Создание домашней сети на базе устройств MikroTik: Часть 5 — Создание EoIP туннеля

Продолжение предыдущих статей по организации единой локальной сети.
Содержание:
Создание домашней сети на базе устройств MikroTik: Часть 1
Создание домашней сети на базе устройств MikroTik: Часть 2 — Настройка hAP ac
Создание домашней сети на базе устройств MikroTik: Часть 3 — Настройка RB750gr3 hEX
Создание домашней сети на базе устройств MikroTik: Часть 4 — Создание OpenVPN туннеля
Создание домашней сети на базе устройств MikroTik: Часть 5 — Создание EoIP туннеля (Вы тут)
Создание домашней сети на базе устройств MikroTik: Часть 6 — Firewall защита доступа
Создание домашней сети на базе устройств MikroTik: Часть 7 — Firewall правильное перенаправление портов в сети с двумя шлюзами
Создание домашней сети на базе устройств MikroTik: Часть 8 — Установка и настройка MikroTik DUDE Network Monitor

В предыдущий раз, мы настроили шифрованный OpenVPN туннель между двумя роутерами hAP ac и hEX
Еще раз посмотрим на схему из первой части:

sheme-primer
Схема из первой части

После организации IP туннеля на базе OpenVPN, нам необходимо поверх него, создать еще один туннель используя EoIP
Для начала давайте немного взглянем, что такое EoIP в MikroTik RouterOS:
Ethernet over IP (EoIP) Tunneling — это протокол MikroTik RouterOS, который создает туннель Ethernet между двумя маршрутизаторами поверх IP-соединения. Туннель EoIP может работать через туннель IPIP, туннель PPTP или любое другое соединение, способное транспортировать IP.
Когда функция моста маршрутизатора включена, весь трафик Ethernet (все протоколы Ethernet) будет соединен так же, как если бы там был физический интерфейс Ethernet и кабель между двумя маршрутизаторами (с включенным мостом). Этот протокол позволяет использовать несколько сетевых схем.

Если Вы хотите изучить MikroTik, то это можно реализовать с помощью специального онлайн-курса "Настройка оборудования MikroTik". В курсе изучаются все темы из официальной программы MTCNA, а автором курса является официальный тренер MikroTik. Материал подходит и тем, кто уже давно работает с оборудованием MikroTik, и тем, кто даже не держал его в руках. В состав курса входят 162 видеоурока, 45 лабораторных работ и вопросы для самопроверки с конспектом. Кстати я получал сертификат MTCNA именно тут!

Сетевые настройки с интерфейсами EoIP:
Возможность подключения локальных сетей через Ethernet
Возможность подключения локальных сетей через зашифрованные туннели
Возможность подключения локальных сетей через беспроводные сети 802.11b «ad-hoc»

Протокол EoIP инкапсулирует Ethernet-фреймы в пакеты GRE (IP-протокол номер 47) (как и PPTP) и отправляет их на удаленную сторону туннеля EoIP.

Т.е. по сути между нашими удаленными объектами, после создания туннеля, будет «ходить» любой трафик, как в обычной проводной локальной сети.

Для создания EoIP туннеля ему необходим удаленный адрес интерфейса. Можно задать и локальный, но разницы особой не будет.
Как раз именно OpenVPN выступит каналом, мы ведь знаем IP адреса текущего и удаленного роутеров.
Схема:

eoip-tunnel-sheme
Необходимо указать интерфейсу только удаленный IP

1. Настроим EoIP на роутере hAP ac

interfaces
Переходим в меню интерфейсов
add-eoip-interface
Добавляем EoIP интерфейс
config-eoip
Вводим параметры интерфейса
Интерфейс создался, и для того, чтобы наша «общая» локальная сеть работала, необходимо наш интерфейс EoIP добавить в наш сетевой мост.
Открываем Bridge и добавляем в него, только что, созданный EoIP интерфейс.
bridge
Открываем меню сетевых мостов
add-eoip-to-bridge
Добавляем EoIP в сетевой мост
Консольно:
/interface eoip add name="eoip-tunnel1" remote-address=172.16.10.2 tunnel-id=1
/interface bridge port add interface=eoip-tunnel1 bridge=LAN-Bridge

Переходим ко второму роутеру

2. Настроим EoIP на роутере hEX
Для данного роутера весь процесс настройки EoIP будет аналогичен.
Единственным отличием будет удаленный IP адрес: тут он будет 172.16.10.1
ID туннеля должен быть одинаковым! Я выбрал номер 1, Вы можете задать свой, какой захотите.

eoip2-config
Настройка второго EoIP туннеля
Также, как и для предыдущего роутера, добавляем EoIP интерфейс в сетевой мост.
Консольно:
/interface eoip add name="eoip-tunnel1" remote-address=172.16.10.1 tunnel-id=1
/interface bridge port add interface=eoip-tunnel1 bridge=LAN-Bridge

При добавлении EoIP туннеля в сетевой мост, может возникнуть проблема, что некоторые сайты перестают работать.
Это связано с MTU сетевого моста. EoIP туннель становится Root(основным) портом для сетевого моста. Чтобы избавиться от данной проблемы достаточно привести MTU Bridge интерфейса к изначальному состоянию.
Команда:
[cc]/interface bridge set LAN-Bridge mtu=1500[/cc]

После добавления туннельных интерфейсов в сетевой мост Вы уже должны успешно пинговать локальные ПК(смартфоны, ноутбуки и др.).
Вроде бы все хорошо. На каждом объекте свой DHCP сервер, заданы свои пулы адресов.
Но как мы знаем при подключении нового клиента к сети он начинает широковещательную рассылку специальных пакетов DHCPDISCOVER.
Рассылка идет начиная с адреса 0.0.0.0 до адреса 255.255.255.255 т.е. по всем возможным.
В ответ сервер DHCP посылает пакет DHCPOFFER. Клиент в ответ на пакет DHCPOFFER посылает пакет DHCPREQUEST. В ответ на пакет DHCPREQUEST сервер DHCP посылает пакет DHCPACK, завершая цикл инициализации.
Соответственно для нас НЕжелательно, чтобы подобные пакеты с одного объекта убегали в другой и наоборот.
Нам нужно ограничить объект только тем пулом IP адресов, которые мы задали. Но нельзя запрещать клиентам общаться между собой.

И MikroTik позволяет нам это сделать!

