Объедининение офисов через VLAN провайдера

[AndriyLL]

Всем привет. помогите решить проблему.
Не могу объединить офисы.
Есть несколько офисов один главный, инет через одного провайдера, ай пи статическая только на главном ( пров по каким то только ему понятных причинах не может дать статику на остальные ) но пров. прокинул VLAN между ими .
На одном микротике на интерфейсе который смотрит на провайдера создал ВЛАН интерфейс присвоил ему айпи, на другом аналогично , инерфейсы ВЛАН запихнул в бридж к локальным портам. С одного на другой ВЛАНы пингуются , какой то мизерный трафик бегает. Но с одной сети в другую ничего не видно и нет пинга.
Не могу понять что я пропустил. Буду очень благодарен за помощь.

[podarok66]

viewtopic.php?f=15&t=5972#p31529

[AndriyLL]

Да все так и есть , но могу пинговать только ВЛАН интерфейсь с одного на другой . Внутенние айпи никак ((((

[podarok66]

А верхнюю часть страницы читать религия не позволяет? Или задача стоит "А давайте погадаем!"" ?
Пункты 4, 5 и 6 в полном объеме к исполнению, пожалуйста. Без этого тема будет закрыта.

[Vlad-2]

Да все так и есть , но могу пинговать только ВЛАН интерфейсь с одного на другой . Внутенние айпи никак ((((

Может мой совет покажется наивно-глупым, но временно уберите бридж из вилана...или вилан из бриджа.

1) И хотелось бы уточнить, адресация виланов и вашей локальной сети разная?

2) Торч прямо с микротика/ов что показывает? Торч надо запустить и с интерфейса на котором создан вилан и на самом вилане,
проверить что на основном интерфейсе приходит тэгированный трафик, а на вилане он есть также уже без тэга.

(может опять смешно показаться, но опыт - но мне пров умудрился в служебный канал, на котором у меня 6 виланов загнать своих клиентов "физиков" в виде нативного вилана + весь их трафик и нетбиос ещё и его BRAS также светился,пришлось трафик этот отдельным виланом "окрашивать" и не пускать далее)

3) Ну и соглашусь с последним ответом, что хотелось бы побольше информации, или скринов хотя бы с винбокса/экспорта части конфигов.

[AndriyLL]

в архиве два конфига . 1 глваный . 2 второй офис

Пинги идут

[Vlad-2]

в архиве два конфига . 1 глваный . 2 второй офис
Пинги идут

Спасибо за картинки и конфиги, и всё же остаётся осущения или я туплю или чё-то не допонимаю.

Подытожим:
У вас вилан работает, пингуются офис1 (172.16.0.1) и офис2 (172.16.0.2), сетка у вас в обоих офисах одна (192.168.88.0/24).
Тогда вопрос - что вы хотите или как вы именно хотите увидеть работу вилана?
Если вы хотите обращаться с одного компа (офиса1) на другой комп в (офис2), то надо значит компы переводить в 172.16.0.ххх адресацию,
или наоборот, 192.168.88.хх адресацию вводить в вилан (на интерфейсе).
Или второй уточняющий вопрос - вы хотите через подсеть вилана (172.16.0.0/24) сделать маршрутизацию между офисами (видеть 192.168.88.0/24)?
(тогда это уже маршрутизация как я и сказал и это уже L3 и вперёд, пару статических правил и увидите, правда в филиале в одном придётся локальную сетку сменить или сети масками "порезать").

Итог:
в рамках модели OSI, первый и вторые уровни у вас настроены, либо второй уровень подкорректируйте, или переходите к 3-ему (я бы так и сделал, подняв GRE-туннель и маршрутами...)

[AndriyLL]

Забыл предупредить что я чайник

Если вы хотите обращаться с одного компа (офиса1) на другой комп в (офис2), то надо значит компы переводить в 172.16.0.ххх адресацию,
или наоборот, 192.168.88.хх адресацию вводить в вилан (на интерфейсе).

Только что поменял айпи на вилан интерфейсах . пинг пропал

Или второй уточняющий вопрос - вы хотите через подсеть вилана (172.16.0.0/24) сделать маршрутизацию между офисами (видеть 192.168.88.0/24)?

