Обнаружена блокировка рекламы: Наш сайт существует благодаря показу онлайн-рекламы нашим посетителям. Пожалуйста, подумайте о поддержке нас, отключив блокировщик рекламы на нашем веб-сайте.
Спасибо за картинку. Тут появилось аж 4 (172.16.1.0, 172.16.2.0, 10.0.0.1 и 10.0.0.2) сети . Нужно разбираться. Мне нужно назначить их на некие интерфейсы первого роутера? И поменять шлюз у второго роутера? И там ко второму роутеру идут две сети (10.0.0.1 и 172.16.2.0) - первая это шлюз видимо а вторая это роутинг ?
1) 10.0.0.1 и 10.0.0.2 - это одна транспортная сеть 10.0.0.0/30 между двумя роутерами.
Так оно и правильнее, чтобы второй роутер не болтался в локалке первого, и настраивать проще.
2) 172.16.1.0 и 172.16.2.0 - это два диапазона адресов pptp (или l2tp) сервера, по одному для клиентов каждой локалки.
Сейчас у вас там один диапазон какой-то, сделайте 2, чтобы удобно было разделять клиентов в firewall'е.
Ну и разумеется сами подсети/адреса выберите какие хотите. Это просто пример.
В такой схеме, у вас firewall, nat, vpn-сервер - все на первом микротике.
+ на нем нужно добавить руками маршрут до 192.168.2.0/24 через 10.0.0.2.
А на втором микротике конфиг вообще тривиальный получается:
- один порт отдельно, на нем адрес 10.0.0.2/30
- остальные порты в бридж, на бридж адрес 192.168.2.1/24 и dhcp-сервер локалки
- и дефолтный маршрут через 10.0.0.1
Все, весь конфиг.
xvo писал(а): ↑30 окт 2019, 12:33
Ну почему 4 то, только 2 новых:
1) 10.0.0.1 и 10.0.0.2 - это одна транспортная сеть 10.0.0.0/30 между двумя роутерами.
Так оно и правильнее, чтобы второй роутер не болтался в локалке первого, и настраивать проще.
2) 172.16.1.0 и 172.16.2.0 - это два диапазона адресов pptp (или l2tp) сервера, по одному для клиентов каждой локалки.
Сейчас у вас там один диапазон какой-то, сделайте 2, чтобы удобно было разделять клиентов в firewall'е.
Ну и разумеется сами подсети/адреса выберите какие хотите. Это просто пример.
В такой схеме, у вас firewall, nat, vpn-сервер - все на первом микротике.
+ на нем нужно добавить руками маршрут до 192.168.2.0/24 через 10.0.0.2.
А на втором микротике конфиг вообще тривиальный получается:
- один порт отдельно, на нем адрес 10.0.0.2/30
- остальные порты в бридж, на бридж адрес 192.168.2.1/24 и dhcp-сервер локалки
- и дефолтный маршрут через 10.0.0.1
Все, весь конфиг.
Правда на маску сети не обратила внимание.
1.Значит на первом роуторе делаем так:
2.На втором, из уже собранного бриджа, выковыриваем один порт и говорим ему через ip->adresses, что он 10.0.0.2/30
3. Дефолтный маршрут - это я не поняла о чём речь...
И ещё про два диапазона адресов для pptp сервера - а разве диапазоны не должны быть от сети в которою попадает пользователь после подключения?
anna писал(а): ↑30 окт 2019, 11:39
Собственно, топология на картинке прикреплённой мною. В чём на ваш первый взгляд её кривость?
По картинке не понятно что за расстояние и канал между двумя маршрутизаторами? Это одна компания или разные? Доступы без ограничений ?
Но это уже не важно.
А на счёт "кривости", я бы использовал vlan.
Последний раз редактировалось algerka 30 окт 2019, 14:16, всего редактировалось 1 раз.
anna писал(а): ↑30 окт 2019, 13:27
Выковыриваем на первом и на втором, ясно, но физически их соединять не нужно?
И по остальным вопросам, всё правильно я поняла?
Как это не нужно?! Как раз таки те порты, которыми роутеры соединены физически мы и выносим в отдельную подсеть! :)
По остальным вопросам: конечно при большом желании и некоторой "ловкости рук" можно раздавать в впн адреса из той же подсети, что и в локалке, но какой в этом практический смысл? Это и не очень правильно, и не очень удобно.