3. Запрещаем прохождение DHCP Broadcast запросов через туннель EoIP
Давайте разбираться.
Смотрим на каких портах и по какому протоколу работает DHCP: Wiki DHCP
Видим: Передача данных производится при помощи протокола UDP. По умолчанию запросы от клиента делаются на 67 порт к серверу, сервер в свою очередь отвечает на порт 68 к клиенту, выдавая адрес IP и другую необходимую информацию, такую, как сетевую маску, шлюз по умолчанию и серверы DNS.

Чтобы запретить прохождение DHCP запросов по туннелю нам необходимо определить, где это сделать и как.
Логично предположить, что управление трафиком и кучей других параметров необходимо делать в IP Firewall, но это не совсем так. По началу, когда я задавал в нем правила они не работали.
Пришлось курить маны читать инструкции.
Оказалось, что у сетевого моста свой собственный Firewall, на уровень ниже. Т.е. необходимо открыть меню настроек сетевого моста. Добавляем правило блокировки:

bridge-filter
Межсетевой экран сетевого моста
bridge-filter-rule1
Задаем настройки для правила
bridge-filter-rule2
Блокируем прохождение пакетов
Консольно:
/interface bridge filter add chain=forward out-interface=eoip-tunnel1 mac-protocol=ip ip-protocol=udp dst-port=67-68 action=drop

Добавляем такое же правило на второй роутер.
Вот теперь, вроде бы, можно считать настройку единой локальной сети законченной…

А вот и нет =))

Далее у нас встает вопрос безопасности и доступа из вне к локальным устройствам.
Все верно, имея статический IP мы подвержены риску быть взломанными. Т.к. наш статический IP доступен в интернете он может подвергаться различного рода «атакам».
Поэтому нам нужно сделать так, чтобы только мы могли подключаться к нашим роутерам и другим сервисам в локальной сети.
Также у нас на очереди система мониторинга DUDE.

Дополнение:
Я провел небольшое тестирование скоростных характеристик своего туннеля.
Делал я их с помощью утилиты bandwidth-test в WinBox между самими роутерами. Т.е. роутер-роутер через сети провайдеров.
Тарифы такие:
hAP ac — 500 Mbps (Практические пока до 300 Мбит/сек)
hEX — 100 Mbps (Практические 95 Мбит/сек)
Пробовал я все доступные на RouterOS для OpenVPN (v6.39.3) методы аутентификации (md5, sha1) и шифрования (blowfish 128, aes 128, aes 192, aes 256) и вообще без шифрования и аутентификации (null)
Соответственно максимально возможная скорость ограничена hEX стороной т.к. у него всего 100 Мбит/сек.
Самую быструю скорость удалось получить конечно в режиме без шифрования и аутентификации вообще Send — 85 Mbps / Receive — 85 Mbps
Самую низкую с шифрованием AES256 Send — 25 Mbps / Receive — 25 Mbps
Оптимальным вариантом я бы выбрал режим Auth (sha1) и Cipher (aes 128) т.к. для домашней сети не нужно сильного шифрования Send — 31 Mbps / Receive — 31 Mbps
Какой режим выбирать, решать Вам!

Продолжение:
Создание домашней сети на базе устройств MikroTik: Часть 6 — Firewall защита доступа

P.S.
Я не претендую на идеальное построение подобной сети. Это один из многих способов.
Если Вы знаете, как построить подобную сеть лучшим образом или доработать текущую, можете не стесняться и писать свои варианты в комментариях
У меня успешно работает =)

Список всех статей в хронологическом порядке: История статей

Поддержка блога
Если Вам не безразлична судьба блога или Вы просто хотите отблагодарить Автора за его труд, смело переходите на страницу Поддержки, там описана вся информация, по тому, как это сделать проще простого =)
Хочешь получать уведомления о выходе новых статей?
Loading
Если Вы хотите изучить MikroTik, то это можно реализовать с помощью специального онлайн-курса "Настройка оборудования MikroTik". В курсе изучаются все темы из официальной программы MTCNA, а автором курса является официальный тренер MikroTik. Материал подходит и тем, кто уже давно работает с оборудованием MikroTik, и тем, кто даже не держал его в руках. В состав курса входят 162 видеоурока, 45 лабораторных работ и вопросы для самопроверки с конспектом. Кстати я получал сертификат MTCNA именно тут!
GregoryGost

Мир интересен, если вы достаточно любопытны!!!

Оцените автора
GREGORY GOST
Добавить комментарий

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.

  1. Жора

    Помогите решить лабораторку.

    суть — из КСПД получить управление на eltex, настроить DHCP сервер, к нему подключить два микрота, между ними EoIP туннель из произвольной адресации собрать, в нём будет бегать DHCP. К микротам подключить два ноута, получить ip от сервера, отпинговать друг друга

    Ответить
  2. Данила

    Здравствуйте, по вашим статьям настроил OVPN и EoIP соединение между сервером и домашним роутером. В статистике (на сервере и на роутере) подключение OVP и EoIP есть. Пинговал через OVPN адреса — все работает. Пинговал с сервера в домашнюю сеть (192.168.88.XXX) получал timeout. Подскажите, куда копать?

    Домашний роутер в интернет ходит через lte модем.

    Ответить
    1. GregoryGost автор

      Смотрите маршруты и Firewall. Используйте Torch для отладки.
      А так я бы посоветовал не использовать OVPN т.к. он не эффективен в MikroTik v6

  3. Виталий

    Здравствуйте, пару лет как настроил по вашим статьям ovpn + eoip. Сервером работает hAP ac. Два клиента RB951G-2HnD. Сервер (Ростелеком) и один клиент (ТТК) с белым IP, канал от 60 mbps. Второй клиент через мобильных операторов (30 mbps). LtAP mini LTE kit (подключен к WAN RB951G) и резервный USB модем.
    Всё устраивало, так как основная задача это передача метрик с openhab на центральный сервер. Но после установки на стороне клиентов серверов proxmox уперся в скорость каналов. Она у меня совсем уж неприличная — 6 mbps.
    Причем на всех участках и во все стороны.
    Месяца три периодически гуглю и пытаюсь как то ускорить сеть, но безрезультатно. Полностью отключал шифрование — вообще никакого эффекта. Видимо узкое место в другом месте.)) Игры с MTU тоже ни к чему не привели. Да и игры в слепую малоэффективны.
    Требуется помощь. В каком направлении копать, что смотреть. Скорость мерял ping speed в микротиках и оценивал при передаче файлов от 4 gb.
    Спасибо.

