Как объеденить две сети?

Обсуждение ПО и его настройки
ivan.martynov
Сообщения: 8
Зарегистрирован: 28 дек 2018, 09:01

Помогите, пожалуйста, объединить две сети (в каждой свой DHCP). С шифрованием и без, интересны оба варианта. На данный момент могу пинговать туда и обратно 172.16.1.1 <> 172.16.1.2. Добавлял в Route List строчку 192.168.2.0/24 шлюз 172.16.1.2 дистанция 1, пинговался 192.168.2.1, как получить доступ внутрь сети?
Изображение


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Что там у вас маршрутами????

route 192.156.2.0/24 172.16.1.2


route 192.156.1.0/24 172.16.1.1


А EPL у вас - это прямой Ethernet канал??? Вам такое организовал провайдер??? Сколько же денег отвалили???

Что касается шифрования: если оно действительно нужно и данные секретные, то это только специальные криптошлюзы. Если просто поиграться, то можно любой туннель попробовать типа L2TP и так далее. Но смысла в этом я не вижу, только нагрузка увеличится на роутеры, а секретности, не особо добавит.


ivan.martynov
Сообщения: 8
Зарегистрирован: 28 дек 2018, 09:01

Как я понимаю EPL у нас это не прямо "прямой Ethernet" это VLANы по оптике по провайдерским маршрутизаторам (скорее всего, ведь уровень L2, но шифрования нет), но прямее некуда. Адреса 172.16.1.1 и 172.16.1.2 я присвоил интерфейсам сам, хотя не знаю есть ли в этом нужда. Т.е. сейчас просто включаю ethernet на одном конце и sfp на другом, то адреса друг друга пингуют. В RouteList /ip route add distance=1 dst-adress=192.168.1.0/24 gateway 172.16.1.1 и /ip route add distance=1 dst-adress=192.168.2.0/24 gateway 172.16.1.2 соответственно, думаю что делаю что-то либо совсем не правильно, либо наполовину :) По поводу шифрования: CCR брались специально, в надежде на модуль шифрования (ну что сумеем сварганить что-то пускай и не без помощи), чтобы не нагружать железку, но данные защитить. EPL канал 100 Мбит/с не хотелось бы терять в скорости, провайдер говорит что третье лицо никогда не получит доступа к каналу, ну кроме провайдера самого :) потому данные передаваемые от интерфейса до интерфейса хотелось бы шифровать, если это возможно (коммерческая тайна и все такое).


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

IPIP туннель зашифрованный IPSec'ом можно поднять между 172.16.1.1 и 172.16.1.2
И уже на него те адреса, через которые маршруты и т.д.
100мбит CCR1009 легко потянут.


Telegram: @thexvo
ivan.martynov
Сообщения: 8
Зарегистрирован: 28 дек 2018, 09:01

xvo писал(а): 04 окт 2021, 12:12 IPIP туннель зашифрованный IPSec'ом можно поднять между 172.16.1.1 и 172.16.1.2
И уже на него те адреса, через которые маршруты и т.д.
100мбит CCR1009 легко потянут.
А просто маршрутами как делать? В RouteList прописал /ip route add distance=1 dst-adress=192.168.1.0/24 gateway 172.16.1.1 и /ip route add distance=1 dst-adress=192.168.2.0/24 gateway 172.16.1.2, но пингануть могу только 192.168.1.1 и 192.168.2.1, т.е. сами маршрутизаторы, как заставить пинговать внутрь сети?


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Должно быть достаточно.
Firewall'ы как на самих микротиках, так и на том, что вы пытаетесь пинговать, это разрешает?


Telegram: @thexvo
ivan.martynov
Сообщения: 8
Зарегистрирован: 28 дек 2018, 09:01

xvo писал(а): 05 окт 2021, 07:13 Должно быть достаточно.
Firewall'ы как на самих микротиках, так и на том, что вы пытаетесь пинговать, это разрешает?
На одном не уверен, он как бы в работе, но тот что делаю в удаленный офис абсолютно пустой. Firewall и NAT. Подсоеденил к нему ноутбук в Bridge и пытаюсь его пропинговать с "рабочего", ничего не получается.

вот конфиг того, который пытаюсь пинговать, ноут подключенный к нему получился адрес 192.168.2.254 (его и пингую с микротика который 192.168.1.1)

/interface bridge
add name=bridge1
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=pool1 ranges=192.168.2.100-192.168.2.254
/ip dhcp-server
add address-pool=pool1 disabled=no interface=bridge1 lease-time=3d name=\
server1
/interface bridge port
add bridge=bridge1 interface=sfp-sfpplus1
add bridge=bridge1 interface=ether7
/ip address
add address=192.168.2.1/24 interface=bridge1 network=192.168.2.0
add address=172.16.1.2/24 interface=combo1 network=172.16.1.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=combo1
/ip dhcp-server network
add address=192.168.2.0/24 dns-server=192.168.1.8,192.168.2.1 domain=\
zabppk.com gateway=192.168.2.1 netmask=24 ntp-server=192.168.2.1
/ip route
add distance=1 dst-address=192.168.1.0/24 gateway=172.16.1.1


ivan.martynov
Сообщения: 8
Зарегистрирован: 28 дек 2018, 09:01

xvo писал(а): 05 окт 2021, 07:13 Должно быть достаточно.
Firewall'ы как на самих микротиках, так и на том, что вы пытаетесь пинговать, это разрешает?
ой это лишнее: /ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=combo1

забыл удалить, это когда от правайдера проверяли, но не думаю что это могло мешать.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Так а сама машина, которую вы пингуете?
Виндовый firewall, например, по-умолчанию не даёт себя пинговать не и из своей сети.


Telegram: @thexvo
ivan.martynov
Сообщения: 8
Зарегистрирован: 28 дек 2018, 09:01

xvo писал(а): 05 окт 2021, 12:18 Так а сама машина, которую вы пингуете?
Виндовый firewall, например, по-умолчанию не даёт себя пинговать не и из своей сети.
спасибо, действительно все работает, проблема на рабочем месте, подключил к настраиваемому маршрутизатору ip-телефон, тот спокойно соединился с АТСкой в другой сети, даже по доменному имени. Вопрос такой вы писали про IPIP с IPSec, а можно без туннеля, просто IPSec шифровать трафик между 172.16.1.1 и 172.16.1.2. Т.е. поднять на 172.1.1.1 IPsec-пир. И добавить политику IPsec шифровать трафик от 192.168.1.0/24 до 192.168.2.0/24. С другой стороны тоже самое но в обратном порядке в случае с адресами. В моем случае канал l2, а потому правило обхода NAT не понадобиться, ведь при такой схеме он не задействован. Такое можно использовать или я что-то не то говорю? По моей логике не знаю правильно думаю или нет, как раз в этом случае точно будет задействован модуль шифрования и нагрузка на маршрутизатор будет минимальна.


Ответить