Настройка NetMap на MikroTik

На этот раз мы рассмотрим настройку NetMap на роутере MikroTik которая поможет объединить две или более одинаковых сетей. Это будет полезно в большей степени тем кто занимается обслуживанием на аутсорсе, так как с приходом новых клиентов может сложится ситуация что ip сеть у них такая же как и у вас или у других ваших клиентов. И чтобы не переделывать адресацию на которой может быть завязано множество сервисов, приходится использовать костыль который и называется NetMap.

Топология сети

В мире сетевых технологий существует огромное количество прекрасных протоколов и решений, которые позволяют держать на костылях вашу сеточку. NetMap – еще один представитель из рода сего, чудотворец и позволит вам, обмениваться трафиком, без каких либо преград между двумя пересекающимися IP сетями. Если более точно, то, имея две (три, четыре и …) 192.168.1.0/24 (и не только) вы сможете передавать данные в обе стороны. Его можно поставить в один ряд с такими технологиями как NAT и EoIP. Я уже представляю как сетевой инженер жалеет, что б**дь связался с этим зло**учим проектом.

Максимально простая топология сети.

• ISP – выполняет роль сервис провайдера;
• Office-1 и Office-2 – роутеры на площадках;
• Адресация на обои площадках – 192.168.0.0/24;
• 192.168.0.10 – адреса машин;
• RouterOS – 6.47.1

Настройка сервера VPN

Я предпочел в качестве VPN сервера роутер в первом офисе, на основе L2TP без IPSEC. Приступим к настройке. Создадим профайл:

• Укажем имя;
• Адрес сервера в туннеле;
• Адрес клиента в туннеле;
• Изменим сервисные параметры.

MPLS не нужен, включим компрессию и шифрование.

Укажем, что лимит только для одного и сохранимся.

Создадим пользователя L2TP.

Применяем и включаем службу L2TP, указав созданный профайл и протокол проверки подлинности.

Обязательно создаем Binding интерфейс для клиента.

Указываем название и для какого пользователя. Применяем и жмем ОК.

В списке интерфейсов должна появиться запись. Статус подключения изменится после настройки клиентской части.

Настройка клиента

Следующий этап, это клиентская часть VPN. Подключаемся к Office-2 и создаем интерфейс.

Указываем имя интерфейса и переключаемся на Dial Out.

Задаем:

• адрес подключения;
• имя пользователя;
• пароль;
• протокол авторизации.

Сохраним изменения и переключимся на вкладку Status.

Здесь можно увидеть статус подключения, какое действует шифрование и адреса в туннеле.

Настройка NetMap

После создания VPN интерфейса, можно приступить к настройке. Важно заметить, что вы можете настроить на любом протоколе VPN, будь то PPTP, SSTP или даже EoIP. Создадим фейковые маршруты. Роутер первого офиса, будет думать, что второго офиса это 192.168.102.0/24. А роутер второго офиса, будет думать, что сеть первого – 192.168.101.0/24.

Параметры маршрутизации Office-1.

Параметры маршрутизации Office-2.

Финт ушами с маршрутизацией только начало. Далее настраиваем NAT правила (IP-Firewall-NAT).

Создаем второе правило.

Переключимся на второй офис и сделаем обратные правила.

Аналогично второе правило.

То же самое, но в CLI

На Office-1:

/ip firewall nat

add action=netmap chain=dstnat dst-address=192.168.101.0/24 to-addresses=\

192.168.0.0/24

add action=netmap chain=srcnat out-interface=Office-2 src-address=\

192.168.0.0/24 to-addresses=192.168.101.0/24

На Office-2:

/ip firewall nat

add action=netmap chain=dstnat dst-address=192.168.101.0/24 to-addresses=\

192.168.0.0/24

add action=netmap chain=srcnat out-interface=Office-2 src-address=\

192.168.0.0/24 to-addresses=192.168.101.0/24

Проверим, отправив эхо-запросы с Office-1-PC.

Посмотрим, что происходит внутри туннеля.

На восприятие для первого раза сложновато. Логика, следующая:

Когда Office-1-PC отправляет пакет с src 192.168.0.10 и dst 192.168.102.10, принимая роутер на Office-1 подменяет src на 192.168.101.10 и отправляет в трубу. Когда роутер на Office-2 принимает пакет с dst 192.168.102.10/24, то подменяет на 192.168.0.10. Далее Office-2-PC отвечает на 192.168.101.10, пакет прилетает на роутер Office-2, подменяет src адрес 192.168.0.10 на 192.168.102.10, отправляет в трубу. Последний, приняв пакет с dst 192.168.101.10 подменяет на 192.168.0.10, и такая процедура создает бесконечность, благодаря Packet Flow Diagram v6. Весь секрет успеха кроется в том, что SRC проверяется в Prerouting, а DST в Postrouting.

Как вы видите, данная технология подменяет адрес сети, ориентируясь на значение маски, а все что идет после нее, оставляет неизменным. Теперь, вы понимаете, что такое и как работает NetMap и чем он отличается от DST-NAT, такой принцип не только на Микротик но и на других сетевых устройствах.

89 вопросов по настройке MikroTik

Вы хорошо разбираетесь в Микротиках? Или впервые недавно столкнулись с этим оборудованием и не знаете, с какой стороны к нему подступиться? В обоих случаях вы найдете для себя полезную информацию в курсе «Настройка оборудования MikroTik». 162 видеоурока, большая лабораторная работа и 89 вопросов, на каждый из которых вы будете знать ответ. Подробности и доступ к началу курса бесплатно тут.