    Ответить
  4. Дмитрий

    Я соединил, таким способом 4 квартиры. Сначала, они соединяются через L2TP, потом сквозь L2TP идет соединение EOIP. в каждой квартире получается три EOIP соединения с остальными квартирами. возникает вот какая проблема: некоторые тунели выключаются с вот такой ошибкой: received loop protect packet originated from. и в итоге получается что некоторые квартиры доступны не напрямую, а через соединение с другой квартирой. как бы так настроить фильтрацию в bridge чтобы избежать такой ситуации, чтобы все-таки каждая квартира видел каждую

    Ответить
    1. Дмитрий

      сам спросил и сам и отвечаю. все Eoip интерфейсы засовываем в отдельный list и в filter запрещаем forward, где input и output указан этот list

  5. Петр

    Здравствуйте. Очень здорово что Вы делитесь такими важными знаниями. Я например не смогу сам настроить Микротик, но решил что закажу настройку по Вашей схеме в фирме, которая продает роутеры. Недорого относительно берут за настройку. Подскажите, мне нужно вот тоже самое что у Вас. И планирую купить два микротика. Скорость в тунеле не интересует. Как правильно заказать подобную настройку двух роутеров: Firewall, EoIP и WIFI? У меня с одной стороны белый IP , с другой модем USB.

    Ответить
    1. GregoryGost автор

      Здравствуйте!
      Вам необходимо составить небольшое ТЗ для настройки двух роутеров и описать, что должно работать в каждом из них и как они должны работать совместно.
      Основные настройки вроде интернета должны быть понятны по умолчанию, но лучше их также описать.

      Как пример:
      1. Описываете топологию/структуру сети, даете ссылки на статьи, которые должны быть взяты за основу и далее кратко расписываете, что хотите.
      2. Настройка канала интернет провайдера ( или сотового оператора для модема);
      Подразумевает под собой в том числе и Firewall (NAT Masquerade), DNS, DHCP-Client.
      3. Настройка Wi-Fi для работы в локальной сети;
      Тут настраивается профиль безопасности и сами интерфейсы.
      4. Настройка сетевого моста и интерфейсов локальной сети (Ethernet и Wi-Fi);
      Тут все локальное заносится в бридж. Указываете IP адресацию локальной сети. Настраивается блокировка DHCP запросов, если подсеть одна на двух роутерах.
      5. Настройка DHCP сервера для локальной сети;
      Тут естественно Pool, Network, DHCP-Server и привязка по MAC если требуется (указываете какие MAC каким IP должны соответствовать)
      6. Настройка VPN сервера (VPN клиента для устройства без статики)
      Тут выбор VPN, задание профилей, выбор адресации для VPN и т.д.
      7. Настройка EoIP на базе VPN интерфейсов.
      Соответственно добавление EoIP в бридж.
      8. Настройка Firewall.
      Тут уже ваши хотелки. Как у меня или по своему. Закрытый или открытый, DoS, DDoS фильтры и т.д.
      Проброс портов если требуется (какие порты на какие IP желательно указать заранее)
      9. Различные плюшки и фичи:
      9.1 Автоматическое обновление
      9.2 Отправка сообщений email при включении, обновлении и др. (sms для роутера с модемом)

  6. Максим Кушнаренко

    Здравствуйте, уважаемый Григорий!
    Вот уже полтора года я совершенствую свой навык в Микротике по Вашим статьям.
    Спасибо за Вашу работу!
    Всплыла у меня такая задумка — объединить две квартиры в одну сеть.
    В моей квартире в качестве головного роутера трудится RB4011, которому интернет приходит от МТС (pppoe-client).
    Во второй квартире стоит вполне себе неплохо себя зарекомендовавший Tenda AC10, к который живет от Би-лайна (l2tp-client). От Би-лайна еще питается IP-TV приставка. Для реализации задумки думаю поставить hEXs.
    Хочется объединить обе квартиры в одну сеть с одним адресным пространством.
    Тут понятно, что нужно сделать туннель (например, OpenVPN, как у Вас), и потом поверх него создать еще один туннель, используя EoIP.
    Задача — просмотр видео и фото с NAS, стоящего в квартире 1, на телевизоре в квартире №2. При этом скорость потока видео — 25 Мбит/с.
    Также нужно подключить папки общего доступа NAS как сетевые диски в ноутбуке квартиры 1.
    Еще один момент в том, что бы любой ноутбук автоматом подключал сетевые диски с NAS независимости от того, в какой квартире он находится.
    По-началу думал разбить адреса так, что бы в квартире 1 DHCP работал с пулом адресов 192.168.88.2-199 (адрес — 192.168.88.1/24), а в квартире 2 — 192.168.88.200-255 (адрес — 192.168.88.200/24).
    Тогда достаточно ли завести GRE и поставить EoIP с IPSec поверх него?
    Уважаемый Григорий! Подскажите, пожалуйста, как грамотнее организовать тоннели для такой задумки.
    Спасибо!

    Ответить
    1. Михаил

      Здравствуйте, уважаемые коллеги. При всём уважении к L2 на EoIP я бы не рекомендовал Вам просто сделать OVPN в режиме Ethernet. Тот же самый L2 и управляется проще. Не нужно блокировать 67 и 68 порты. Применил такие задумки в своей сети. Где всем поставил rb750gr3 hex. Ну а что бы быть на связи с семьёй на других портах объединил Asterisk через ipsec esp. Оказалось весьма надёжно и очень удобно.

    2. GregoryGost автор

      OVPN На 6 версии прошивки работает только на одном ядре и это проблема для нагруженных VPN.
      Для дома возможно не критично.
      С OVPN интерфейсами в режиме ethernet у меня плачевный опыт. А именно зависал Bridge если в нем был OVPN интерфейс. Не знаю с чем это было связано, но в логах было пусто.
      С тех пор я отказался от OVPN на Mikrotik. Возможно у вас другой опыт, но рекомендовать прям так вот я бы не стал.

      Блокирование 67 и 68 портов необходимо т.к. в моей конфигурации два роутера со своими DHCP серверами, а по EoIP бегает Broadcast и все вот это вот.
      Ради этого все это и было сделано. Чтобы всякие DLNA и прочее моги видеть друг друга без проблем.

