Посещая наш сайт, вы соглашаетесь с нашей политикой конфиденциальности в отношении файлов cookie, статистики отслеживания и т. д.

Главная » Вопросы и ответы » Системное администрирование и сети

Сайт-к-сайту VPN с локальными интернет-шлюзами на Mikrotik

На чтение 6 мин Опубликовано
Содержание
  1. Вопрос или проблема
  2. Ответ или решение
  3. Настройка Site-to-Site VPN с локальными интернет-шлюзами на MikroTik
  4. Проблема
  5. Решение
  6. Примечания
  7. Заключение

Вопрос или проблема

У нас есть корпоративная сеть в офисе 1 с Forefront TMG в качестве шлюза. Внутренний диапазон IP сети офис 1 составляет 192.168.0.0/24.

У нас есть филиал офис 2 с маршрутизатором Mikrotik (вы можете рассматривать его как Linux-файрвол на основе iptables, если вы не знакомы с Mikrotik). Диапазон IP в офисе 2 составляет 192.168.88.0/24. 192.168.88.1 – это IP шлюза.

Я настроил VPN-соединение Site-to-site, где только Mikrotik использует свой PPTP-клиент для подключения к шлюзу VPN офиса 1 на TMG.

TMG использует маршрутизируемые отношения для общения с компьютерами в диапазоне офиса 2.

Если установлен флажок “Добавить маршрут по умолчанию” в конфигурации PPTP-клиента на Mikrotik, весь трафик проходит через TMG как в интернет, так и в сеть офиса 1. Компьютеры офиса 1 также могут получать доступ к сети офиса 2, все работает отлично.

Но есть накладные расходы, поскольку мы не хотим, чтобы весь интернет-трафик из офиса 2 проходил через TMG в офисе 1. Нам нужны только IP-адреса офиса 1, маршрутизируемые через VPN, в то время как все остальное идет через интернет-канал в офисе 2.

Итак, я отключил флажок “Добавить маршрут по умолчанию” в конфигурации PPTP-клиента и использовал настройку Mangle в файрволе на Mikrotik, чтобы добавить маркеры маршрутизации ко всему трафику, который направляется в сеть офиса 1. В таблице маршрутов на Mikrotik я в основном добавил маршрут, который говорит: весь трафик с маркером офиса 1 проходит через VPN-шлюз.

Это почти дает мне желаемое. Офис 2 подключается к IP-адресам офиса 1 через VPN-шлюз, другие запросы идут через локальный интернет-канал. Но единственное, что не работает в этой конфигурации, при отключенном “Добавить маршрут по умолчанию”, это то, что компьютеры офиса 1 не могут получить доступ ни к IP-адресу Mikrotik через VPN, ни к любому IP в сети офиса 2. Mikrotik, по сути, не маршрутизирует трафик, который поступает из офиса 1. Я пробовал несколько подходов (маршрутов) на основе маркеров маршрутизации, но ни один не позволил офису 1 получить доступ к офису 2. Только если установлен “Добавить маршрут по умолчанию”, я могу подключаться в обе стороны.

Пожалуйста, помогите подсказать, что особенного в этом “Добавить маршрут по умолчанию” в моей конфигурации, так как я по сути вручную добавляю то же самое, что включает только половину настроек связи.

Вам необходимо создать статические маршруты на каждом маршрутизаторе, чтобы они знали, как добраться до сети каждого офиса.

На маршрутизаторе офиса 1:
Создайте маршрут для целевой сети 192.168.88.0/24 с шлюзом, который является IP-адресом или интерфейсом вашего VPN. (Я не знаю, что такое TMG и как это может относиться к статическим маршрутам, но концепция остается такой же, независимо от производителя маршрутизатора).
Поскольку вы упоминаете о каком-то «маршрутизируемом отношении» (я предполагаю, что это терминология, специфичная для производителя), возможно, вам не нужно добавлять маршруты на маршрутизатор TMG.

На маршрутизаторе офиса 2:
Вы создаете статический маршрут либо через Winbox (IP > Router> Add), либо через командную строку.

/ip route add dst-address=192.168.0.0/24 gateway=pptp-interface

Теперь маршрутизатор офиса 2 знает, как добраться до 192.168.0.0/24 (через VPN), и аналогично, маршрутизатор офиса 1 должен знать, как добраться до 192.168.88.0/24.

