Спасибо за картинку. Тут появилось аж 4 (172.16.1.0, 172.16.2.0, 10.0.0.1 и 10.0.0.2) сети . Нужно разбираться. Мне нужно назначить их на некие интерфейсы первого роутера? И поменять шлюз у второго роутера? И там ко второму роутеру идут две сети (10.0.0.1 и 172.16.2.0) - первая это шлюз видимо а вторая это роутинг ?
VPN в подсеть за вторым роутером
-
- Сообщения: 8
- Зарегистрирован: 29 окт 2019, 20:09
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Ну почему 4 то, только 2 новых:
1) 10.0.0.1 и 10.0.0.2 - это одна транспортная сеть 10.0.0.0/30 между двумя роутерами.
Так оно и правильнее, чтобы второй роутер не болтался в локалке первого, и настраивать проще.
2) 172.16.1.0 и 172.16.2.0 - это два диапазона адресов pptp (или l2tp) сервера, по одному для клиентов каждой локалки.
Сейчас у вас там один диапазон какой-то, сделайте 2, чтобы удобно было разделять клиентов в firewall'е.
Ну и разумеется сами подсети/адреса выберите какие хотите. Это просто пример.
В такой схеме, у вас firewall, nat, vpn-сервер - все на первом микротике.
+ на нем нужно добавить руками маршрут до 192.168.2.0/24 через 10.0.0.2.
А на втором микротике конфиг вообще тривиальный получается:
- один порт отдельно, на нем адрес 10.0.0.2/30
- остальные порты в бридж, на бридж адрес 192.168.2.1/24 и dhcp-сервер локалки
- и дефолтный маршрут через 10.0.0.1
Все, весь конфиг.
1) 10.0.0.1 и 10.0.0.2 - это одна транспортная сеть 10.0.0.0/30 между двумя роутерами.
Так оно и правильнее, чтобы второй роутер не болтался в локалке первого, и настраивать проще.
2) 172.16.1.0 и 172.16.2.0 - это два диапазона адресов pptp (или l2tp) сервера, по одному для клиентов каждой локалки.
Сейчас у вас там один диапазон какой-то, сделайте 2, чтобы удобно было разделять клиентов в firewall'е.
Ну и разумеется сами подсети/адреса выберите какие хотите. Это просто пример.
В такой схеме, у вас firewall, nat, vpn-сервер - все на первом микротике.
+ на нем нужно добавить руками маршрут до 192.168.2.0/24 через 10.0.0.2.
А на втором микротике конфиг вообще тривиальный получается:
- один порт отдельно, на нем адрес 10.0.0.2/30
- остальные порты в бридж, на бридж адрес 192.168.2.1/24 и dhcp-сервер локалки
- и дефолтный маршрут через 10.0.0.1
Все, весь конфиг.
Telegram: @thexvo
-
- Сообщения: 8
- Зарегистрирован: 29 окт 2019, 20:09
Правда на маску сети не обратила внимание.xvo писал(а): ↑30 окт 2019, 12:33 Ну почему 4 то, только 2 новых:
1) 10.0.0.1 и 10.0.0.2 - это одна транспортная сеть 10.0.0.0/30 между двумя роутерами.
Так оно и правильнее, чтобы второй роутер не болтался в локалке первого, и настраивать проще.
2) 172.16.1.0 и 172.16.2.0 - это два диапазона адресов pptp (или l2tp) сервера, по одному для клиентов каждой локалки.
Сейчас у вас там один диапазон какой-то, сделайте 2, чтобы удобно было разделять клиентов в firewall'е.
Ну и разумеется сами подсети/адреса выберите какие хотите. Это просто пример.
В такой схеме, у вас firewall, nat, vpn-сервер - все на первом микротике.
+ на нем нужно добавить руками маршрут до 192.168.2.0/24 через 10.0.0.2.
А на втором микротике конфиг вообще тривиальный получается:
- один порт отдельно, на нем адрес 10.0.0.2/30
- остальные порты в бридж, на бридж адрес 192.168.2.1/24 и dhcp-сервер локалки
- и дефолтный маршрут через 10.0.0.1
Все, весь конфиг.
1.Значит на первом роуторе делаем так:
2.На втором, из уже собранного бриджа, выковыриваем один порт и говорим ему через ip->adresses, что он 10.0.0.2/30
3. Дефолтный маршрут - это я не поняла о чём речь...
И ещё про два диапазона адресов для pptp сервера - а разве диапазоны не должны быть от сети в которою попадает пользователь после подключения?
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Только надо еще не забыть выковырять из бриджа и на первом роутере порт и повесить на него 10.0.0.1
Дефолтный маршрут: до 0.0.0.0/0 через 10.0.0.1 с дистанцией 1.
Дефолтный маршрут: до 0.0.0.0/0 через 10.0.0.1 с дистанцией 1.
Telegram: @thexvo
-
- Сообщения: 8
- Зарегистрирован: 29 окт 2019, 20:09
Выковыриваем на первом и на втором, ясно, но физически их соединять не нужно?
И по остальным вопросам, всё правильно я поняла?
- algerka
- Сообщения: 407
- Зарегистрирован: 14 дек 2011, 12:31
По картинке не понятно что за расстояние и канал между двумя маршрутизаторами? Это одна компания или разные? Доступы без ограничений ?
Но это уже не важно.
А на счёт "кривости", я бы использовал vlan.
Последний раз редактировалось algerka 30 окт 2019, 14:16, всего редактировалось 1 раз.
Александр
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Как это не нужно?! Как раз таки те порты, которыми роутеры соединены физически мы и выносим в отдельную подсеть! :)
По остальным вопросам: конечно при большом желании и некоторой "ловкости рук" можно раздавать в впн адреса из той же подсети, что и в локалке, но какой в этом практический смысл? Это и не очень правильно, и не очень удобно.
Telegram: @thexvo