      Потому задам вопрос:
      Будет ли OVPN в режиме Ethernet работать аналогично конструкции L2TP/IPsec + EoIP(into Bridge)? В единой подсети с 24 маской.
      В чем именно проще управляется относительно L2TP/IPsec + EoIP(into Bridge)?

  7. JKQ

    Все получилось настроить за исключением 2 вещей:
    1. Туннель не поднялся пока не разрешил GRE на eoip интерфейсе
    /ip firewall filter add action=accept chain=input comment=»EoIP gre accept» protocol=gre src-address=170.160.150.140
    2. DHCP все равно проходит не смотря на добавленное правило
    /interface bridge filter add chain=forward out-interface=eoip-tunnel1 mac-protocol=ip ip-protocol=udp dst-port=67-68 action=drop

    Ответить
    1. GregoryGost автор

      1. Все зависит от настройки Firewall, если у вас GRE поверх VPN, то VPN должен быть разрешен в Firewall, как на input, так и на forward. Не придется открывать отдельно протокол gre.
      2. На обоих точках стоит это правило? Счетчик заблокированных пакетов увеличивается?
      Кстати правила можно два. Для forward out-interface-list=EoIP и для input in-interface-list=EoIP

    2. JKQ

      Счетчик увеличивается. Но DHCP alert все равно срабатывает и хосты получают адреса от другой стороны. Так и сделал добавил по два правила с обоих сторон
      /interface bridge filter
      add action=drop chain=forward dst-port=67-68 ip-protocol=udp mac-protocol=ip out-interface=eoip-k
      add action=drop chain=forward dst-port=67-68 ip-protocol=udp mac-protocol=ip in-interface=eoip-k

      Фрагмент лога
      jul/22 14:19:41 ipsec,info initiate new phase 1 (Identity Protection): 88.77.66.55[500]170.160.150.140[500]
      jul/22 14:19:42 ipsec,info ISAKMP-SA established 88.77.66.55[500]-170.160.150.140[500] spi:324d234dwdfv:342f2f453gf
      jul/22 14:19:46 ipsec,info respond new phase 1 (Identity Protection): 88.77.66.55[500]170.160.150.140[500]
      jul/22 14:19:47 ipsec,info ISAKMP-SA established 88.77.66.55[500]-170.160.150.140[500] spi:wdfb345345g:245grgdfbr5b
      jul/22 14:19:49 interface,info eoip-k link up
      jul/22 14:20:05 dhcp,critical,error dhcp alert on bridge1: discovered unknown dhcp server, mac C4:AD:30:10:DF:E5, ip 192.168.1.1

  8. Алексей

    Отличная статья, помогла решить проблему с MTU, но есть один вопрос, не могу подключиться через winbox по MAC адресу к микротику, находящемуся с другой стороны EoIP тоннеля , хотя в списке Neighbors он виден, если подключаться к нему по MAC напрямую, внутри сегмента, то всё ok

    Ответить
    1. GregoryGost автор

      А какие симптомы?

  9. Сергей

    Добрый день.
    А не проще ли было создать 2 адресных пространства для каждой участка сети и прописать между ними маршруты. Таким образом нам не надо городить фильтры для бродкаста.

    Ответить
    1. GregoryGost автор

      Сергей, приветствую.
      Первое — основной задачей в цикле статей является обеспечение возможности работы DLNA в локальных сетях с минимальными сложностями. Соответственно для дома 230-240 адресов вполне достаточно. Нормальную работу Netbios общения. А как известно Netbios сам по себе работает только в /24 подсети.
      Ну и второе — для меня было интересно реализовать такого типа разделение, чтобы в двух разных удаленных точках разные провайдеры, а подсеть локальная одна.
      Поэтому ответ на вопрос: не проще

      И еще не вижу «горождения» фильтров для бродкаста.

  10. Сергей

    В фильтр фаервола для локальных соединений пришлось добавить правило, так как по какой то причине некоторые юзеры не могли соединится с некоторыми локальными ПК по RDP.

    Картинка:
    изображение
    https://s.mail.ru/GqoH/o2AWp2BdY

    Ответить
    1. GregoryGost автор

      Сергей, включите отображение в WinBox колонок в Firewall для отображения задействованных параметров у правил
      У меня такое подозрение, что вы заблокировали нормальный трафик проходящий через роутер (chain — forward) именно из-за этого у вас появилась такая проблема

  11. Владимир

    Добрый день!
    Настраиваю микротики по Вашим статьям.
    Собственно все настройки применены ovpn поднят поднят EoIP, но сети не видят друг друга (пинги не идут по 192.168.1.0/24, 1.1 — домашний, 1.2 дачный, 11-50 домашняя сеть, 51-90 дачная)
    На самих микротиках статистика показывает подключения по ovpn и EoIP

    Ответить
    1. GregoryGost автор

      Владимир, приветствую!
      Уточните пожалуйста:
      1. Добавлены ли eoip туннели в бридж интерфейс?
      2. Пингуются ли OpenVPN адреса?
      3. Какие маршруты (route) на роутерах?
      4. Проверяли работу с отключенным на время Firewall Filter?
      Пока этих данных думаю хватит

  12. костя

    Прекрасная статься. хочу уточнить.
    Если имеется статика — то лучше использовать gre или ipip туннели. Так падение скорости ниже. а вместо pptp лучше l2tp с ip-sec падение составит порядка 15% от pptp но защита лучше.
    а В добавок можно и без шифрования. нужно сделать только icmp аутентификацию — тогда практически нереально залезть в чужую даже не шифрованную сеть.
    sstp — начиная с версии 6.36 — тормозной. более стабильный 6.39. На работу туннеля с windows и не рассчитывайте — эта фича начала поддерживаться с 6.40+ версий. проблема с сертификацией. расчетная ширина канала 30% от имеющегося — из плюсов стабильность при слабой скорости. ovpn в этом плане очень нестабилен падает с периодичностью в 70%
    вся проблема в реализации приоритетов — sstp на 1 уровне, а ovpn на 5 уровне трафика клиентов

    Ответить
  13. Николай

    День добрый, статья отличная — всё подробно расписано, сделал как написано и ничего не работает 🙂

    Схема такая:
    1-й роутер (локалка 192.168.0.0/24, pptp 192.168.5.1, внешний IP белый)
    2-й роутер (локалка 192.168.88.0/24, pptp 192.168.5.2, внешний IP серый)

    На 1-м роутере поднят PPTP сервер, 2-й роутер к нему подключается в роли клиента. На основе PPTP пытаюсь поднять EoIP, и дальше делаю всё по Вашей инструкции: на 1-м роутере в EoIP указываю удаленный адрес PPTP 2-го роутера, а на 2-м роутере PPTP 1-го. После закидываю EoIP на каждом роутере в локальный бридж… и ничего.
    Пинг не идёт ни в одну из сторон, соответственно дальнейшие настройки с DHCP уже не производил, раз здесь уже застопорился.

