Помогите, пожалуйста, объединить две сети (в каждой свой DHCP). С шифрованием и без, интересны оба варианта. На данный момент могу пинговать туда и обратно 172.16.1.1 <> 172.16.1.2. Добавлял в Route List строчку 192.168.2.0/24 шлюз 172.16.1.2 дистанция 1, пинговался 192.168.2.1, как получить доступ внутрь сети?
Как объеденить две сети?
-
- Модератор
- Сообщения: 3329
- Зарегистрирован: 01 окт 2012, 14:48
Что там у вас маршрутами????
route 192.156.2.0/24 172.16.1.2
route 192.156.1.0/24 172.16.1.1
А EPL у вас - это прямой Ethernet канал??? Вам такое организовал провайдер??? Сколько же денег отвалили???
Что касается шифрования: если оно действительно нужно и данные секретные, то это только специальные криптошлюзы. Если просто поиграться, то можно любой туннель попробовать типа L2TP и так далее. Но смысла в этом я не вижу, только нагрузка увеличится на роутеры, а секретности, не особо добавит.
route 192.156.2.0/24 172.16.1.2
route 192.156.1.0/24 172.16.1.1
А EPL у вас - это прямой Ethernet канал??? Вам такое организовал провайдер??? Сколько же денег отвалили???
Что касается шифрования: если оно действительно нужно и данные секретные, то это только специальные криптошлюзы. Если просто поиграться, то можно любой туннель попробовать типа L2TP и так далее. Но смысла в этом я не вижу, только нагрузка увеличится на роутеры, а секретности, не особо добавит.
-
- Сообщения: 8
- Зарегистрирован: 28 дек 2018, 09:01
Как я понимаю EPL у нас это не прямо "прямой Ethernet" это VLANы по оптике по провайдерским маршрутизаторам (скорее всего, ведь уровень L2, но шифрования нет), но прямее некуда. Адреса 172.16.1.1 и 172.16.1.2 я присвоил интерфейсам сам, хотя не знаю есть ли в этом нужда. Т.е. сейчас просто включаю ethernet на одном конце и sfp на другом, то адреса друг друга пингуют. В RouteList /ip route add distance=1 dst-adress=192.168.1.0/24 gateway 172.16.1.1 и /ip route add distance=1 dst-adress=192.168.2.0/24 gateway 172.16.1.2 соответственно, думаю что делаю что-то либо совсем не правильно, либо наполовину :) По поводу шифрования: CCR брались специально, в надежде на модуль шифрования (ну что сумеем сварганить что-то пускай и не без помощи), чтобы не нагружать железку, но данные защитить. EPL канал 100 Мбит/с не хотелось бы терять в скорости, провайдер говорит что третье лицо никогда не получит доступа к каналу, ну кроме провайдера самого :) потому данные передаваемые от интерфейса до интерфейса хотелось бы шифровать, если это возможно (коммерческая тайна и все такое).
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
IPIP туннель зашифрованный IPSec'ом можно поднять между 172.16.1.1 и 172.16.1.2
И уже на него те адреса, через которые маршруты и т.д.
100мбит CCR1009 легко потянут.
И уже на него те адреса, через которые маршруты и т.д.
100мбит CCR1009 легко потянут.
Telegram: @thexvo
-
- Сообщения: 8
- Зарегистрирован: 28 дек 2018, 09:01
А просто маршрутами как делать? В RouteList прописал /ip route add distance=1 dst-adress=192.168.1.0/24 gateway 172.16.1.1 и /ip route add distance=1 dst-adress=192.168.2.0/24 gateway 172.16.1.2, но пингануть могу только 192.168.1.1 и 192.168.2.1, т.е. сами маршрутизаторы, как заставить пинговать внутрь сети?
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Должно быть достаточно.
Firewall'ы как на самих микротиках, так и на том, что вы пытаетесь пинговать, это разрешает?
Firewall'ы как на самих микротиках, так и на том, что вы пытаетесь пинговать, это разрешает?
Telegram: @thexvo
-
- Сообщения: 8
- Зарегистрирован: 28 дек 2018, 09:01
На одном не уверен, он как бы в работе, но тот что делаю в удаленный офис абсолютно пустой. Firewall и NAT. Подсоеденил к нему ноутбук в Bridge и пытаюсь его пропинговать с "рабочего", ничего не получается.
вот конфиг того, который пытаюсь пинговать, ноут подключенный к нему получился адрес 192.168.2.254 (его и пингую с микротика который 192.168.1.1)
/interface bridge
add name=bridge1
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=pool1 ranges=192.168.2.100-192.168.2.254
/ip dhcp-server
add address-pool=pool1 disabled=no interface=bridge1 lease-time=3d name=\
server1
/interface bridge port
add bridge=bridge1 interface=sfp-sfpplus1
add bridge=bridge1 interface=ether7
/ip address
add address=192.168.2.1/24 interface=bridge1 network=192.168.2.0
add address=172.16.1.2/24 interface=combo1 network=172.16.1.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=combo1
/ip dhcp-server network
add address=192.168.2.0/24 dns-server=192.168.1.8,192.168.2.1 domain=\
zabppk.com gateway=192.168.2.1 netmask=24 ntp-server=192.168.2.1
/ip route
add distance=1 dst-address=192.168.1.0/24 gateway=172.16.1.1
-
- Сообщения: 8
- Зарегистрирован: 28 дек 2018, 09:01
ой это лишнее: /ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=combo1
забыл удалить, это когда от правайдера проверяли, но не думаю что это могло мешать.
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Так а сама машина, которую вы пингуете?
Виндовый firewall, например, по-умолчанию не даёт себя пинговать не и из своей сети.
Виндовый firewall, например, по-умолчанию не даёт себя пинговать не и из своей сети.
Telegram: @thexvo
-
- Сообщения: 8
- Зарегистрирован: 28 дек 2018, 09:01
спасибо, действительно все работает, проблема на рабочем месте, подключил к настраиваемому маршрутизатору ip-телефон, тот спокойно соединился с АТСкой в другой сети, даже по доменному имени. Вопрос такой вы писали про IPIP с IPSec, а можно без туннеля, просто IPSec шифровать трафик между 172.16.1.1 и 172.16.1.2. Т.е. поднять на 172.1.1.1 IPsec-пир. И добавить политику IPsec шифровать трафик от 192.168.1.0/24 до 192.168.2.0/24. С другой стороны тоже самое но в обратном порядке в случае с адресами. В моем случае канал l2, а потому правило обхода NAT не понадобиться, ведь при такой схеме он не задействован. Такое можно использовать или я что-то не то говорю? По моей логике не знаю правильно думаю или нет, как раз в этом случае точно будет задействован модуль шифрования и нагрузка на маршрутизатор будет минимальна.