Также я не думаю, что вам нужны какие-либо правила Mangle. Все это можно сделать без iptables (IP>Firewall в терминологии MikroTik), так как это просто статическая маршрутизация между двумя сетями.

Ответ или решение

Настройка Site-to-Site VPN с локальными интернет-шлюзами на MikroTik

Обеспечение стабильного взаимодействия между офисами — важная задача для любой компании. Ваша ситуация подразумевает настройку Site-to-Site VPN между корпоративной сетью с Forefront TMG в офисе 1 и филиалом с маршрутизатором MikroTik в офисе 2. Решение проблемы с маршрутизацией трафика через VPN требует серьезного понимания маршрутизации и работы сетевых шлюзов.

Проблема

Как вы уже заметили, при активации параметра "Add Default Route" в настройках PPTP-клиента MikroTik весь интернет-трафик из офиса 2 маршрутизируется через TMG в офисе 1. Это создает ненужные задержки и нагрузку на основной шлюз. Каждый офис должен иметь возможность общаться с другой сетью, но без маршрутизации всего трафика через VPN.

Решение

Для реализации вашей задачи необходимо правильно настроить маршруты на обоих маршрутизаторах и учесть некоторые особенности работы VPN.

  1. Настройка маршрутов на маршрутизаторе TMG (офис 1):

    • Создайте статический маршрут на TMG для сети 192.168.88.0/24. Этот маршрут должен указывать, что для доступа к сети филиала трафик должен проходить через интерфейс VPN. Убедитесь, что TMG знает о сети, к которой должен обращаться.
    • Если TMG поддерживает маршрутизацию на основе политик, проверьте настройку "route relationship".

  2. Настройка маршрутов на MikroTik (офис 2):

    • Отключите опцию "Add Default Route" в конфигурации PPTP-клиента, чтобы весь трафик из офиса 2 не проходил через TMG.
    • Создайте статический маршрут, указывающий на сеть офиса 1. В командной строке MikroTik это можно сделать с помощью следующей команды: 
      /ip route add dst-address=192.168.0.0/24 gateway=pptp-interface
    • Этот маршрут указывает, что трафик в сеть 192.168.0.0/24 должен направляться через созданный PPTP-интерфейс.

  3. Использование правил маркировки пакетов (Mangle):

    • Если требуется более тонкая настройка, используйте правила маркировки пакетов для маршрутизации специфичного трафика через VPN. Однако, для текущей задачи настройка статических маршрутов должна быть достаточно.
    • Убедитесь, что если вы используете Mangle, маршруты также отмечены соответствующим образом, чтобы пакеты могли быть корректно направлены.

Примечания

  • Маршрутизация в обоих направлениях: Убедитесь, что оба маршрутизатора знают путь к сетям друг друга. Это должно обеспечить доступ офису 1 к сети офису 2.
  • Ход маршрутизации: При отсутствии свойства "Add Default Route", убедитесь, что у вас нет конфликтов с вне зависимости от маршрутизации. Все маршруты должны быть четко прописаны и понятны для маршрутизаторов.
  • Обход неправильно настроенных правил: Важно, чтобы существовали только необходимые статические маршруты, а ненужные правила маркировки или маршрутизации не затрудняли процесс.

Заключение

При правильной настройке статических маршрутов и обращении к политикам маршрутизации TMG и MikroTik можно добиться желаемого результата. Вам нужно удостовериться, что обе сети видят друг друга и имеют соответствующий доступ к ресурсам, при этом избегая ненужной маршрутизации интернет-трафика через VPN. Такой подход минимизирует задержки и повысит производительность сети.

Если возникнут дополнительные вопросы или потребуется помощь в настройке, не стесняйтесь обращаться!

iptables mikrotik networking pptp routing
Оцените материал
Добавить комментарий

Капча загружается...

© 2024 IZ6.RU
*В материалах сайта упоминаются социальные сети Фейсбук / Инстаграм, принадлежащие Meta Platforms Inc., деятельность которой запрещена на территории РФ в части реализации данных социальных сетей на основании осуществления ею экстремистской деятельности