    И у меня возникает вопрос, можно ли поднять EoIP если разные локальные подсети на каждом из роутере ? Пробовал прописывать маршруты в Routes для подсети на каждом из роутере для PPTP, тогда пинг идёт. Но через EoIP пакеты всё равно не идут. Версия прошивки на обоих роутерах 6.44

    Как то так, можете что-нибудь подсказать по данной ситуации, буду рад любой помощи. Заранее спасибо.

    Ответить
    1. GregoryGost автор

      Здравствуйте,
      Спасибо за отзыв.

      Сразу сделаю акцент, цикл статей основан как раз на понимании того, что подсеть одна в разных участках.
      EoIP в этом случае требуется для прохождения broadcast запросов и любых других на Layer 3

      Вы используете разные подсети и для доступа к ним вам достаточно иметь какой-либо туннель. Вы организовали pptp и его будет достаточно. Просто прописываете маршруты и пользуетесь.

      Добавив EoIP поверх pptp вы ничего не получаете, потому что роутер не знает по каким адресам искать другую подсеть.
      EoIP не имеет своих адресов, соответственно маршруты он сам не создаёт. И добавление EoIP в бридж тут не даст никакого эффекта.

      Если нужно что-то большее, то это уже вопрос перехода на другую маску подсети и т.д.

      Надеюсь прояснил ситуацию.

    2. Николай

      Gregory, спасибо за оперативный ответ. Да, ситуацию в целом Вы пояснили, и в тоже время я зашел в тупик 🙂

      Просто таким способом хотел передавать на 2-й роутер Multicast трафик, в моём случае IPTV. Я читал на разных форумах, что мол мультикаст не будет работать через PPTP (зашифрованный трафик), только EoIP (незашифрованный). Ну и решил использовать EoIP поверх PPTP. Вот теперь я пока что не знаю как дальше быть)

      В любом случае спасибо, статьи у вас действительно полезные по одной из них Dude сервер поднимал себе, там проблем абсолютно никаких.

    3. GregoryGost автор

      Николай,
      Вопрос Multicast трафика достаточно глубокий. С Broadcast запросами они стоят в одном ряду по принципам рассылки сообщений запрос-ответ.
      Я рекомендую изучить пример на Wiki Mikrotik https://wiki.mikrotik.com/wiki/Manual:Multicast_detailed_example
      Там рассказывается про маршрутизацию такого типа трафика.

  14. Геннадий

    Здравствуйте. Настроил все как в статье. В получившейся (по EoIP) единой локальной сети есть машина на Win 2008R2 («левая» сторона) к которой требуется подключение по RDP (на Win 2008R2 служба RDP настроена) от клиента на Win7 («правая» сторона) в этой же единой локальной сети. У Win 2008R2 прописан статический локальный IP, у клиента на Win7 IP динамический. И Win 2008R2 и Win7 пингуют друг друга, но RDP соединение не устанавливается. Правильно ли я понимаю, что поскольку имею «единую» локальную сеть, что проброс RDP порта 3389 не нужен? Тогда что необходимо сделать в настройках на роутерах? ЗЫ. И у «правой» стороны и у «левой» стороны IP от провайдера статический. Спасибо.

    Ответить
    1. GregoryGost автор

      Здравствуйте,
      Постараюсь проверить работу Win7 и WinServer по RDP, но проблем быть не должно т.к. даже широковещательный трафик ходит по такого типа туннелям.
      Пока же могу рекомендовать поиграть правилами Firewall т.к. соединения могут блокироваться при некорректной настройке. (Как у Вас настроено мне неизвестно)
      Ну и сам RDP на сервере дополнительно погонять.
      Используйте Torch утилиту на интерфейсах

      P.S. Для двух статических IP вполне подошел бы EoIP с шифрованием IPsec 🙂 без всяких OpenVPN, PPTP, L2TP и т.д. )

  15. ORGANIC

    Здравствуйте, хотел задать вопрос о скорости между клиентами и сервером
    Пробовал настраивать IPsec, L2TP, оба протокола выжимают весьма приличную скорость, но сильно доверяю я им, OpenVPN по мне самая лучшая по защищенности, но развивал на ней стабильную скорость только 10 МБит.
    Какую максимальную скорость возможно добиться, ну скажем в формате простомтра фильмов, Full HD конетнет возможно просматривать?
    Сделаю уточнения, фильм весом 9 гигабайт и длинной скажем 1 час 40 минут будет возможно просматривать?

    Ответить
    1. GregoryGost автор

      Здравствуйте,
      Тут зависит от того, какое шифрование Вы хотите применять. В этой статье я написал, какие скорости я получил при использовании EoIP поверх OpenVPN с разным шифрованием и без него.
      Вы вполне можете ориентироваться на эти данные.

      Самым защищенным на текущий момент методом создания шифрованных туннелей является прямой IPsec (на двух сторонах нужны статические IP). Он обычно применяется в банковском и других секторах с оборудованием Cisco, Juniper и Mikrotik
      Т.е. используются устройства которые на аппаратном уровне могут обеспечить шифрование.

      Для дома это конечно избыточно ( если вы не техногик 😉 )
      У меня пока из-за ограничения по времени нет возможности провести полноценные тесты с IPsec и его связке с другими типами туннелирования, замерить скорость и т.д.
      Хотя уже куплены hEX и hEX S 🙂

      10 Мбит на OpenVPN маловато для фильмов, от 10 Гб и выше в FullHD лучше иметь канал не менее 30 мбит.
      Учтите, что если Вы смотрите локально, то вполне достаточно от 5 до 10 Мбит. (многое зависит от софта который кодирует поток). При передаче этих данных через туннель или туннели, как в моем случае их сразу два и они оба TCP, накладываются дополнительные расходы на инкапсуляцию и другие страшные слова. Отсюда скорость канала должна быть выше чем по локальной сети.
      Также не стоит сбрасывать со счетов задержки, многие на них не обращают внимание полагаясь исключительно на скорость канала, а это в корне не правильно. Если один пакет доходит до конечной точки за 2000 мс это не есть хорошо, просмотреть фильм с такими задержками будет нереально.

