Настройка NetMap на MikroTik

На этот раз мы рассмотрим настройку NetMap на роутере MikroTik которая поможет объединить две или более одинаковых сетей. Это будет полезно в большей степени тем кто занимается обслуживанием на аутсорсе, так как с приходом новых клиентов может сложится ситуация что ip сеть у них такая же как и у вас или у других ваших клиентов. И чтобы не переделывать адресацию на которой может быть завязано множество сервисов, приходится использовать костыль который и называется NetMap.

Топология сети

В мире сетевых технологий существует огромное количество прекрасных протоколов и решений, которые позволяют держать на костылях вашу сеточку. NetMap – еще один представитель из рода сего, чудотворец и позволит вам, обмениваться трафиком, без каких либо преград между двумя пересекающимися IP сетями. Если более точно, то, имея две (три, четыре и …) 192.168.1.0/24 (и не только) вы сможете передавать данные в обе стороны. Его можно поставить в один ряд с такими технологиями как NAT и EoIP. Я уже представляю как сетевой инженер жалеет, что б**дь связался с этим зло**учим проектом.

Максимально простая топология сети.

Топология сети

  • ISP – выполняет роль сервис провайдера;
  • Office-1 и Office-2 – роутеры на площадках;
  • Адресация на обои площадках – 192.168.0.0/24;
  • 192.168.0.10 – адреса машин;
  • RouterOS – 6.47.1
Если вы хотите углубить свои знания по работе с роутерами MikroTik, то наша команда рекомендует пройти курсы которые сделаны на основе MikroTik Certified Network Associate и расширены автором на основе опыта . Подробно читайте ниже.

Настройка сервера VPN

Я предпочел в качестве VPN сервера роутер в первом офисе, на основе L2TP без IPSEC. Приступим к настройке. Создадим профайл:

  • Укажем имя;
  • Адрес сервера в туннеле;
  • Адрес клиента в туннеле;
  • Изменим сервисные параметры.

Создаем профиль сети

MPLS не нужен, включим компрессию и шифрование.

Изменим значения protocols

Укажем, что лимит только для одного и сохранимся.

Только для одного

Создадим пользователя L2TP.

Создание L2TP User

Применяем и включаем службу L2TP, указав созданный профайл и протокол проверки подлинности.

Настройка L2TP сервера

Обязательно создаем Binding интерфейс для клиента.

Создаем Binding

Указываем название и для какого пользователя. Применяем и жмем ОК.

Указываем для какого пользователя Binding

В списке интерфейсов должна появиться запись. Статус подключения изменится после настройки клиентской части.

Интерфейс не активен

Настройка клиента

Следующий этап, это клиентская часть VPN. Подключаемся к Office-2 и создаем интерфейс.

Создание клиентского L2TP

Указываем имя интерфейса и переключаемся на Dial Out.

Задаем имя интерфейсу

Задаем:

  • адрес подключения;
  • имя пользователя;
  • пароль;
  • протокол авторизации.

Задаем параметры VPN клиента

Сохраним изменения и переключимся на вкладку Status.

Посмотрим состояние соединения

Здесь можно увидеть статус подключения, какое действует шифрование и адреса в туннеле.

Настройка NetMap

После создания VPN интерфейса, можно приступить к настройке. Важно заметить, что вы можете настроить на любом протоколе VPN, будь то PPTP, SSTP или даже EoIP. Создадим фейковые маршруты. Роутер первого офиса, будет думать, что второго офиса это 192.168.102.0/24. А роутер второго офиса, будет думать, что сеть первого – 192.168.101.0/24.

Параметры маршрутизации Office-1.

Настройка маршрута до второго офиса

Параметры маршрутизации Office-2.

Настройки маршрута до первого офиса

Финт ушами с маршрутизацией только начало. Далее настраиваем NAT правила (IP-Firewall-NAT).

Настройка dst NetMap Office-1

Настройка action dst NetMap Office-1

Создаем второе правило.

Настройка src NetMap Office-1

Настройка action src NetMap Office-1

Переключимся на второй офис и сделаем обратные правила.

Настройка dst NetMap Office-2

Настройка action dst NetMap Office-2

Аналогично второе правило.

Настройка src NetMap Office-2

Настройка action src NetMap Office-2

То же самое, но в CLI

На Office-1:

/ip firewall nat

add action=netmap chain=dstnat dst-address=192.168.101.0/24 to-addresses=\

192.168.0.0/24

add action=netmap chain=srcnat out-interface=Office-2 src-address=\

192.168.0.0/24 to-addresses=192.168.101.0/24

 

На Office-2:

/ip firewall nat

add action=netmap chain=dstnat dst-address=192.168.101.0/24 to-addresses=\

192.168.0.0/24

add action=netmap chain=srcnat out-interface=Office-2 src-address=\

192.168.0.0/24 to-addresses=192.168.101.0/24

Проверим, отправив эхо-запросы с Office-1-PC.

Ping с Office-01-PC

Посмотрим, что происходит внутри туннеля.

Прослушка трафика в туннеле

На восприятие для первого раза сложновато. Логика, следующая:

Когда Office-1-PC отправляет пакет с src 192.168.0.10 и dst 192.168.102.10, принимая роутер на Office-1 подменяет src на 192.168.101.10 и отправляет в трубу. Когда роутер на Office-2 принимает пакет с dst 192.168.102.10/24, то подменяет на 192.168.0.10. Далее Office-2-PC отвечает на 192.168.101.10, пакет прилетает на роутер Office-2, подменяет src адрес 192.168.0.10 на 192.168.102.10, отправляет в трубу. Последний, приняв пакет с dst 192.168.101.10 подменяет на 192.168.0.10, и такая процедура создает бесконечность, благодаря Packet Flow Diagram v6. Весь секрет успеха кроется в том, что SRC проверяется в Prerouting, а DST в Postrouting.

Mikrotik PacketFlow Diagram

Как вы видите, данная технология подменяет адрес сети, ориентируясь на значение маски, а все что идет после нее, оставляет неизменным. Теперь, вы понимаете, что такое и как работает NetMap и чем он отличается от DST-NAT, такой принцип не только на Микротик но и на других сетевых устройствах.

89 вопросов по настройке MikroTik

Вы хорошо разбираетесь в Микротиках? Или впервые недавно столкнулись с этим оборудованием и не знаете, с какой стороны к нему подступиться? В обоих случаях вы найдете для себя полезную информацию в курсе «Настройка оборудования MikroTik». 162 видеоурока, большая лабораторная работа и 89 вопросов, на каждый из которых вы будете знать ответ. Подробности и доступ к началу курса бесплатно тут.

Оцените статью
MikroTikLab
Добавить комментарий

четыре × 4 =

Adblock detector