VPN:EoIP

Материал из MikroTik WiKi rus
Перейти к: навигация, поиск

Схема сети

Схема сети VPN на базе "Ethernet over IP" на маршрутизаторах MikroTik


В головном офисе установлен маршрутизатор GW1. В филиале установлен маршрутизатор GW2. В обеих внутренних сетях используется одинаковая IP-адресация.

Головной офис
IP-адрес внешней сети головного офиса: 10.1.100.0/24
IP-адрес внешнего интерфейса маршрутизатора GW1: 10.1.100.1/24

IP-адрес внутренней сети головного офиса: 192.168.15.0/24
IP-адрес внутреннего интерфейса маршрутизатора GW2: 192.168.15.1/24

Филиал
IP-адрес внешней сети головного офиса: 10.1.200.1/24
IP-адрес внешнего интерфейса маршрутизатора GW1: 10.1.200.1/24

IP-адрес внутренней сети головного офиса: 192.168.15.0/24
IP-адрес внутреннего интерфейса маршрутизатора GW2: 192.168.15.2/24

Научиться работать с MikroTik можно с помощью видеокурса "Настройка оборудования MikroTik". Помимо всех тем из официальной программы MikroTik MTCNA курс содержит много дополнительного материала. Курс сочетает теоретическую часть и практику – настройку маршрутизатора по техническому заданию. Поддержку по курсу оказывает его автор Дмитрий Скоромнов, который является официальным тренером MikroTik (TR0680) и по совместительству автором этой Wiki.
Полезные материалы по теме MikroTik:
* Чек-лист по настройке MikroTik * Матрица продуктов MikroTik: модель, артикул, информация по процессору (архитектура, частота, количество ядер), уровень лицензии, объем ОЗУ и ПЗУ, наличие модулей Wi-Fi на разных частотах и коэффициенты усиления встроенных антенн и многое другое. Всего более 30-ти параметров для каждого из 151-го устройства в списке.

Настройка

Настройка первого маршрутизатора

Через графический интерфейс

Создать EoIP-туннель. Укажем параметр "keepalive", который определяет находится ли туннель в рабочем состоянии. Если параметр не включен, то даже, если второй маршрутизатор будет выключен интерфейс все равно будет показывать рабочее состояние, что не удобно для диагностики. Мы рекомендуем использоваться значение 10 попыток по 10 секунд. т. е., если в течении 100 секунд не будет никаких сигналов с противоположной стороны туннель перейдет в нерабочее состояние. При этом он автоматически включится, если противоположная сторона попытается установить соединение. Мы рекомендуем выбирать имя интерфейса, которое бы позволяло однозначно идентифицировать кто находится на противоположной стороне туннеля. Если филиалов 1-2, то достаточно и простых идентификаторов. А вот если их число начнет расти, то идентификаторы вроде filial1, filial2, filial3 и т. д. будут не самыми удобными. Параметр "Tunnel ID:" обязательно должен совпадать на обоих маршрутизаторах.

Настройка EoIP-интерфейса на 1-м маршрутизаторе MikroTik


Создать интерфейс типа bridge. На этом шаге надо создать виртуальный "мост", который соединит физические интерфейсы LAN и виртуальный интерфейс, который был создан на предыдущем шаге.

Настройка IP-адреса для EoIP-интерфейса на 1-м маршрутизаторе MikroTik


Добавить интерфейсы в bridge.

Добавить интерфейс типа "bridge" 1-м маршрутизаторе MikroTik


Добавить интерфейсы в "bridge" на 1-м маршрутизаторе MikroTik, 1


Добавить интерфейсы в "bridge" на 1-м маршрутизаторе MikroTik, 2


Если интерфейсы с предыдущих двух скриншотов добавлены корректно, то мы должны получить такую картинку:

Добавить интерфейсы в "bridge" на 1-м маршрутизаторе MikroTik, 2

Через консоль

/interface eoip
add name="filial1" keepalive=10s,10 remote-address=10.1.200.1 tunnel-id=0


/interface bridge
add name=bridge1
port add bridge=bridge1 interface=filial1
port add bridge=bridge1 interface=ether1-LAN1

Настройка второго маршрутизатора

Через графический интерфейс

Настройки второго маршрутизатора аналогичным настройкам первого маршрутизатора за тем исключением, что в качестве "Remote Address:" должен быть указан адрес головного офиса. И разумеется название интерфейса лучше изменить на "HQ".

Через консоль

/interface eoip
add name="HQ" keepalive=10s,10 remote-address=10.1.100.1 tunnel-id=0


/interface bridge
add name=bridge1
port add bridge=bridge1 interface=HQ
port add bridge=bridge1 interface=ether1-LAN1

Настройка маршрутизации

Настройка маршрутизации не требуется, т. к. в сети используется L2-канал (коммутация), а не L2-канал (маршрутизация).

Следует учесть

  1. На обоих маршрутизаторах должен совпадать параметр tunnel-id.

Проверка

Проверка состоит из двух частей:

  1. Надо убедиться, что между двумя маршрутизаторами MikroTik установлено VPN-соединение. Это описано ниже.
  2. Если VPN-соединение установлено успешно, то далее надо проверить есть ли связь между хостами в двух сетях. Для этого достаточно запустить ping с любого компьютера в сети на любой компьютер другой сети.

Через графический интерфейс

Если подключение установлено, то статус подключения должен отображаться с буквой "R". Что значит running, т. е. запущено.

Проверка подключения "Ethernet over IP" через графический интерфейс на маршрутизаторе MikroTik

Через консоль

Выполнить команду /interface eoip print - на обоих маршрутизаторах
Если соединение установлено успешно, то статус подключения, так же, как и через графический интерфейс, должен отображаться с буквой "R".

Проверка подключения "Ethernet over IP" через консоль на маршрутизаторе MikroTik

Типичные проблемы

  • Если VPN-соединение между двумя маршрутизаторами MikroTik не устанавливается, то надо проверить:
  1. Не мешает ли файервол. Для уверенности лучше временно отключить все правила файерволов на обоих маршрутизаторах. Стандартные настройки файерволов можно посмотреть здесь.
  2. Совпадают ли имя пользователя и пароль на обоих маршрутизаторах.
  3. На VPN-клиенте указан правильный адрес VPN-сервера к которому должно происходить подключение.
  • Если не проходит ping между двумя компьютерами в разных сетях, то надо проверить:
  1. Правильно ли сделаны настройки маршрутизации на обоих маршрутизаторах не зависимо от того из какой сети в какую будет идти пинг.
  2. На брэндмауэре компьютера, который будет пинговаться, сделаны необходимые разрешения для протокола ICMP. Для уверенности можно отключить встроенный брэндмауэр и выгрузить антивирус.
Научиться работать с MikroTik можно с помощью видеокурса "Настройка оборудования MikroTik". Помимо всех тем из официальной программы MikroTik MTCNA курс содержит много дополнительного материала. Курс сочетает теоретическую часть и практику – настройку маршрутизатора по техническому заданию. Поддержку по курсу оказывает его автор Дмитрий Скоромнов, который является официальным тренером MikroTik (TR0680) и по совместительству автором этой Wiki.
Полезные материалы по теме MikroTik:
* Чек-лист по настройке MikroTik * Матрица продуктов MikroTik: модель, артикул, информация по процессору (архитектура, частота, количество ядер), уровень лицензии, объем ОЗУ и ПЗУ, наличие модулей Wi-Fi на разных частотах и коэффициенты усиления встроенных антенн и многое другое. Всего более 30-ти параметров для каждого из 151-го устройства в списке.

Полезные статьи