      Если рассматривать ваш вариант 9Гб, FullHD, 1:40, то тут нужен канал не менее 25-30 Мбит.
      Тут Вам уже могут помочь эксперименты. Различные типы туннелей, замена оборудования на более мощное (если не хватает CPU), увеличение скорости на тарифных планах во всех нужных точках.
      Либо использовать локальные сервисы, которые могут уменьшить битрейт фильма и пустить его в имеющийся у Вас канал связи. (Например Plex)
      Есть фильмы с переменным битрейтом, вот они могут вам нагружать канал, как 8 мбит, так и все 80 мбит при отсутствии транскодирования и других плюшек.

      Если займетесь такими тестами, я был бы рад изучить полученные результаты и возможно поделиться ими с сообществом.

  16. MadRonin

    Приветствую) Очень благодарен за подробно расписаную тему, перечитал цикл статей полностью хотя гуглил немного другое. В принципе пересечения конечно есть, потому надеюсь на пинок в сторону нужной информации…
    Возникла необходимость подружить уже существующую инфраструктуру удалённых офисов где роутерами служат Cisco RV042 с новеньким RB3011 UiAS. Всё логично и понятно, вот только туннель не подымается. Что характерно, с Zixel Keenetic III домашним и микротик, и циски дружат. Между собой — отказываются. Туннель циски умеют только IPsec в виде Gateway To Gateway/Client To Gateway ну или PPTP сервер. В какой стороне искать камень преткновения уже не знаю.
    Буду благодарен за совет куда копать…

    Ответить
  17. Юрий

    Познавательно, спасибо большое.
    Цикл статей особо ценнен, т.к. в них указывается не только ЧТО надо делать, но и ПОЧЕМУ.
    А за дублирование команд через cli я Вам отдельно признателен, также как и за периодические апдейты уже опубликованных статей (помнится, «пропавшая» опция «master port» меня немного подвесила).
    Скажите, а нет ли в планах подобного цикла, но о Remote Access (он же Road Warrior)?

    С уважением

    Ответить
    1. GregoryGost автор

      Здравствуйте,

      Благодарю Вас за такой положительный отзыв. Стараюсь вынести весь свой опыт и изыскания )

      Пока в планах не было Road Warrior IPsec. Тут нужно смотреть для каких целей. Для домашнего использования это конечно избыточно, а вот для офисных нужд вполне.
      На самом деле мне очень нравится разбираться во всех этих нюансах и решать интересные сетевые задачи. Но из-за работы в несколько другой сфере у меня не всегда есть возможность детально изучить все возможности RouterOS
      В любом случае именно из-за таких комментариев у меня складывается определенный RoadMap 🙂

      Планирую цикл статей по домашнему серверу, как только его соберу 😉

  18. Владимир

    ****** Цитата
    Тоже возникает проблема с EoIP. После добавления eoip-tunnel1 в bridge1:
    /interface bridge port add interface=eoip-tunnel1 bridge=bridge1
    некоторые сайты перестают открываться. Из замеченных: vk.com, *.yandex.ru и некоторые другие.
    Если удалить или отключить интерфейс eoip-tunnel1 в bridge1, то сайты открываются.
    *******
    В моем случае это был ок.ру…

    Дальше ваш ответ про MTU = 1500, решил проблему. Много времени потратил на поиск решения, благодарю…

    Ответить
  19. Сергей

    Gregory большое спасибо за статью. У меня была проблема не проходил пинг после поднятия EoIP туннеля. Помогло добавление разрешающего правила в Firewall протокол «47 (gre)».

    Ответить
    1. GregoryGost автор

      Здравствуйте,
      Спасибо за Ваш отзыв )

      По вопросу пинга через EoIP, тут вот в чем дело, все зависит от того, на базе чего Вы его поднимаете и конечно, как настроен Firewall.
      Например в данном цикле статей у меня нет такого правила и все работает. Это связано с тем, на базе каких IP адресов вы строите EoIP туннель, у меня на базе OpenVPN.
      Соответственно GRE проходит через него и достаточно разрешающего правила на интерфейсы VPN добавить.
      /ip firewall filter
      add action=accept chain=input in-interface-list=VPN

      Соответственно нужно создать такой интерфейс лист и добавить к нему binding интерфейс туннеля OpenVPN или же указать что все динамические интерфейсы будут относится к этому Списку.
      Подробнее тут: MikroTik RouterOS – Списки интерфейсов “Interface List”

  20. Антон

    А как же адресация, OSPF и ipsec? На много ж проще организовать адресацию с помощью данных утилит

    Ответить
    1. GregoryGost автор

      Здравствуйте,
      Для тех кто уже выучил все особенности данных протоколов проблем быть не должно.
      Но я считаю их избыточными для обычного домашнего использования.
      Для старта этого вполне достаточно. У нас пока нет 4х и более роутеров. Каких-либо Дата Центров и т.д. Пока всего два устройства связанных между собой.
      Как только подобная сеть разрастается до корпоративных размеров или средне-офисных. В этом случае да, уже имеет смысл использовать OSPF.

      Кстати на каждом роутере у меня всего по 4 маршрута:
      1. Дефолтный маршрут
      2. Маршрут в сеть провайдера
      3. Маршрут VPN
      4. Маршрут Локальной сети

      Какой бы Вы предложили вариант реализации для общей локальной сети с двумя и более шлюзами и только с одним статическим IP ?

  21. Игорь

    Отличная статья! Еще один вариант построения подобной сети, но без использования EoIP. В связке двух RB750 по приведенной схеме, кроме OpenVPN туннеля я создал Bridge между OpenVPN и другими интерфейсами роутера.
    Сеть работает очень стабильно, гоняю видеопоток от нескольких IP камер и видеопоток Триколор ТВ между дачей и домом.

    Ответить
    1. GregoryGost автор

      Здравствуйте Игорь,
      Благодарю за отзыв и еще один возможный вариант построения моста =)
      Я так полагаю это на интерфейсе TAP(в микротике ethernet) OpenVPN? Просто, когда я пробовал подобный метод, сетевой мост вел себя не очень стабильно.

