Нужно настроить "железный" vpn

[Sfinx]

Anton
поехал за 751U-2HnD во флешку. Надеюсь поможет ))

[mehanik]

Sfinx
а что они в наличии
а с буквочкой G вместо U есть в наличии

[Anton]

mehanik
уже месяц как...

[mehanik]

так я не понял к нему можно 2 провайдера подключать
а то там пишут что 5 ланов
да и где к нему взять документацию
а то я смотрю там все нормальные настройки через командную строку

[Sfinx]

Короче. три часа и микротик заменил dlink. железяка жуть навороченной кажется после тупоюзер френдли d-link....

есть внутрисеть, есть интернет, есть wifi в котором есть интернет.
Есть pptp сервер. вроде. завтра с работы попробую подключиться. но вот с роутингом прямо беда.
За столько лет попыток понять маршрутизацию - один большой сквозняк в голове. Чтение книжек не помогает )
Почему-то пока не был настроен pptp в самом роутере я мог поднимать vpn с компа и был доступен рабочий роутер (отзывался)
Потом настроил pptp в микротике (видимо после этого изменилась маршрутизация. и теперь всё идет в эту дыру, а в старую дыру не идет. зато инет есть.

Добавлено спустя 29 минут 23 секунды:

upd: оказывается nat тоже может работать на разные интерфейсы. пофиксилось, теперь все сайты доступны, по всем направлениям. проверял на сайте зелёной точки, который во внутрисети.

[kom]

mehanik
G в наличии сейчас нет. Ну по крайней мере вчера я заходил во влешку - не было.
Умеет он подключатся хоть к трем провайдерам: у него на свиче все порты "честные" и их можно разгруппировать как нужно.
Документация на сайте есть. В том числе на русском. Гуй у него тоже есть и он более чем вменяемый.
Sfinx
велком Я так понимаю уже оценили всю прелесть данной коробушки.

[mehanik]

kom
спасибо понял

Добавлено спустя 16 минут 37 секунд:

Sfinx
так что вы купили
модель 751U-2HnD в их прайсе не значится

[eurosetadmin]

Sfinx
Через какую дыру идет трафик проверяйкомандой tracert
Например tracert ya.ru и видим через какие роутеры пошел трафик.
Как вы вначале написали у вас похоже весь трафик пошел через работу.
Маршрутизвцию нужно смотреть только на ВПН-клиенте.

[Sfinx]

[eurosetadmin]

Пока все нормально. Под внутренним я имел ввиду впн

Добавлено спустя 35 минут 22 секунды:

Домашний роутер(впн сервер) должен как то знать что сеть 192.168.0.* доступна через шлюз 192.168.88.6 (через интерфейс впн сервера)
Т.е. В таблице маршрутов после поднятия впн должно быть примерно следующее
192.168.0.0 255.255.255.0 192.168.88.6

А на рабочем роутере (впн клиенте) после поднятия впн маршрут по умолчанию должен остаться на провайдера(мы в интернет будем через провайдера ходить), а маршрут на 192.168.88.* должен быть через впн интерфейс. Обычно по умолчанию после поднятия впн становится маршрутом по умолчанию.
Маршрут по умолчанию
0.0.0.0 0.0.0.0 пров
192.168.88.0 255.255.255.0 192.168.88.5

Как то так.

А интернет на работе у вас через ВПН?

[kom]

Sfinx
по моему будет достаточно второго NAT с маскарадингом в vpn интерфейс

[Sfinx]

[kom]

Sfinx

[eurosetadmin]

А вы по ip и заходите на домашний комп
В проводнике \\192.168.88.2

[mehanik]

[Sfinx]

Итого.
Куплен микротик 751U-2HnD, который заменил домашний длинк DIR-400 полностью реализовав "домашние" потребности.
Кроме того, он же выступает в роли VPN сервера.
На работе DIR-655 признан тупым и недееспособным. Т.к. после поднятия PPTP туннеля на микротик он включает NAT и возможность отключить его отсутствует.
А следовательно дорогая и красивая железка оказывается предназначена исключительно для домашнего использования с простым провайдером и не способна решать более-менее мудрёных задач.
Из одной сети в другую не пингуются компы. Максимум, что придумал - пробросить отдельные порты на конкретные машины, но это коряво как-то ((

Хочется пойти дальше и поднять EoIP. Тогда можно будет получить реально прозрачный канал примерно вот такой:


Теперь вопрос- как это осуществить?
Вариантов несколько:
1. Прошить DIR-400 опять в DD-WRT там вроде как и EoIP есть, правда судя по форумам, он поднимается с бубном и работает только если не забывать по вторникам в семь утра посыпать его пеплом и окуривать.
Он же будет работать как wifi точка доступа.

2. Купить ещё один 751U-2HnD и заменить им рабочий DIR-655.
организовав и туннелирование и роутинг и точку доступа в одной железке.
но текущая точка доступа на работе имеет вкусную штуку - гостевую wifi сетку, которая не роутится во внутреннюю сеть организации.
Сможет ли микротик организовать что-то подобное?

Если да, то у меня есть на продажу два длинка ) Дёшево отдам! )

[kom]

Sfinx[/b[b]mehanik
Да все он из описанного умеет. Если мало документации на родном сайте и на вики, то вот 150 страниц на хоботе http://forum.ixbt.com/topic.cgi?id=14:51525
Sfinx
Да, про IPoE как то я подзабыл. Микротик его умеет, правда я не пробовал еще. Но думаю заработает без проблем.
По поводу гостевого фафвая - мне кажется должен уметь. Ну или как вариант - оставить любой длинк, на микротике выделить порт из свича из бриджа сделать на нем отдельный dhcp сервер и пр. и включить в него длинк, настроев его как точку доступа. Профит

Кстати про dlink: как то тоже понадобилось вырубить нат: перебрал все модели, которые были под рукой начиная от дир-100 и заканчивая 620 - ни на одном нат отключить нельзя. Что подтвердила тех поддержка длинка

[eurosetadmin]

На картинке ошибка? Не?
ЛАНы должны же быть в каждом филиале свои, например
А 10.0.1.*
В 10.0.2.*
с 10.0.3.*
Ну и в тексте от этой картинке соответсвующая ошибка.

[Anton]

Sfinx
надо поставить в офисе еще один микротик и сделать так
http://sysadminblog.ru/blog/mikrotik/361.html
Прозрачный мост на Mikrotik RouterOS с использованием PPtP и EoIP
шлюзом у всех компов должны быть микротики, тогда они будут видны

[eurosetadmin]

Хотя может так и задумано, что бы на разных концах была одна подсеть. Но для меня это странно. Я привык что бы в каждом филиале была своя подсеть.
Еще пишут, что EoIP трафик не шифруется. Вот нашел примерчик где eoip загоняют с впн http://sysadminblog.ru/mikrotik/2011/06/09/prozrachnyy-most-na-mikrotik-routeros-s-ispolzovaniem-pptp-i-eoip.html может поможет.

Добавлено спустя 1 минуту 23 секунды:

Интересно какая скорость будет у такого моста.