Адресация внутри сети между офисами.

[Disak81]

Имеем оборудование и настройки (пример 1 подразделение и офис)

 

Подразделения:
Mikrotik RB951series
WAN – 109.x.x.x
LAN – 192.168.2.0/24
L2TP – 172.10.10.20
Главный офис:
Mikrotik RB951G
WAN - 212.x.x.x
LAN – 192.168.0.0/24
L2TP – 172.10.10.0

Проблема:

Имеются несколько подразделений подключенных к главному офису по L2TP, в каждом подразделении своя подсеть. Все работает нормально, все офисы видят друг друга, пинги ходят, но столкнулись со следующей проблемой. В подразделениях установлены видеорегистраторы, а в главном офисе установлен видео сервер к которому подключаются регистраторы. Проблема в том, что сервер видит все регистраторы как 192.168.0.1. Вопрос где и что прописать в правила NAT и/или Firewall чтобы нормально возвращались адреса регистраторов?

Настройки офиса:

 

# may/13/2014 11:39:53 by RouterOS 6.12
# software id = MW1G-G5AN
#
/interface l2tp-server
add name=admin user=0ut1imit
add name=l2tp-nsk user=nsk
add name=l2tp-sklad user=sklad
add name=l2tp-tsk user=tsk
/interface bridge
add l2mtu=1598 name=bridge-local
/interface ethernet
set [ find default-name=ether2 ] arp=proxy-arp name=LAN-master
set [ find default-name=ether3 ] master-port=LAN-master name=LAN-slave1
set [ find default-name=ether4 ] master-port=LAN-master name=LAN-slave2
set [ find default-name=ether5 ] master-port=LAN-master name=LAN-slave3
set [ find default-name=ether1 ] name=WAN
/interface wireless
set [ find default-name=wlan1 ] adaptive-noise-immunity=ap-and-client-mode band=\
2ghz-b/g/n channel-width=20/40mhz-ht-above country=russia disabled=no distance=\
indoors frequency-mode=regulatory-domain ht-guard-interval=long \
hw-protection-mode=rts-cts l2mtu=2290 mode=ap-bridge periodic-calibration=enabled \
ssid=halt wireless-protocol=802.11 wmm-support=enabled
/interface pptp-server
add name=pptp-in1 user=admin1c
add name=pptp-in2 user=disak
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" mode=\
dynamic-keys wpa2-pre-shared-key=XXXXXXX
/ip hotspot user profile
set [ find default=yes ] idle-timeout=none keepalive-timeout=2m mac-cookie-timeout=3d
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=3des,aes-128-cbc pfs-group=none
/ip pool
add name=dhcp_pool1 ranges=192.168.0.102-192.168.0.109
add name=L2TP_pool ranges=172.10.10.2-172.10.10.10
/ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface=bridge-local name=dhcp1
/ppp profile
add change-tcp-mss=yes dns-server=80.247.96.65,80.247.97.18,8.8.8.8 local-address=\
172.10.10.1 name=L2TP_profile remote-address=L2TP_pool use-ipv6=no
/user group
add name=ftp policy="ftp,read,write,!local,!telnet,!ssh,!reboot,!policy,!test,!winbox,\
!password,!web,!sniff,!sensitive,!api"
/interface bridge port
add bridge=bridge-local interface=LAN-master
add bridge=bridge-local interface=wlan1
/interface l2tp-server server
set authentication=mschap2 default-profile=L2TP_profile enabled=yes max-mtu=1418
/interface pptp-server server
set default-profile=L2TP_profile enabled=yes
/ip address
add address=192.168.0.1/24 interface=bridge-local network=192.168.0.0
add address=212.x.x.206/30 interface=WAN network=212.x.x.204
/ip dhcp-server network
add address=192.168.0.0/24 dns-server=80.247.96.65,80.247.97.18,8.8.8.8 gateway=\
192.168.0.1
/ip dns
set allow-remote-requests=yes servers=80.247.96.65,80.247.97.18,8.8.8.8
/ip firewall filter
add chain=input comment="Accept L2TP" dst-port=1723 protocol=tcp
add chain=input dst-port=3389 in-interface=WAN protocol=tcp
/ip firewall nat
add action=src-nat chain=srcnat disabled=yes to-addresses=212.x.x.206
add action=dst-nat chain=dstnat dst-port=3389 in-interface=WAN protocol=tcp \
to-addresses=192.168.0.212 to-ports=3389
add action=dst-nat chain=dstnat disabled=yes to-addresses=212.x.x.206
add action=masquerade chain=srcnat
/ip ipsec peer
add enc-algorithm=3des exchange-mode=main-l2tp generate-policy=port-strict \
nat-traversal=yes secret=123456
/ip route
add check-gateway=ping distance=1 gateway=212.x.x.205
add check-gateway=ping comment="Route to sklad" distance=1 dst-address=192.168.2.0/24 \
gateway=172.10.10.20
add check-gateway=ping comment="Route to nsk" distance=1 dst-address=192.168.4.0/24 \
gateway=172.10.10.40
add check-gateway=ping comment="Route to tsk" distance=1 dst-address=192.168.8.0/24 \
gateway=172.10.10.80
/ip service
set telnet disabled=yes
set ftp address=192.168.0.0/16,172.10.10.0/24
set www disabled=yes
set ssh address=192.168.0.0/24
set api disabled=yes
set api-ssl disabled=yes
/ip upnp
set allow-disable-external-interface=no
/ppp secret
add name=admin1c password=XXXXXX profile=L2TP_profile
add local-address=172.10.10.1 name=sklad password=XXXXXX profile=L2TP_profile \
remote-address=172.10.10.20 service=l2tp
add local-address=172.10.10.1 name=nsk password=XXXXXX profile=L2TP_profile \
remote-address=172.10.10.40 service=l2tp
add local-address=172.10.10.1 name=tsk password=XXXXXX profile=L2TP_profile \
remote-address=172.10.10.80 service=l2tp
add name=0ut1imit password=XXXXX profile=L2TP_profile
add name=disak password=XXXXXX profile=L2TP_profile
add name=telekan password=XXXXXX profile=L2TP_profile
add name=irina password=XXXXX profile=L2TP_profile
add name=Dir-NSK password=XXXXXX profile=L2TP_profile
add name=progrmmer1c password=XXXXXX profile=L2TP_profile
/system clock
set time-zone-name=Asia/Krasnoyarsk
/system clock manual
set time-zone=+07:00
/system leds
set 0 interface=wlan1
[disak@MikroTik] >

