Настройка NetMap на MikroTik

На этот раз мы рассмотрим настройку NetMap на роутере MikroTik которая поможет объединить две или более одинаковых сетей. Это будет полезно в большей степени тем кто занимается обслуживанием на аутсорсе, так как с приходом новых клиентов может сложится ситуация что ip сеть у них такая же как и у вас или у других ваших клиентов. И чтобы не переделывать адресацию на которой может быть завязано множество сервисов, приходится использовать костыль который и называется NetMap.

Топология сети

В мире сетевых технологий существует огромное количество прекрасных протоколов и решений, которые позволяют держать на костылях вашу сеточку. NetMap – еще один представитель из рода сего, чудотворец и позволит вам, обмениваться трафиком, без каких либо преград между двумя пересекающимися IP сетями. Если более точно, то, имея две (три, четыре и …) 192.168.1.0/24 (и не только) вы сможете передавать данные в обе стороны. Его можно поставить в один ряд с такими технологиями как NAT и EoIP. Я уже представляю как сетевой инженер жалеет, что б**дь связался с этим зло**учим проектом.

Максимально простая топология сети.

Топология сети

  • ISP – выполняет роль сервис провайдера;
  • Office-1 и Office-2 – роутеры на площадках;
  • Адресация на обои площадках – 192.168.0.0/24;
  • 192.168.0.10 – адреса машин;
  • RouterOS – 6.47.1
Наша команда рекомендует изучитьНаша команда рекомендует изучить углубленный курс по администрированию сетевых устройств MikroTik В курсе много лабораторных работ по итогам которых вы получите обратную связь. После обучения вы получите диплом гос. образца РФ. Подробности и доступ к началу курса бесплатно тут.

Настройка сервера VPN

Я предпочел в качестве VPN сервера роутер в первом офисе, на основе L2TP без IPSEC. Приступим к настройке. Создадим профайл:

  • Укажем имя;
  • Адрес сервера в туннеле;
  • Адрес клиента в туннеле;
  • Изменим сервисные параметры.

Создаем профиль сети

MPLS не нужен, включим компрессию и шифрование.

Изменим значения protocols

Укажем, что лимит только для одного и сохранимся.

Только для одного

Создадим пользователя L2TP.

Создание L2TP User

Применяем и включаем службу L2TP, указав созданный профайл и протокол проверки подлинности.

Настройка L2TP сервера

Обязательно создаем Binding интерфейс для клиента.

Создаем Binding

Указываем название и для какого пользователя. Применяем и жмем ОК.

Указываем для какого пользователя Binding

В списке интерфейсов должна появиться запись. Статус подключения изменится после настройки клиентской части.

Интерфейс не активен

Настройка клиента

Следующий этап, это клиентская часть VPN. Подключаемся к Office-2 и создаем интерфейс.

Создание клиентского L2TP

Указываем имя интерфейса и переключаемся на Dial Out.

Задаем имя интерфейсу

Задаем:

  • адрес подключения;
  • имя пользователя;
  • пароль;
  • протокол авторизации.

Задаем параметры VPN клиента

Сохраним изменения и переключимся на вкладку Status.

Посмотрим состояние соединения

Здесь можно увидеть статус подключения, какое действует шифрование и адреса в туннеле.

Настройка NetMap

После создания VPN интерфейса, можно приступить к настройке. Важно заметить, что вы можете настроить на любом протоколе VPN, будь то PPTP, SSTP или даже EoIP. Создадим фейковые маршруты. Роутер первого офиса, будет думать, что второго офиса это 192.168.102.0/24. А роутер второго офиса, будет думать, что сеть первого – 192.168.101.0/24.

Параметры маршрутизации Office-1.

Настройка маршрута до второго офиса

Параметры маршрутизации Office-2.

Настройки маршрута до первого офиса

Финт ушами с маршрутизацией только начало. Далее настраиваем NAT правила (IP-Firewall-NAT).

Настройка dst NetMap Office-1

Настройка action dst NetMap Office-1

Создаем второе правило.

Настройка src NetMap Office-1

Настройка action src NetMap Office-1

Переключимся на второй офис и сделаем обратные правила.

Настройка dst NetMap Office-2

Настройка action dst NetMap Office-2

Аналогично второе правило.

Настройка src NetMap Office-2

Настройка action src NetMap Office-2

То же самое, но в CLI

На Office-1:

/ip firewall nat

add action=netmap chain=dstnat dst-address=192.168.101.0/24 to-addresses=\

192.168.0.0/24

add action=netmap chain=srcnat out-interface=Office-2 src-address=\

192.168.0.0/24 to-addresses=192.168.101.0/24

 

На Office-2:

/ip firewall nat

add action=netmap chain=dstnat dst-address=192.168.101.0/24 to-addresses=\

192.168.0.0/24

add action=netmap chain=srcnat out-interface=Office-2 src-address=\

192.168.0.0/24 to-addresses=192.168.101.0/24

Проверим, отправив эхо-запросы с Office-1-PC.

Ping с Office-01-PC

Посмотрим, что происходит внутри туннеля.

Прослушка трафика в туннеле

На восприятие для первого раза сложновато. Логика, следующая:

Когда Office-1-PC отправляет пакет с src 192.168.0.10 и dst 192.168.102.10, принимая роутер на Office-1 подменяет src на 192.168.101.10 и отправляет в трубу. Когда роутер на Office-2 принимает пакет с dst 192.168.102.10/24, то подменяет на 192.168.0.10. Далее Office-2-PC отвечает на 192.168.101.10, пакет прилетает на роутер Office-2, подменяет src адрес 192.168.0.10 на 192.168.102.10, отправляет в трубу. Последний, приняв пакет с dst 192.168.101.10 подменяет на 192.168.0.10, и такая процедура создает бесконечность, благодаря Packet Flow Diagram v6. Весь секрет успеха кроется в том, что SRC проверяется в Prerouting, а DST в Postrouting.

Mikrotik PacketFlow Diagram

Как вы видите, данная технология подменяет адрес сети, ориентируясь на значение маски, а все что идет после нее, оставляет неизменным. Теперь, вы понимаете, что такое и как работает NetMap и чем он отличается от DST-NAT, такой принцип не только на Микротик но и на других сетевых устройствах.

Вы хорошо разбираетесь в Микротиках? Или впервые недавно столкнулись с этим оборудованием и не знаете, с какой стороны к нему подступиться? В обоих случаях вы найдете для себя полезную информацию в углубленном курсе «Администрирование сетевых устройств MikroTik». В курсе много практических лабораторных работ по результату выполнения которых вы получите обратную связь. После окончания обучения вы получите диплом гос. образца РФ. Подробности и доступ к началу курса бесплатно тут.
Оцените статью
MikroTikLab
Добавить комментарий

  1. Павел

    Отличная статья, по ней настроился, всё работает чётенько) правда на одном скриншоте зарылась скрытая ошибка, если подразумеваются офисы за белыми IP, но нашлась быстро. Спасибо!

    Ответить
  2. Евгений Олегович

    Yастроил аналогично. Не работает. Пинг не летит.

    Ответить
    1. Артур Гарян автор

      К сожалению, малоинформативно
      Попробуйте описать подробнее, что вы делали и что не получилось

      Ответить
Adblock
detector