикой, клиенты - все сотальные.

А дальше можете объединять через EoIP, либо простым роутингом

Вот полезная статься с вики на эту тему: http://wiki.mikrotik.com/wiki/Russian/Объединяем_офисы_с_помощью_Mikrotik

[BABAH 1]

Подымайте ВПН. Сервером делайте микротик со статикой, клиенты - все сотальные.

А дальше можете объединять через EoIP, либо простым роутингом

Вот полезная статься с вики на эту тему: http://wiki.mikrotik.com/wiki/Russian/Объединяем_офисы_с_помощью_Mikrotik

 

Все так само тільки без ЕоІР, а просто об'єднайте VPN тунелі в брідж (через окремий профіль на мікротіку з VPN сервером) і буде Вам локалка.

На цей брІдж повісите DHCP сервер.

 

Треба буде допомога - звертайтесь.

[AndriyLL 0]

Безмежно вдячний !  Сьогодні ситуація змінилась і певно в кращу сторону , головний + ще два офіси будуть підключені до одного прова, Головний буде статична айпі. На двох інших динамічна( по якихось тільки зрозумілих провайдеру причинах не можуть вони там зробити статику )  Але погодились обєднати їх VLАN.  Якщо я правильно зрозумів то це спрощує задачу , і певно вже айпі не так критично . але як тоді налаштовувавти Мікротики.  З dhcp вже розібравсь . просто в фаерволі буде потрібно заблочити щоб з одного офісу в інший не роздавало ай пі. 

 

Решта два в переспективі ще буде видно може теж пощастить і будуть до одного прова , а поки що Укртелеком )))

Відредаговано 2016-06-07 10:56:01 AndriyLL

[BlackVS 35]

Только я б зашифровал влан, что через провайдера - а то мало ли... 

[AndriyLL 0]

Для початку як то взагалі налаштувати ,  а то ще нема що шифрувати , ще поки нічогоне працює )))

[BlackVS 35]

Для початку як то взагалі налаштувати ,  а то ще нема що шифрувати , ще поки нічогоне працює )))

Ну если провайдер Ваши точки соединяет в один влан - то он должен Вам для начала сообщить ид этого самого влана.

Потом в Interfaces жмете "+", VLAN - и на интерфейсе провайдера создаете VLAN с выданным от провайдера ид.

И так на всех концах этого влана. Потом назначить ип адреса на созданные vlan-интерфейсы из одной подсети - после этого Вы по идее должны начать пинговать друг друга (с роутера на роутер). Если не пингуется - значит либо Вы, либо провайдер что-то недоделал. Если пингуется - тогда можно приступать к шифрованию %) Если не поняли из описанного хотя бы треть - лучше попросить кого-то, кто знает как.

ПС: кстати Ваша ссылка описывает именно то, что я перечислил..

[AndriyLL 0]

Провайдер ІД влана повідомив . за допомогу дякую . буду експериментувати завтра . А як шифрувати то не зрозумів ))

[John_Doe 301]

Еще былобы не плохо, в филиалах иметь разные сети для локалки и  роутить, а не в бридж все засовывать

[AndriyLL 0]

З роутера на роутер пінгуються ті айпі що поприсвоював Вланам.  Але мережі всеодно  нема.  що я пропустив ?

[BlackVS 35]

Еще былобы не плохо, в филиалах иметь разные сети для локалки и  роутить, а не в бридж все засовывать

100%.Хотя если провайдер пробросил хотя бы 100М... а если еще и 1Г %)

 

З роутера на роутер пінгуються ті айпі що поприсвоював Вланам.  Але мережі всеодно  нема.  що я пропустив ?

Смотря что Вы понимаете под "сети нет". Если роутеры пингуются между собой, то сеть есть, просто не так работает, как Вам надо.

Вопросы:

1. Каждый офис имеет ип с одной подсети или с разных?

2. Сеть для влана - своя отдельная?

Если все офисы имеют ип одной подсети, то самый простой (но не самый лучший как по мне) вариант - на каждом роутере собрать в бридж интерфейс влана и интерфес локалки.