Настройки подразделения 1:

 

# jan/07/1970 04:49:17 by RouterOS 6.12
# software id = IIV1-V76F
#
/interface bridge
add l2mtu=1598 name=bridge-local
/interface ethernet
set [ find default-name=ether2 ] arp=proxy-arp mac-address=D4:CA:6D:EB:F4:79 \
name=LAN-master
set [ find default-name=ether3 ] mac-address=D4:CA:6D:EB:F4:7A master-port=\
LAN-master name=LAN-slave1
set [ find default-name=ether4 ] mac-address=D4:CA:6D:EB:F4:7B master-port=\
LAN-master name=LAN-slave2
set [ find default-name=ether5 ] mac-address=D4:CA:6D:EB:F4:7C master-port=\
LAN-master name=LAN-slave3
set [ find default-name=ether1 ] mac-address=D4:CA:6D:EB:F4:78 name=WAN
/interface wireless
set [ find default-name=wlan1 ] l2mtu=2290 name=wlan2
/ip hotspot user profile
set [ find default=yes ] idle-timeout=none keepalive-timeout=2m \
mac-cookie-timeout=3d
/interface l2tp-client
add add-default-route=no allow=pap,chap,mschap1,mschap2 connect-to=\
212.74.218.206 dial-on-demand=no disabled=no keepalive-timeout=60 max-mru=\
1450 max-mtu=1450 mrru=1600 name=l2tp-office password=XXXXX profile=\
default-encryption user=sklad
/interface bridge port
add bridge=bridge-local interface=LAN-master
add bridge=bridge-local
/ip address
add address=192.168.2.1/24 interface=bridge-local network=192.168.2.0
add address=109.x.x.22/27 interface=WAN network=109.x.x.0
/ip dns
set allow-remote-requests=yes servers=93.91.172.2,8.8.8.8
/ip firewall filter
add chain=input comment=L2TP dst-port=1723 protocol=tcp
/ip firewall nat
add action=masquerade chain=srcnat
/ip route
add check-gateway=ping distance=1 gateway=109.x.x.1
add check-gateway=ping distance=1 dst-address=192.168.0.0/24 gateway=172.10.10.1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh address=192.168.0.0/24 port=2203
set api disabled=yes
set api-ssl disabled=yes
/ip upnp
set allow-disable-external-interface=no
/system clock
set time-zone-name=Asia/Krasnoyarsk
/system clock manual
set time-zone=+07:00
[disak@MikroTik] >