именно так я и хотел, и как видите не получилось не знаю как маршрутизацию настроить .
Буду благодарен если подскажете как прибить ДНСР что би не бегали запросы с одного офиса на другой и на третий . айпи будет выдавать в каждом свой роутер , на тот случай если главный станет раком то пусть хоть инет у них работает.

[Vlad-2]

GRE-step-by-step1.jpg

Забыл предупредить что я чайник

Ну это исправимо. Главное вникать, читать и анализировать!

именно так я и хотел, и как видите не получилось не знаю как маршрутизацию настроить .
Буду благодарен если подскажете как прибить ДНСР что би не бегали запросы с одного офиса на другой и на третий . айпи будет выдавать в каждом свой роутер , на тот случай если главный станет раком то пусть хоть инет у них работает.

1) БАЗИС:
1.1) Настраиваем два роутера каждый независимо друг от друга, с разными локальными сетями. Думаю основной офис лучше не трогать (не менять адресацию), а второй офис сменить и сделать там скажем сеть 192.168.89.0/24
Надеюсь как настроить роутер - Вы справитесь.
1.2) заранее совет - когда будете делать бридж (локальный), на бридж ставите локальную адресацию и DHCP на нём вешаете (что в одном роутере, что в другом).
1.3) До конца всё описывать не буду, Вы должны справиться сами.

2) VLAN:
2.1) Поднимаете вилан(ы), даёте вилан-интерфейсам адресацию, можно сетку небольшую выделить, скажем 172.16.0.0/30, но если вам не удобно, берите /24, тут не суть важно.
2.2) проверяете как и ранее, что вилан работает и Вы с одного микротика видите другой (айпи вилана одного пингуется другим, и наоборот)

3) GRE-туннель:
Так как у вас вилан сделан на статической адресации, то поднимем GRE туннель который позволит уже логически объединить сети наши:
3.1) создаёте GRE-туннель, в настройках лишь указываете (Remote Address: ip вилана удалённого микротика, и на другом микротике также) и всё;
3.2) открываете IP-Routes и вписываете статический маршрут
(в главном офисе сетка 88.0/24 а в удалённом 89.0/24), значит на главном микротике добавляете маршрут указав сетку 89.0/24 искать через GRE-туннель (прямо мышкой кликаете по полю Gateway и потом в списке выбираете ваш GRE-туннель), а на другом микротике, наоборот, что маршрут для сети 88.0/24 через GRE-туннель. Тем самым вы указали микротикам где им искать ваши сети.
3.3) трассеровкой с компьютера который подключён к сети и у которого шлюз стоит микротиком пытаетесь отрасировать адрес удалённого узла/сети/компа (при условии что в другом офисе другой комп подключён и шлюзом у него тоже стоит микротик свой).

Если приводить на примерах (условно), то компьютер с адресом скажем 192.168.88.11 должен уйти на микротик, потом запрос с адреса 172.16.0.1 уйдёт на 172.16.0.2 и на компьютер 192.168.89.12

При такой сети (если нигде не ошибётесь) каждая сеть будет независима, работать будет сама по себе (локальные клиенты получают адресацию от своего роутера, выходят в Инет от своего адреса) и лишь при запросе другой подсети, уходят в туннель и достигают другого филиала/офиса. Работать офисы смогут только по IP-адресации, виндовые шары по имени работать не будут. Почта,сайты, иные доступы, порты - всё будет прозрачно.
И всё - данная задача решена для Вас.

P.S. (для профессионалов)
1) Да, можно было сделать ещё проще;
2) Можно было сделать ещё и иначе, и/или другими средствами/возможностями;

[AndriyLL]

Спасибо ! буду в понедельник настраивать. Надеюсь заработает

Объясните, пожалуйста чайнику доходчиво Почему оно не хочет работать так как у меня настроєно. Провайдером проброшены Виланы. это же фактически локалка внутри его сети в обход его маршрутизатора. Теоретически я же должен видеть одну сеть из другой , но что мешает? Просто хочу понять