На этот раз мы рассмотрим настройку NetMap на роутере MikroTik которая поможет объединить две или более одинаковых сетей. Это будет полезно в большей степени тем кто занимается обслуживанием на аутсорсе, так как с приходом новых клиентов может сложится ситуация что ip сеть у них такая же как и у вас или у других ваших клиентов. И чтобы не переделывать адресацию на которой может быть завязано множество сервисов, приходится использовать костыль который и называется NetMap.
Топология сети
В мире сетевых технологий существует огромное количество прекрасных протоколов и решений, которые позволяют держать на костылях вашу сеточку. NetMap – еще один представитель из рода сего, чудотворец и позволит вам, обмениваться трафиком, без каких либо преград между двумя пересекающимися IP сетями. Если более точно, то, имея две (три, четыре и …) 192.168.1.0/24 (и не только) вы сможете передавать данные в обе стороны. Его можно поставить в один ряд с такими технологиями как NAT и EoIP. Я уже представляю как сетевой инженер жалеет, что б**дь связался с этим зло**учим проектом.
Максимально простая топология сети.
- ISP – выполняет роль сервис провайдера;
- Office-1 и Office-2 – роутеры на площадках;
- Адресация на обои площадках – 192.168.0.0/24;
- 192.168.0.10 – адреса машин;
- RouterOS – 6.47.1
Настройка сервера VPN
Я предпочел в качестве VPN сервера роутер в первом офисе, на основе L2TP без IPSEC. Приступим к настройке. Создадим профайл:
- Укажем имя;
- Адрес сервера в туннеле;
- Адрес клиента в туннеле;
- Изменим сервисные параметры.
MPLS не нужен, включим компрессию и шифрование.
Укажем, что лимит только для одного и сохранимся.
Создадим пользователя L2TP.
Применяем и включаем службу L2TP, указав созданный профайл и протокол проверки подлинности.
Обязательно создаем Binding интерфейс для клиента.
Указываем название и для какого пользователя. Применяем и жмем ОК.
В списке интерфейсов должна появиться запись. Статус подключения изменится после настройки клиентской части.
Настройка клиента
Следующий этап, это клиентская часть VPN. Подключаемся к Office-2 и создаем интерфейс.
Указываем имя интерфейса и переключаемся на Dial Out.
Задаем:
- адрес подключения;
- имя пользователя;
- пароль;
- протокол авторизации.
Сохраним изменения и переключимся на вкладку Status.
Здесь можно увидеть статус подключения, какое действует шифрование и адреса в туннеле.
Настройка NetMap
После создания VPN интерфейса, можно приступить к настройке. Важно заметить, что вы можете настроить на любом протоколе VPN, будь то PPTP, SSTP или даже EoIP. Создадим фейковые маршруты. Роутер первого офиса, будет думать, что второго офиса это 192.168.102.0/24. А роутер второго офиса, будет думать, что сеть первого – 192.168.101.0/24.
Параметры маршрутизации Office-1.
Параметры маршрутизации Office-2.
Финт ушами с маршрутизацией только начало. Далее настраиваем NAT правила (IP-Firewall-NAT).
Создаем второе правило.
Переключимся на второй офис и сделаем обратные правила.
Аналогично второе правило.
То же самое, но в CLI
На Office-1:
/ip firewall nat
add action=netmap chain=dstnat dst-address=192.168.101.0/24 to-addresses=\
192.168.0.0/24
add action=netmap chain=srcnat out-interface=Office-2 src-address=\
192.168.0.0/24 to-addresses=192.168.101.0/24
На Office-2:
/ip firewall nat
add action=netmap chain=dstnat dst-address=192.168.101.0/24 to-addresses=\
192.168.0.0/24
add action=netmap chain=srcnat out-interface=Office-2 src-address=\
192.168.0.0/24 to-addresses=192.168.101.0/24
Проверим, отправив эхо-запросы с Office-1-PC.
Посмотрим, что происходит внутри туннеля.
На восприятие для первого раза сложновато. Логика, следующая:
Когда Office-1-PC отправляет пакет с src 192.168.0.10 и dst 192.168.102.10, принимая роутер на Office-1 подменяет src на 192.168.101.10 и отправляет в трубу. Когда роутер на Office-2 принимает пакет с dst 192.168.102.10/24, то подменяет на 192.168.0.10. Далее Office-2-PC отвечает на 192.168.101.10, пакет прилетает на роутер Office-2, подменяет src адрес 192.168.0.10 на 192.168.102.10, отправляет в трубу. Последний, приняв пакет с dst 192.168.101.10 подменяет на 192.168.0.10, и такая процедура создает бесконечность, благодаря Packet Flow Diagram v6. Весь секрет успеха кроется в том, что SRC проверяется в Prerouting, а DST в Postrouting.
Как вы видите, данная технология подменяет адрес сети, ориентируясь на значение маски, а все что идет после нее, оставляет неизменным. Теперь, вы понимаете, что такое и как работает NetMap и чем он отличается от DST-NAT, такой принцип не только на Микротик но и на других сетевых устройствах.
89 вопросов по настройке MikroTik
Вы хорошо разбираетесь в Микротиках? Или впервые недавно столкнулись с этим оборудованием и не знаете, с какой стороны к нему подступиться? В обоих случаях вы найдете для себя полезную информацию в курсе «Настройка оборудования MikroTik». 162 видеоурока, большая лабораторная работа и 89 вопросов, на каждый из которых вы будете знать ответ. Подробности и доступ к началу курса бесплатно тут.
Отличная статья, по ней настроился, всё работает чётенько) правда на одном скриншоте зарылась скрытая ошибка, если подразумеваются офисы за белыми IP, но нашлась быстро. Спасибо!
Yастроил аналогично. Не работает. Пинг не летит.
К сожалению, малоинформативно
Попробуйте описать подробнее, что вы делали и что не получилось