    2. Игорь

      Здравствуйте, Gregory.
      Вы совершенно правы, реализовал соединение на TAP, версия ПО на тот момент была 6.37.3.
      Огромное Вам спасибо за цикл интересных статей, посвященных настройке качественного бюджетного маршрутизатора.

  22. Igor

    Тема действительно актуальна. Спасибо за ответ. Камнем преткновения является для всех компьютеров «правой» стороны — это тот «единый» адрес шлюза от домена. Я статикой прописывал сетевые реквизиты с другим IP (МТ2) и «всё» работает. Туннель EoIP в простом понимании длинный кабель «витая пара» с ограничением по скорости со стороны провайдера. И в этой «трубе» гуляет разного рода трафик, что иногда не очень хорошо. Изменять схему «не очень хочется» из-за домена. Варианты с разделением пробовал разные. Все они работают. Как вариант (я в нем не очень силен) — это маркировка и Route Rules. Всё равно буду пробовать.

    Ответить
    1. GregoryGost автор

      Самое главное известна проблема.
      Если планируете решать проблему с помощью маршрутов, то посмотрите в сторону базовых политик, там даже маркировка особо не нужна.
      Также можно использовать и Mangle правила маркировки, но с ними больше мороки.

  23. Igor

    Если по тема актуальна, рискну задать свой вопрос. Но изначально скажу, что статьи правда очень содержательны. Теперь моя тема. Схема сети у меня попроще. Вносить изменения не желательно. Есть два офиса(тот, что слева[по Вашей схеме] провайдер ISP1, статика, «белый» IP, то ,что справа провайдер ISP2, PPPoE, белый IP). Поднят туннель EoIP, он обеспечивает единую подсеть 192.168.59.0/24. В офисе «слева» главенствует домен и раздает всем адреса в упомянутой подсети. Шлюзом для всех компьютеров является адрес внутреннего порта МТ1(mikrotik), который работает через ISP1. Компьютеры «правого» офиса, также получают соответствующие сетевые реквизиты от «DHCP» домена через туннель. У всех есть интернет, все друг друга видят, НО! Компьютеры «правого» офиса получают доступ в интернет через туннель. На обоих «МТ» из настроек firewall, только прописан NAT (без заморочек). Возможно ли предоставить доступ в интернет компьютерам «правого» офиса, прямо через провайдера ISP2, сохранив доступ в подсети через туннель EoIP??? Трассировка до 8.8.8.8 с компьютера «правого» офиса идет через туннель, шлюз МТ1 и далее провайдер ISP1. Трассировка до 8.8.8.8 с МТ2 идет через провайдера ISP2.

    Ответить
    1. GregoryGost автор

      Здравствуйте,
      Благодарю Вас за лестный отзыв! Тема очень актуальна, если смотреть на посещаемость данной статьи =)

      По Вашей теме:
      Firewall тут не причем.
      Посмотрите, какие параметры отдает DHCP сервер, а именно, какой шлюз они получают от него.
      Если ПК клиенты Windows, то смотрите команду ipconfig /all
      Главная проблема подобной реализации, именно тот момент, через какой шлюз выходят в интернет клиенты DHCP сервера.
      Т.к. у Вас всем рулит домен и DHCP сервер скорее всего один, то это плохо.
      Если Вы посмотрите подробнее, то я одну подсеть разделил на две части и на каждой из сторон работает свой DHCP сервер, который отдает разные шлюзы именно по причине выхода в интернет.
      Такая реализация позволяет работать правой стороне, даже если отвалится левая и упадет туннель. И наоборот.
      У Вас же, скорее всего шлюз отдается один единственный, всем клиентам, как на левой стороне, так и на правой.
      Отсюда клиенты правой стороны(МТ2), вместо выхода в интернет через свой ISP2 пытаются выйти в интернет, через IP шлюз первого микротика МТ1 и далее ISP1, что в корне не правильно.

      Вариантов решения может быть несколько, все зависит от того, фиксируете(DHCP Leases) ли Вы выдачу IP адресов на DHCP сервере или нет.
      1. Если фиксируете, то спокойно делите Pool IP адресов на левую и правую сторону и делайте два DHCP сервера на МТ1
      Также, разделить Pool IP адресов можно по аналогии с моей реализацией. На МТ1 свой Pool и свой DHCP сервер, а на МТ2 свой Pool и также свой DHCP сервер. Главное не забудьте заблокировать DHCP запросы через туннель.
      2. Если не фиксируете MAC и IP, то тут помогут только свои DHCP сервера на каждом маршрутизаторе.

      Надеюсь немного прояснил ситуацию =)

  24. Иван

    Отличная статья!
    но после поднятия EoIP-туннеля и добавления его в сетевой мост пропадает интернет

    Ответить
    1. GregoryGost автор

      Здравствуйте Иван,

      Скорее всего у Вас какие-то настройки отличаются от тех, что у меня описаны. Если пропадает интернет, смотрите маршруты IP->Routes
      И обязательно смотрите версию прошивки. Данные настройки применимы для версии 6.39.3(Bugfix)

    2. Uncle Foxx

      Тоже возникает проблема с EoIP. После добавления eoip-tunnel1 в bridge1:
      /interface bridge port add interface=eoip-tunnel1 bridge=bridge1
      некоторые сайты перестают открываться. Из замеченных: vk.com, *.yandex.ru и некоторые другие.
      Если удалить или отключить интерфейс eoip-tunnel1 в bridge1, то сайты открываются.
      Ещё заметил такое — до добавления eoip-tunnel1 в bridge1 имеем:
      > interface bridge settings print

      bridge-fast-path-active: yes

      После добавления eoip-tunnel1 в bridge1 имеем:
      > interface bridge settings print

      bridge-fast-path-active: no

      Не знаю, должно ли быть так, но как-то смущает.

    3. GregoryGost автор

      Здравствуйте,
      Все остальное настроено также или что-то меняли? Какая версия прошивки?

      У меня 6.40.6 и в LAN-Bridge такой вывод:

      /interface bridge settings print
      use-ip-firewall: no
      use-ip-firewall-for-vlan: no
      use-ip-firewall-for-pppoe: no
      allow-fast-path: yes
      bridge-fast-path-active: no
      bridge-fast-path-packets: 0
      bridge-fast-path-bytes: 0
      bridge-fast-forward-packets: 0
      bridge-fast-forward-bytes: 0

      При этом EoIP находится в сетевом мосту.