Тогда все сети как-бы окажутся в одной L2 сети.

Почему мне так не нравится - абсолютно весь широковещательный трафик со всех офисов будет гулять туда-обратно. С одной стороны - вроде как увидите соседние ПК в сетевом окружении (при условии, что ПК в одной подстети и в одной рабочей группе/домене). С другой если вдруг кто-то пошлет мультикаст по локалке - то он и по влану скорее всего пойдет... Если локалка 1Г, например, то там не страшно, а влан у Вас какой?

 

А, второй момент - если  в бридж, то шифровать на Микротике скорее всего не получится (по крайней мере навскидку не придумаю как), Если же будете роутить - то без проблем, там поверх вешается тот же ipsec. Хотя мне больше нравится gre vpn+ipsec (меньше бодания со всякими MTU/MSS) .

 

Кстати, а какие у Вас микротики стоят? Там если шифровать, то производительность канала может сильно падать.

Відредаговано 2016-06-08 08:57:51 BlackVS

[BlackVS 35]

Мало не забув що робить з DHCP?  чи не буде один мікротик назначати айпі адреси в інший офіс ?

 

а, еще. Если бридж - то один dhcp будет на всех ибо он как раз и использует широковещалку. В теории можно фильтровать (bridge -> filters) и сделать свой для каждого офиса..

Ну или можно сделать так - в каждом офисе можно свой дхсп, но с разными диапазонами выдаваемых адресов. Если вдруг канал развалится - то останется только локальный. Если же влан будет - то от кого первого придет ответ, от того и получит. адрес.

Немножко цирк, но как-то работать будет. Единственное что админу потом придется искать, какой ПК где, так как по ип это теперь не определишь.

 

Если роутить - то в каждом офисе свой дхсп (можно в принципе и один - через dhcp relay, но нужно ли?). 

Відредаговано 2016-06-08 09:05:25 BlackVS

[AndriyLL 0]

На головному офісі стоїть RB2011UiAS.  на інших  RB750 . На даний час налаштовано що кожен буде видавати айпі в певному діапазоні в свому офісі на той випадок що якщо головний відвалиться то хоча б буде інет . Потрібно буде відфільтрувати щоб не видавало айпі на інші офіси.  Кожен офис з одною подсетю .  Интерфейс влана та локалки зібрав в один бридж , але щось те можу з одного офісу в інший ні пропінгувати і взагалі ніяк. хоча інтерфеси вланів один одного пінгують .  щось я десь ще пропустив

[BlackVS 35]

Конфиги двух роутеров скиньте.

В терминале винбокса:

export compact file=config1

В Files появится конфиг в виде config1.rsc - это текстовый файл.

Удалите из него все пароли и конфиденциальную информацию и скиньте сюда.

[AndriyLL 0]

 на форум чомусь не прикріпляються http://www.ex.ua/342233234787

[BlackVS 35]

Второй в самом деле такой короткий? Смущает "#interrupted" в конце

[AndriyLL 0]

Реально мікротик . Правда вже старенький і налаштовувавсь не мною , може доречно було б його взагалі в нуль скинути , Хоча дуже схоже на те що пров щось з вланами намутив , щось не то виходить , щось в них намучено з маршрутизаціє чи ще з чимось, бо не зрозуміло чому не можуть дати статику на решті філіалів .

[AndriyLL 0]

Багато нервів і часу було за ці дні потрачено, а проблема виявилась в тому що одмін провайдера просто на одному зі свічів не прокинув ВЛАН . саме тяжко було його переконати що б перевірив ще раз уважно , первірив знайшов граблі і відразу пішов пінг )).

 

Підскажіть що там потрібно в фаерволі задропити щоб ДНСР запроси не бігали з одного офісу на інший?  Пули вже на налаштовані, кожен офіс буде в свому діапазоні. 

 

інтерфейс ВЛАН в брідж добавив, але щось компи в іншому офісі не пінгую , що я ще міг пропустити , якісь маршрути потрібно налаштовувати ? чи вже воно повинно працювати ?

