Автоматический NAT

[Romik2006]

Доброго дня, знатоки!
Такая проблемка:
1. Есть 3 офиса (ну и 3 микротика)))
2. Между ними подняты 2 канала L2TP IPSec. Соответственно 1 центральный, на нем L2TP сервер и 2 других цепляются к нему.
И на нем же 2 NAT Маскарадинга в обе стороны. Все работает замечательно.
Так вот. Если по каким-либо причинам отваливается L2TP (свет отключили или еще что) NAT маскарадинг отваливается (в ту сторону, где был обрыв).
Соответственно NAT просто теряет интерфейс (L2ТP), и приходится вручную опять прописывать интерфейс L2TP.
Вопрос вот в чем. Есть ли какой-либо способ автоматически поднимать эти NATы, если интерфейс стал доступен? Как это сделать у меня нет представления. Может скрипт какой или еще что?
Заранее спасибо за помощь))))))))))

[vqd]

Ну начнем с того что НАТ в вашем случае это лютый костыль, тем более если у вас есть доступ к обоим железкам то ни кто не мешает сделать прозрачную маршрутизацию между сетями.

А так создайте L2TP Server binding и вешайте на него нат

[gmx]

Простейший способ в качестве шлюза указывать не интерфейс, а IP адрес vpn удаленного микротика.

[Romik2006]

Ну начнем с того что НАТ в вашем случае это лютый костыль, тем более если у вас есть доступ к обоим железкам то ни кто не мешает сделать прозрачную маршрутизацию между сетями.

А так создайте L2TP Server binding и вешайте на него нат

Точнор, binding//Блииин, на поверхности же лежало решение)))) Спасибо.
Пойду курить насчет прозрачной маршрутизации. А это вообще как - "прозрачная"??? Как искать?

[Romik2006]

Простейший способ в качестве шлюза указывать не интерфейс, а IP адрес vpn удаленного микротика.

Не получается((( Там только ниспадающий список из доступных интерфейсов, и ручками там ничего не прописать(((

[vqd]

Чего это не прописать, еще как прописать )))

[Vlad-2]

Пойду курить насчет прозрачной маршрутизации. А это вообще как - "прозрачная"??? Как искать?

Странно, знаете другое, а простейшую маршрутизацию нет? Не верю.

Если брать совсем теорию, для связи сети А и В вводиться
промежуточная сеть, скажем С, и возьмём её маленькую, скажем
/30, ставите 1-й адрес из сети С на 1м роутере, и второй адрес из сети С на втором роутере.
Ну и прописываете, что сеть А может дойти до сети В, используя маршрут через подсеть С,
такое же правило делается с другой стороны, сеть В может дойти до сети А через подсеть С.
Основы IP сетей....

У микротика ещё проще, порой можно и без промежуточных сетей обходиться, используя интерфейс,
и ещё ряд ухищрений. Так же адресацию можно ставить на многие интерфейсы, которые так или
иначе используются для создания логической связки, а значит маршрутизацию можно
делать используя как сеансовые, так и не сеансовые протоколы, и интерфейсы.

[Romik2006]

Пойду курить насчет прозрачной маршрутизации. А это вообще как - "прозрачная"??? Как искать?

Странно, знаете другое, а простейшую маршрутизацию нет? Не верю.

Если брать совсем теорию, для связи сети А и В вводиться
промежуточная сеть, скажем С, и возьмём её маленькую, скажем
/30, ставите 1-й адрес из сети С на 1м роутере, и второй адрес из сети С на втором роутере.
Ну и прописываете, что сеть А может дойти до сети В, используя маршрут через подсеть С,
такое же правило делается с другой стороны, сеть В может дойти до сети А через подсеть С.
Основы IP сетей....

У микротика ещё проще, порой можно и без промежуточных сетей обходиться, используя интерфейс,
и ещё ряд ухищрений. Так же адресацию можно ставить на многие интерфейсы, которые так или
иначе используются для создания логической связки, а значит маршрутизацию можно
делать используя как сеансовые, так и не сеансовые протоколы, и интерфейсы.

Так у меня так и настроено. Статические маршруты все прописаны (А-Б-В, Б - центральный)
Но при настройке всего этого год назад без маскарадинга трафик отказывался ходить между А-В.
Телефония отказывалась звонить (внутренняя) и тд.
Как только сделал маскарад в обе стороны на центральном - все завелось и пашет на ура!
В канале Б-А своя подсеть /30, в Б-В - своя, тоже /30.
или мы о разном разговариваем?

А не поднять ли еще канал А-В тоже по L2TP IPsec и тогда морока с NAT-ом вообще отпадет?
Че-то я даже не знаю, как получше сделать то?
В А и Б - RB-3011, в В - RB-2011

[Vlad-2]

В канале Б-А своя подсеть /30, в Б-В - своя, тоже /30.
или мы о разном разговариваем?

