Страница 2 из 2
Re: VPN в подсеть за вторым роутером
Добавлено: 30 окт 2019, 11:47
anna
xvo писал(а): ↑30 окт 2019, 09:13
Как-то так:
Спасибо за картинку. Тут появилось аж 4 (172.16.1.0, 172.16.2.0, 10.0.0.1 и 10.0.0.2) сети
. Нужно разбираться. Мне нужно назначить их на некие интерфейсы первого роутера? И поменять шлюз у второго роутера? И там ко второму роутеру идут две сети (10.0.0.1 и 172.16.2.0) - первая это шлюз видимо а вторая это роутинг ?
Re: VPN в подсеть за вторым роутером
Добавлено: 30 окт 2019, 12:33
xvo
Ну почему 4 то, только 2 новых:
1) 10.0.0.1 и 10.0.0.2 - это одна транспортная сеть 10.0.0.0/30 между двумя роутерами.
Так оно и правильнее, чтобы второй роутер не болтался в локалке первого, и настраивать проще.
2) 172.16.1.0 и 172.16.2.0 - это два диапазона адресов pptp (или l2tp) сервера, по одному для клиентов каждой локалки.
Сейчас у вас там один диапазон какой-то, сделайте 2, чтобы удобно было разделять клиентов в firewall'е.
Ну и разумеется сами подсети/адреса выберите какие хотите. Это просто пример.
В такой схеме, у вас firewall, nat, vpn-сервер - все на первом микротике.
+ на нем нужно добавить руками маршрут до 192.168.2.0/24 через 10.0.0.2.
А на втором микротике конфиг вообще тривиальный получается:
- один порт отдельно, на нем адрес 10.0.0.2/30
- остальные порты в бридж, на бридж адрес 192.168.2.1/24 и dhcp-сервер локалки
- и дефолтный маршрут через 10.0.0.1
Все, весь конфиг.
Re: VPN в подсеть за вторым роутером
Добавлено: 30 окт 2019, 13:07
anna
xvo писал(а): ↑30 окт 2019, 12:33
Ну почему 4 то, только 2 новых:
1) 10.0.0.1 и 10.0.0.2 - это одна транспортная сеть 10.0.0.0/30 между двумя роутерами.
Так оно и правильнее, чтобы второй роутер не болтался в локалке первого, и настраивать проще.
2) 172.16.1.0 и 172.16.2.0 - это два диапазона адресов pptp (или l2tp) сервера, по одному для клиентов каждой локалки.
Сейчас у вас там один диапазон какой-то, сделайте 2, чтобы удобно было разделять клиентов в firewall'е.
Ну и разумеется сами подсети/адреса выберите какие хотите. Это просто пример.
В такой схеме, у вас firewall, nat, vpn-сервер - все на первом микротике.
+ на нем нужно добавить руками маршрут до 192.168.2.0/24 через 10.0.0.2.
А на втором микротике конфиг вообще тривиальный получается:
- один порт отдельно, на нем адрес 10.0.0.2/30
- остальные порты в бридж, на бридж адрес 192.168.2.1/24 и dhcp-сервер локалки
- и дефолтный маршрут через 10.0.0.1
Все, весь конфиг.
Правда на маску сети не обратила внимание.
1.Значит на первом роуторе делаем так:
2.На втором, из уже собранного бриджа, выковыриваем один порт и говорим ему через ip->adresses, что он 10.0.0.2/30
3. Дефолтный маршрут - это я не поняла о чём речь...
И ещё про два диапазона адресов для pptp сервера - а разве диапазоны не должны быть от сети в которою попадает пользователь после подключения?
Re: VPN в подсеть за вторым роутером
Добавлено: 30 окт 2019, 13:13
xvo
Только надо еще не забыть выковырять из бриджа и на первом роутере порт и повесить на него 10.0.0.1
Дефолтный маршрут: до 0.0.0.0/0 через 10.0.0.1 с дистанцией 1.
Re: VPN в подсеть за вторым роутером
Добавлено: 30 окт 2019, 13:27
anna
xvo писал(а): ↑30 окт 2019, 13:13
Только надо еще не забыть выковырять из бриджа и на первом роутере порт и повесить на него 10.0.0.1
Дефолтный маршрут: до 0.0.0.0/0 через 10.0.0.1 с дистанцией 1.
Выковыриваем на первом и на втором, ясно, но физически их соединять не нужно?
И по остальным вопросам, всё правильно я поняла?
Re: VPN в подсеть за вторым роутером
Добавлено: 30 окт 2019, 14:15
algerka
anna писал(а): ↑30 окт 2019, 11:39
Собственно, топология на картинке прикреплённой мною. В чём на ваш первый взгляд её кривость?
По картинке не понятно что за расстояние и канал между двумя маршрутизаторами? Это одна компания или разные? Доступы без ограничений ?
Но это уже не важно.
А на счёт "кривости", я бы использовал vlan.
Re: VPN в подсеть за вторым роутером
Добавлено: 30 окт 2019, 14:15
xvo
anna писал(а): ↑30 окт 2019, 13:27
Выковыриваем на первом и на втором, ясно, но физически их соединять не нужно?
И по остальным вопросам, всё правильно я поняла?
Как это не нужно?! Как раз таки те порты, которыми роутеры соединены физически мы и выносим в отдельную подсеть! :)
По остальным вопросам: конечно при большом желании и некоторой "ловкости рук" можно раздавать в впн адреса из той же подсети, что и в локалке, но какой в этом практический смысл? Это и не очень правильно, и не очень удобно.