Настроена головная и филиальная сеть из роутеров Микротиков, состоящая из одного головного Микротика (допустим, его белый IP адрес 1.2.3.4) и ряда других филиальных Микротиков.
У каждого филиального Микротика также свой белый IP. Допустим, у филиала №1 белый IP 1.2.3.11, у филиала №2 белый IP 1.2.3.22 и т.д.
Схема стандартная, настроена по типа «Звезда», т. е. в середине схемы находится головной 1.2.3.4, там же настроен l2tp/IPsec сервер с VPN-подсетью 192.168.50.1, на каждом филиальном настроен l2tp/IPsec клиент с адресом 192.168.50.2, на втором филиале 192.168.50.3 и т.д.
Соот-но, за каждым Микротиком расположена своя подсеть (192.168.3x.x) с пользователями. Все необходимые подсети видят друг друга нормально.
Сейчас стоит вопрос интеграции с одним из приложением стороннего разработчика. К этому приложению должны получить доступ все пользователи всех подсетей (головного и филиальных). Но по требованию разработчика к серверу этого приложения (допустим его белый IP 7.7.7.7) запросы от нас должны поступать только с одного белого IP адреса головного Микротика, т.е. с 1.2.3.4.
Достаточно ли просто настроить отдельный маршрут с каждого филиального Микротика через IP-Routes? Прописать в каждом филиале:
Destination - 7.7.7.7
Gateway – l2tp/ipsec client interface ( в качестве l2tp/ipsec сервера выступает тут головной Микротик с IP 1.2.3.4 )
Distance -1
Другими словами, что при обращении пользователя с подсети любого филиального Микротика на сервер приложения, все запросы идут через головной Микротик с IP 1.2.3.4.
Или нужно использовать второй вариант?
Destination - 7.7.7.7
Gateway – 1.2.3.4 (т.е. белый IP головного Микротика)
Distance -1
Если использовать второй вариант, т.е. когда филиальный Микротик отправляет запросы к приложению сразу напрямую через белый IP головного 1.2.3.4, то какие нужно настроить дополнительные правила на головном Микротике для разрешения передачи запросов от всех филиальных Микротиков?
Запрос с единого IP адреса
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
gmx
- Модератор
- Сообщения: 3416
- Зарегистрирован: 01 окт 2012, 14:48
Самое простое использовать nat в сторону впн.
-
osada
- Сообщения: 3
- Зарегистрирован: 02 июн 2021, 11:49
-
osada
- Сообщения: 3
- Зарегистрирован: 02 июн 2021, 11:49
osada писал(а): ↑27 фев 2022, 09:39 Настроена головная и филиальная сеть из роутеров Микротиков, состоящая из одного головного Микротика (допустим, его белый IP адрес 1.2.3.4) и ряда других филиальных Микротиков.
У каждого филиального Микротика также свой белый IP. Допустим, у филиала №1 белый IP 1.2.3.11, у филиала №2 белый IP 1.2.3.22 и т.д.
Схема стандартная, настроена по типа «Звезда», т. е. в середине схемы находится головной 1.2.3.4, там же настроен l2tp/IPsec сервер с VPN-подсетью 192.168.50.1, на каждом филиальном настроен l2tp/IPsec клиент с адресом 192.168.50.2, на втором филиале 192.168.50.3 и т.д.
Соот-но, за каждым Микротиком расположена своя подсеть (192.168.3x.x) с пользователями. Все необходимые подсети видят друг друга нормально.
Сейчас стоит вопрос интеграции с одним из приложением стороннего разработчика. К этому приложению должны получить доступ все пользователи всех подсетей (головного и филиальных). Но по требованию разработчика к серверу этого приложения (допустим его белый IP 7.7.7.7) запросы от нас должны поступать только с одного белого IP адреса головного Микротика, т.е. с 1.2.3.4.
Достаточно ли просто настроить отдельный маршрут с каждого филиального Микротика через IP-Routes? Прописать в каждом филиале:
Destination - 7.7.7.7
Gateway – l2tp/ipsec client interface ( в качестве l2tp/ipsec сервера выступает тут головной Микротик с IP 1.2.3.4 )
Distance -1
Другими словами, что при обращении пользователя с подсети любого филиального Микротика на сервер приложения, все запросы идут через головной Микротик с IP 1.2.3.4.
Или нужно использовать второй вариант?
Destination - 7.7.7.7
Gateway – 1.2.3.4 (т.е. белый IP головного Микротика)
Distance -1
Если использовать второй вариант, т.е. когда филиальный Микротик отправляет запросы к приложению сразу напрямую через белый IP головного 1.2.3.4, то какие нужно настроить дополнительные правила на головном Микротике для разрешения передачи запросов от всех филиальных Микротиков?
При использовании варианта №1 вопрос решается полностью, т.е. с помощью ПК одного изи филиалов я могу увидеть через тот же 2ip.ru, что в 2ip.ru отображается ответ с IP 1.2.3.4.
Но мне нужно настроить таким образом, чтобы при отправке таких запросов только с одного ПК, например, 192.168.31.10 (а не все ПК в какой-то филиальной подети подряд) был виден результат 1.2.3.4. А другие ПК из этой же подсети, например 192.168.31.11, 192.168.31.12 и др. при отправке подобного запроса на 2ip.ru в ответ получали бы стандартно белый IP филиального Микротика.
Пытался указать в Pref. Source 192.168.31.10 в Routes первого варианта, но это не срабатывает. Вт таком случае 2ip.ru показывает IP адрес филиального Микротика.
-
gmx
- Модератор
- Сообщения: 3416
- Зарегистрирован: 01 окт 2012, 14:48
Чёт я ещё почитал ваши сообщения, сложно там у вас все, вряд-ли нат поможет.
Почитайте вот эту тему
viewtopic.php?f=15&t=6467
Там в середине обсуждается подмена адреса источника. Скорее всего, вам это поможет.
Почитайте вот эту тему
viewtopic.php?f=15&t=6467
Там в середине обсуждается подмена адреса источника. Скорее всего, вам это поможет.