Господа, всем доброго времени суток!
стоит задача спрятать сеть видеонаблюдения за коммутатором (есть в наличии CRS112-8P-4S-IN).
условия следующие - 2 сети
корпоративная (lan) - 172.30.30.0
видеонаблюдение (video) - 192.168.1.0
физически эти сети приходят линками в CRS112-8P-4S-IN
для администрирования организовать доступ к сети video через l2tp подключение с рабочего места в сети lan.
Опыта в сетях очень мало, в микротик еще меньше.
Что попытался сделать
создал 2 бриджа
в br-lan приходит сеть lan
в br-video приходит сеть video
после прочтения этих инструкций
https://настройка-микротик.укр/nastrojk ... rver-l2tp/
https://mikrotiklab.ru/nastrojka/artga-l2tp-server.html
настроил l2tp сервер, к которому подключаюсь с рабочего места в сети lan штатными средствами win
внутри поднятого туннеля коммутатор пингуется . Насколько я понимаю далее нужно настроить маршрутизацию на коммутаторе и вот с этим ничего не получается.
еще не понятно какая адресация должна быть в туннеле?
подскажите хотя бы тезисно что делать
настройка l2tp с нуля
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
Ca6ko
- Сообщения: 1485
- Зарегистрирован: 23 ноя 2018, 11:08
- Откуда: Харкiв
Выполнить п.5 и 6 красных правил вверху страницы.
1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
-
vladimir.kolesnikov
- Сообщения: 12
- Зарегистрирован: 19 окт 2018, 20:22
-
Erik_U
- Сообщения: 1995
- Зарегистрирован: 09 июл 2014, 12:33
А зачем L2TP?
Это обязательное требование?
Можно просто запретить маршрутизацию между сетями 172 и 192 для всех, кроме администратора.
Это обязательное требование?
Можно просто запретить маршрутизацию между сетями 172 и 192 для всех, кроме администратора.
-
vladimir.kolesnikov
- Сообщения: 12
- Зарегистрирован: 19 окт 2018, 20:22
позже туда добавить еще 2 изолированные сети тех. средств охраны
а из корпоративной сети нас ИБ прогоняют. мол разрабатывайте правила для вашего трафика на IPC/IDS или уходите
в общем пока проще так.
-
Erik_U
- Сообщения: 1995
- Зарегистрирован: 09 июл 2014, 12:33
Тогда сделайте фиксированный интерфйс (L2TP Server Binding) для конкретного логина.
В "секрете" для этого логина назначьте конкретные внешний и внутренний адреса. В профиле включите "Only one", чтобы он переподключался при обрыве всегда под этим же IP.
И добавьте маршрут на адрес этого клиента в таблицу маршрутов на микротике.
В "секрете" для этого логина назначьте конкретные внешний и внутренний адреса. В профиле включите "Only one", чтобы он переподключался при обрыве всегда под этим же IP.
И добавьте маршрут на адрес этого клиента в таблицу маршрутов на микротике.
-
vladimir.kolesnikov
- Сообщения: 12
- Зарегистрирован: 19 окт 2018, 20:22
Огромное спасибо, что откликнулисьErik_U писал(а): ↑12 фев 2021, 11:00 1. Тогда сделайте фиксированный интерфйс (L2TP Server Binding) для конкретного логина.
2. В "секрете" для этого логина назначьте конкретные внешний и внутренний адреса.
3. В профиле включите "Only one", чтобы он переподключался при обрыве всегда под этим же IP.
4. И добавьте маршрут на адрес этого клиента в таблицу маршрутов на микротике.
1 . У меня в секрете один пользователь "user". В L2TP Server Binding его нужно прописать?
2. внутренний это Local Address, а внешний это Remote Address? из какого диапазона брать адреса?
-
Erik_U
- Сообщения: 1995
- Зарегистрирован: 09 июл 2014, 12:33
1. Да.
2. Любые. Тот адрес, который вы там напишите системой будет вырезан в подсеть /32 (состоящую из одного адреса). Указывайте не из диапазона своей локальной сети. Чтобы не путаться.
2. Любые. Тот адрес, который вы там напишите системой будет вырезан в подсеть /32 (состоящую из одного адреса). Указывайте не из диапазона своей локальной сети. Чтобы не путаться.
-
vladimir.kolesnikov
- Сообщения: 12
- Зарегистрирован: 19 окт 2018, 20:22
назначил для
Local Address 192.168.0.1
Remote Address 192.168.0.2
соответственно при подключении l2tp получаю адрес 192.168.0.2.
теперь чтобы получить доступ к сегменту (video) - 192.168.1.0
нужно:
1. сделать на микротике маршрут между 192.168.0.1 и 192.168.1.0?
2. сделать статический маршрут на ПК с которого подключаться к микротик типа "route add 192.168.1.0 mask 255.255.255.0 192.168.0.1"?
Local Address 192.168.0.1
Remote Address 192.168.0.2
соответственно при подключении l2tp получаю адрес 192.168.0.2.
теперь чтобы получить доступ к сегменту (video) - 192.168.1.0
нужно:
1. сделать на микротике маршрут между 192.168.0.1 и 192.168.1.0?
2. сделать статический маршрут на ПК с которого подключаться к микротик типа "route add 192.168.1.0 mask 255.255.255.0 192.168.0.1"?
-
vladimir.kolesnikov
- Сообщения: 12
- Зарегистрирован: 19 окт 2018, 20:22
исправил маршрут на АРМ
route add 192.168.0.0 mask 255.255.253.0 192.168.0.1 if 38
Трассировка маршрута к 192.168.1.1 с максимальным числом прыжков 30
1 2 ms 1 ms 1 ms 192.168.0.1
2 * * * Превышен интервал ожидания для запроса.
3 * * * Превышен интервал ожидания для запроса.
4 * * * Превышен интервал ожидания для запроса.
не работает
route add 192.168.0.0 mask 255.255.253.0 192.168.0.1 if 38
Трассировка маршрута к 192.168.1.1 с максимальным числом прыжков 30
1 2 ms 1 ms 1 ms 192.168.0.1
2 * * * Превышен интервал ожидания для запроса.
3 * * * Превышен интервал ожидания для запроса.
4 * * * Превышен интервал ожидания для запроса.
не работает
Последний раз редактировалось vladimir.kolesnikov 15 фев 2021, 10:41, всего редактировалось 1 раз.