Я думаю о разном.
Есть сеть основная, полная (будем брать /24)
и есть транспортная (условно говоря) сетка /30,
теперь давайте я наверно сделаю более явный пример.
Сеть 192.168.10.0/24 (А) и сеть 192.168.20.0/24 (Б)
связующую сеть (С) - пусть будет 192.168.3.0/30

Итак, роутер А, сеть А, нам надо дойти до роутера Б, сети Б,
на роутере А ставим на туннельном интерфейсе (это может быть
ГРЕ, может быть частное от ВПН, может быть и РРТР и Л2ТР).
192.168.3.1/30, на роутере Б, сеть Б, ставим адрес на туннеле - 192.168.30.2/30,

а) И прописываем маршрут (на роутере А) статический, что сеть 192.168.20.0/24
доступна через шлюз 192.168.3.2 (это IP роутера Б)
б) И также для другой стороны (на роутере Б): сеть 192.168.10.0/24 доступна
через шлюз 192.168.3.1 (это IP роутера А).

А не поднять ли еще канал А-В тоже по L2TP IPsec и тогда морока с NAT-ом вообще отпадет?
Че-то я даже не знаю, как получше сделать то?
В А и Б - RB-3011, в В - RB-2011

Всё усложняете, у меня давно туннели натянуты между офисами и домом,
всё прозрачно, зачем мне НАТ и потом мудрить с запросами/пробросами,
а так с дома, когда у тебя настроена маршрутизация (сеть конторы знает
где искать домашнюю сеть, и сеть дома знает как попадать в контору)
всё прозрачно, РДП, ФТП, и другие внутренние сервисы по серым адресам
всё доступно напрямую. Зачем натить то, что можно сделать маршрутизацией.

Нет, НАТ нужен, но в редких исключениях, когда железка тупая, а её
надо админить/настроить временно, когда бывают проблемы с некоторым
оборудованием (замечал на старых IP-камерах, им пофиг на шлюз,
приходиться НАТиться от их сети и формально работать с камерой в L2-сегменте).

[Romik2006]

Я думаю о разном.
Есть сеть основная, полная (будем брать /24)
и есть транспортная (условно говоря) сетка /30,
теперь давайте я наверно сделаю более явный пример.
Сеть 192.168.10.0/24 (А) и сеть 192.168.20.0/24 (Б)
связующую сеть (С) - пусть будет 192.168.3.0/30

Итак, роутер А, сеть А, нам надо дойти до роутера Б, сети Б,
на роутере А ставим на туннельном интерфейсе (это может быть
ГРЕ, может быть частное от ВПН, может быть и РРТР и Л2ТР).
192.168.3.1/30, на роутере Б, сеть Б, ставим адрес на туннеле - 192.168.30.2/30,

а) И прописываем маршрут (на роутере А) статический, что сеть 192.168.20.0/24
доступна через шлюз 192.168.3.2 (это IP роутера Б)
б) И также для другой стороны (на роутере Б): сеть 192.168.10.0/24 доступна
через шлюз 192.168.3.1 (это IP роутера А).

Ну у меня так и есть изначально.

Роутер A:
LAN - 192.168.0.0/24
L2TP - 192.168.5.2

Роутер B:
LAN - 192.168.1.0/24
L2TP - 192.168.5.1 (to A)
L2TP - 192.168.6.1 (to B)

Роутер C:
LAN - 192.168.2.0/24
L2TP - 192.168.6.2

L2TP B-А: 192.168.5.0/30
L2TP C-А: 192.168.6.0/30

Маршруты (касаемо каналов):
Роутер А:
192.168.1.0/24 -> 192.168.5.1 pref.sourse 192.168.5.2 (reacheble L2TP_B-A) Dist. 1
192.168.2.0/24 -> 192.168.5.1 pref.sourse 192.168.5.2 (reacheble L2TP_B-A) Dist. 1
192.168.5.1 reacheble L2TP_B-A


Роутер B:
192.168.0.0/24 -> 192.168.5.2 pref.sourse 192.168.5.1 (reacheble L2TP_B-A) Dist. 1
192.168.2.0/24 -> 192.168.6.2 pref.sourse 192.168.6.1 (reacheble L2TP_C-A) Dist. 1
192.168.5.2 reacheble L2TP_B-A
192.168.6.2 reacheble L2TP_C-A

Роутер C:
192.168.0.0/24 -> 192.168.6.1 pref.sourse 192.168.6.2 (reacheble L2TP_C-A) Dist. 1
192.168.1.0/24 -> 192.168.6.1 pref.sourse 192.168.6.2 (reacheble L2TP_C-A) Dist. 1
192.168.6.2 reacheble L2TP_C-A

Вроде ничего не забыл.
Но так не работает без NAT masquerade в обе стороны с центрального роутера В, на интерфейсы L2TP((((
Вернее работает НО кусками. телефония А-С и В-С не работает, пинги с В идут и на А и на С, с С на А нет и тд и тп.

Может я чего-то не понимаю? Или что-то не дописал?