[vqd]

Код: Выделить всё

add action=masquerade chain=srcnat

Преобразует адреса в том числе и между вашими сетями.
Отключайте эти правила или настраивайте их соответствующим образом

[Disak81]

Вот я и прошу помочь. Если я пишу:

 

Flags: X - disabled, I - invalid, D - dynamic
0 X chain=srcnat action=src-nat to-addresses=212.74.218.206

1 chain=dstnat action=dst-nat to-addresses=192.168.0.212 to-ports=3389
protocol=tcp in-interface=WAN dst-port=3389

2 X chain=dstnat action=dst-nat to-addresses=212.74.218.206

3 chain=srcnat action=masquerade out-interface=WAN

То удаленные офисы не видят компьютеры на которых не прописан шлюз 192.168.0.1

[vqd]

так у вас в сети еще и несколько шлюзов что ли?

[ViL]

Непонятно как это у вас получилось. У себя использую такую же схему - центральный офис RB2011 (LAN 192.168.1.1), периферия RB951 (LAN 192.168.x.1)

 2011

[admin@MikroTik] > ip route print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
3 ADC 192.168.1.10/32 192.168.1.1 <ppp-arenda> 0
4 ADC 192.168.1.11/32 192.168.1.1 app1 0
5 ADC 192.168.1.12/32 192.168.1.1 lenina 0
6 ADC 192.168.1.13/32 192.168.1.1 studio 0
7 ADC 192.168.1.14/32 192.168.1.1 rad 0
8 A S 192.168.9.0/24 rad 1
9 A S 192.168.50.0/24 app1 1
10 A S 192.168.88.0/24 studio 1
11 A S 192.168.8.0/24 lenina 1

На периферии:

 951

3 A S 192.168.1.0/24 office 1

Из удаленных сетей видна сеть главного офиса, из главного офиса видно все удаленные сети. Сервера в офисе корректно отображают IP подключения.

Но тут у меня есть вопрос, не очень критичный в данном случае, но интересный для общего понимания:
Как настроить автоматическую маршрутизацию между всеми офисами без добавления всех маршрутов на каждом маршрутизаторе? И что бы клиент, подключаясь через ррр к маршрутизатору в своем городе, сразу имел доступ во всю сеть и я мог из любого места видеть этого клиента.

И второй вопрос по предстоящей задаче:
Есть контора с сетью в стиле пионернета: древовидная топология с кучей свитчей.
За 15 лет фирма заняла достаточно большую площадь (склады, деревообработка) и поделилась на 3 отдельные фирмы с отельными офисами (но на одной территории бывшего завода). В данный момент все работают в одной подсети и в одном домене. Быстро перетянуть сеть нет возможности - максимальное расстояние между дальними точками более 300м. Интернет подключен в одной точке (первый офис), туда поставил 2011. Прямого линка до соседних офисов нету - все через гирлянду свитчей, иногда висящих на высоте 25м.
Сам вопрос: как их поделить? Если учитывать что часть оборудования используется всеми (видео сервера, общий файлообмен) а само оборудование так же раскидано по разным офисам.

update:
Цель - разделить их на разные подсети. Заменить все свитчи нереально. По аналогии с домосетями есть мысль загнать всех в PPPoE, но будет ли "видна локалка" и какая нагрузка при этом будет (100 компов)

[wolf_ktl]

Но тут у меня есть вопрос, не очень критичный в данном случае, но интересный для общего понимания:
Как настроить автоматическую маршрутизацию между всеми офисами без добавления всех маршрутов на каждом маршрутизаторе? И что бы клиент, подключаясь через ррр к маршрутизатору в своем городе, сразу имел доступ во всю сеть и я мог из любого места видеть этого клиента.

используй RIP