Страница 1 из 1
Маршрутизация между филиалами
Добавлено: 03 июл 2019, 13:39
egoris
Здравствуйте.
Я пока начинающий сисадмин и у меня нарисовалась интересная задачка.
Имею несколько филиалов и центральный офис. Филиалы соединяются с центром по L2TP/IPsec. Маршрутизация работает статическими маршрутами. Филиалы у меня друг друга не видят (им и не надо), а центр, конечно же, умеет может общаться со всеми. Данная схема масштабируется и все вроде бы ничего, но мне нужно в данную схему включить еще одно подразделение (
Бухгалтерия) из которого мне нужно организовать доступ абсолютно во все сети. Как это правильно сделать? Эту задачу может быть смог бы решить тот же OSPF, но не везде стоят Микротики. А есть Zyxel Keenetic различных ревизий, на которых OSPF тупо нет.
Схема сети представлена ниже.
Re: Маршрутизация между филиалами
Добавлено: 03 июл 2019, 13:42
Sertik
Так статические маршруты прописывайте везде куда надо ...
То есть из каждого филиала в Бухгалтерию Вашу по одному маршруту и из Бухгалтерии маршруты в каждый филиал.
Re: Маршрутизация между филиалами
Добавлено: 03 июл 2019, 14:01
egoris
Sertik писал(а): ↑03 июл 2019, 13:42
Так статические маршруты прописывайте везде куда надо ...
То есть из каждого филиала в Бухгалтерию Вашу по одному маршруту и из Бухгалтерии маршруты в каждый филиал.
Не понимаю. Я не могу даже пропинговать шлюзы филиалов из бухгалтерии.
Re: Маршрутизация между филиалами
Добавлено: 03 июл 2019, 15:15
Sertik
Если у Вас поднят любой тип VPN между двумя Микротиками, то сами Микротики (то есть шлюзы) пинговаться должны по любому по их серым внутренним адресам VPN-тоннеля (то есть в Вашей схеме шлюзы в десятых сетях). Пинги делаем с самих Микротиков, а не с компов. А вот адреса локальных сетей Микротиков и они сами в них будут пинговаться только когда пропишите статические маршруты в них через VPN-шлюзы.
Подумайте пока сами, не догадаетесь, подскажем ...
Re: Маршрутизация между филиалами
Добавлено: 03 июл 2019, 16:30
egoris
Шлюзы-клиенты у меня не видят друг-друга и соответственно не пингуются. Сейчас таблица адресов выглядят вот так:
Код: Выделить всё
ip address print
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK INTERFACE
;;; Work LAN
10.1.254.1/24 10.1.254.0 Local_bridge
D 172.16.1.254/32 172.16.1.253 Tun1
D 172.16.1.254/32 172.16.1.11 Tun2
D 172.16.1.254/32 172.16.1.13 Tun3
D 172.16.1.254/32 172.16.5.1 Tun4
Может проблема в том, что все эти сети в пространстве /32?
Re: Маршрутизация между филиалами
Добавлено: 03 июл 2019, 17:08
Sertik
Не надо маску /32 делать. Сделайте всем сетям маску /24.
Покажите /ip rootes роутера сервера и роутера-клиента Бухгалтерии.
И на кой у Вас все тоннельные сети разные ? Дайте Микротику серверу адрес в тоннеле скажем 10.10.10.1, а Микротикам клиентам адреса 10.10.10.2, 10.10.10.3, 10.10.10.4 и т.д... В одной сети тоннеля они все будут видеть друг друга без вcяких проблем. Потом можно кого надо заблокировать в /ip route rules
Re: Маршрутизация между филиалами
Добавлено: 03 июл 2019, 18:01
egoris
Sertik писал(а): ↑03 июл 2019, 17:08
Не надо маску /32 делать. Сделайте всем сетям маску /24.
Покажите /ip rootes роутера сервера и роутера-клиента Бухгалтерии.
И на кой у Вас все тоннельные сети разные ? Дайте Микротику серверу адрес в тоннеле скажем 10.10.10.1, а Микротикам клиентам адреса 10.10.10.2, 10.10.10.3, 10.10.10.4 и т.д... В одной сети тоннеля они все будут видеть друг друга без вcяких проблем. Потом можно кого надо заблокировать в /ip route rules
1. Маска /32 назначилась динамически
2. Маршруты сервера (не полностью)
Код: Выделить всё
13 ADC 172.16.1.253/32 172.16.1.254 Buh 0
17 A S ;;; Buh
10.1.10.0/24 172.16.1.253 1
Маршруты со стороны бухгалтерии
Код: Выделить всё
1 A S 10.1.254.0/24 172.16.1.254 1
2 ADC 172.16.1.254/32 172.16.1.253 GRADUS 0
Re: Маршрутизация между филиалами
Добавлено: 03 июл 2019, 18:02
egoris
Sertik писал(а): ↑03 июл 2019, 17:08
И на кой у Вас все тоннельные сети разные ? Дайте Микротику серверу адрес в тоннеле скажем 10.10.10.1, а Микротикам клиентам адреса 10.10.10.2, 10.10.10.3, 10.10.10.4 и т.д... В одной сети тоннеля они все будут видеть друг друга без вcяких проблем.
Не понял. У меня же сейчас адреса в тоннеле примерно так и сделаны, толь 172.16... Разве так не правильно?
Re: Маршрутизация между филиалами
Добавлено: 14 июл 2019, 17:33
Ca6ko
У Вас концы туннелей в разных сетях. 172.16.1.1; 172.16.2.1; 172.16.3.1; 172.16.10.1, а с другой стороны 172.16.1.254/32. сделайте 172.16.1.1; 172.16.1.2; 172.16.1.3 и т.д. и маску всем задайте /24.
PS на схеме одно, в роутере совсем другое. Приведите схему в соответствие
Код: Выделить всё
D 172.16.1.254/32 172.16.1.253 Tun1
D 172.16.1.254/32 172.16.1.11 Tun2
D 172.16.1.254/32 172.16.1.13 Tun3
D 172.16.1.254/32 172.16.5.1 Tun4