Відредаговано 2016-06-10 08:17:31 AndriyLL

[AndriyLL 0]

Пинги йдуть . 

 

conf.rar Конфіги одного та другого.

[BlackVS 35]

Попробуйте так:

 

На стороне первого роутера:

 

/interface bridge filter

add action=drop chain=forward comment="" \

disabled=no dst-address=255.255.255.255/32 ip-protocol=udp mac-protocol=\
ip src-address=192.168.88.2/16 src-port=67-68

 

на стороне второго

 

/interface bridge filter

add action=drop chain=forward comment="" \

disabled=no dst-address=255.255.255.255/32 ip-protocol=udp mac-protocol=\
ip src-address=192.168.88.1/16 src-port=67-68

 

 

или так (одинаково на обоих):

 

/interface bridge filter

add action=drop chain=forward comment="" \

disabled=no dst-address=255.255.255.255/32 ip-protocol=udp mac-protocol=\
ip in-interface=mo src-port=67-68

 

То есть смысл в том, чтобы блочить DHCP шировещалку. В первом варианте мы указываем на каком роутере чью широковещалку ДХСП блочитть. Во-втором - блочим любую ДХСП, что идет по влану...

Это в теории - сам так не пробовал.

 

По поводу того, что не видят друг друга. Вы с ПК на одной стороне оба роутера можете пинговать? Если да, то может у Вас просто на ПК в офисах фаервол блокирует входящий пинг? Как вариант - запустите  пинг в одной сети на какой-то пк в другой сети и потом с помощью Tools - Packet sniffer на другой стороне посмотрите, приходят ли пакеты с пингом с первой стороны и куда уходят ответы. Ну или Torch на mo/bridge интерфейсе на обоих концах.

Відредаговано 2016-06-12 05:22:37 BlackVS

[John_Doe 301]

Бриджи тут лишние, сделать нормальный роутинг между площадками и не парится

А то намаетесь потом косяки искать на какой площадке свич флудит или еще какаято фигня

[AndriyLL 0]

 

По поводу того, что не видят друг друга. Вы с ПК на одной стороне оба роутера можете пинговать? Если да, то может у Вас просто на ПК в офисах фаервол блокирует входящий пинг? Как вариант - запустите  пинг в одной сети на какой-то пк в другой сети и потом с помощью Tools - Packet sniffer на другой стороне посмотрите, приходят ли пакеты с пингом с первой стороны и куда уходят ответы. Ну или Torch на mo/bridge интерфейсе на обоих концах.

 

 

 

Та ні . з одного мікротика на інший не пінгуеться локальний адрес.  Влан пінгується як на скріні .  192,168,88,2 вже ні (  Компи ще не пінговав , нема сенсу поки локальна адреса не пінгується.  Зроблю вищевказані маніпуляції, гляну що з того вийде

Відредаговано 2016-06-12 19:22:45 AndriyLL

[holubets 43]

Вам потрібно виділити окремі підмережі для кожної мережі.

Наприклад:

192.168.88.0/24 - для першого мікротіка

192.168.89.0/24 - для другого мікротіка

І всім комп’ютерам роздавати ІР з цих підмереж відповідно.

І дописати маршрути для маршрутизації відповідних підмереж через відповідні ІР.

[AndriyLL 0]

Це просто жопа якась !!!   і виходить що на стороні провайдера , офіс 2 і 3 між собою вяжеться без проблем з першого разу . з 2 до 1 . з 3 до 1 . максимум що можна отримати це пінг         .  

 

як це додолкувати провайдеру ? я більш чим впевнений що отримаю відповідь що проблема в мене 

[John_Doe 301]

 

 

виходить що на стороні провайдера , офіс 2 і 3 між собою вяжеться без проблем з першого разу . з 2 до 1 . з 3 до 1 . максимум що можна отримати це пінг

Ну раз ходят пинги то должно ходить и все остальное. Вы главное бриджи выключите и роутите нормально