      Я замечал проблемы с некоторыми сайтами только когда не корректно выставлялся MTU.
      После установки на AUTO и коррекции в остальных интерфейсах, все заработало, как нужно. Проверьте на всякий случай!

      Как вариант приведу автоматически выставленные MTU у меня на hap AC:
      LAN-Bridge, LAN1-Master, LAN2-Slave, LAN3-Slave, LAN4-Slave, LAN5-wifi24ghz, LAN6-wifi5ghz, WAN, ovpn-tun1 = 1500 MTU
      eoip-tun1 = 1458 MTU

    4. GregoryGost автор

      Посмотрите настройки туннеля:
      /interface eoip
      add allow-fast-path=yes arp=enabled arp-timeout=auto clamp-tcp-mss=yes comment=»EoIP Tunnels» disabled=no dont-fragment=no dscp=inherit !ipsec-secret keepalive=10s,10 l2mtu=65535 local-address=0.0.0.0 loop-protect=default loop-protect-disable-time=5m loop-protect-send-interval=5s mtu=auto name=eoip-tun1 remote-address=172.16.10.2 tunnel-id=1

      Попробуйте добавить такое правило в Firewall
      /ip firewall filter
      add action=fasttrack-connection chain=forward connection-state=established,related

      Но учтите, что тогда правила в Simple Queues не будут работать.

    5. Uncle Foxx

      Всё остальное почти так же. Адреса немного другие.
      Версия 6.41.3.

      > interface bridge settings print такой же.
      Разница только в bridge-fast-path-active: yes/no в зависимости от состояния выкл/вкл eoip-tunnel1 в bridge1.

      Настройки eoip-tunnel1:
      /interface eoip add !keepalive local-address=192.168.2.1 mac-address=XX:XX:XX:XX:XX:XX name=eoip-tunnel1 remote-address=192.168.2.2 tunnel-id=1

      Правило
      /ip firewall filter add action=fasttrack-connection chain=forward connection-state=established,related
      есть.
      Simple Queues не использую.

      MTU нигде не трогал, всё по умолчанию.
      Но заметил следующее. Если в bridge1 выключен eoip-tunnel1, то:
      > interface bridge print
      … actual-mtu=1500 …
      А если в bridge1 включен eoip-tunnel1, то:
      > interface bridge print
      … actual-mtu=1408 …, такой же как в eoip-tunnel1.
      Может, в этом причина? С другой стороны, предполагаю, просто MTU в bridge1 выравнивается с MTU в eoip-tunnel1.

    6. GregoryGost автор

      Я принципиально не использую прошивки Current и Release candidate, поэтому не могу сказать что-то конкретное на данный момент.
      MTU очень важный параметр (максимальный размер полезного блока данных одного пакета который может быть передан протоколом без фрагментации). Установите его вручную на 1500 для Бриджа и посмотрите, как будет себя вести сетевое соединение. Иначе у Вас идет фрагментация пакетов.

      Еще есть некоторое замечание:
      Начиная с версии 6.41 поменялся метод работы бриджа и теперь это называется Bridge Hardware Offloading
      Т.е. вся пересылка Layer 2 ложится на Switch Chip. Это позволяет снять некоторую нагрузку на процессор. Но управлять Layer 2 трафиком становится невозможно.
      Так что нужно разобраться — Как влияет добавление eoip туннеля в бридж, при включенном Hardware Offloading…

      Как только появится прошивка 6.41.Х или старше в ветке Bugfix буду описывать настройку согласно новой схеме. Т.к. понятие «Master Port» уже не применимо, необходимо каждый интерфейс добавлять в Bridge Ports индивидуально.
      https://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features#Bridge_Hardware_Offloading
      У нас на hAP ac используется Switch Chip модели QCA8337 (ether1-ether5)
      Он поддерживает следующие фишки RouterOS:
      + Features in Switch menu
      + Bridge STP/RSTP
      И не поддерживает:
      — Bridge MSTP
      — Bridge IGMP Snooping
      — Bridge VLAN Filtering
      — Bonding

      В общем почитайте статейку, там много полезной информации. Если интересуетесь конечно.
      По умолчанию все вновь созданные порты бриджа имеют параметр hw=yes, и он позволяет включить HW-разгрузку, когда это возможно.
      Если такая функциональность не требуется, ее можно отключить с помощью hw=no на нужном порту Бриджа, чтобы иметь полностью управляемое программное обеспечение.

    7. GregoryGost автор

      Что касается прошивки 6.40.6, то рекомендую посмотреть монитор бриджа:

      /interface bridge monitor LAN-Bridge once
      ;;;
      state: enabled
      current-mac-address: 6C:3B:6B:25:00:98
      root-bridge: no
      root-bridge-id: 0x8000.64:D1:54:DB:89:3E
      root-path-cost: 20
      root-port: eoip-tun1
      port-count: 8
      designated-port-count: 3

      Видим в root-port EoIP туннель. Это означает, что MTU применяется от туннеля. Если не задано вручную.

    8. Uncle Foxx

      После обновления от 20.03.2018 статьи «Часть 2 — Настройка hAP ac», установив MTU=1500 в бридже, всё заработало.
      Спасибо.

    9. GregoryGost автор

      Здравствуйте,
      Рад, что все работает =))

    10. Uncle Foxx

      Немного оффтопика.
      Gregory, а почему вы не продублируете свой цикл статей на forummikrotik.ru? Новичкам (и не только) было бы интересно и полезно. 🙂

    11. GregoryGost автор

      Времени и желания не так много, дублировать на другие ресурсы =)
      По моему сугубому мнению, форум это больше болталка и обсуждалка. Вы без сомнения можете создать там пару тем вроде «Вот статья, давайте разберем все плюсы и минусы»

      Не маловажный пункт это удобство оформления самих тем. Форум не дает такого простора.
      Тут же, я могу делать все что мне захочется, применять какие угодно визуальные средства.

      Есть еще и некоторый маржинальный момент: это привлечение аудитории именно на сам блог.
      Если расписать весь этот текст там, на форуме или где-то еще, посещаемость блога будет падать.
      Если оставить где-то просто ссылки, чтобы люди именно тут черпали информацию, то будет расти.

      Посещаемость это второй момент. Я же, больше хочу поделиться своими знаниями с другими, но как я уже сказал, делать это где-то в других пространствах мне не очень хочется.

      Лютейшее ИМХО (:
      А за отзывы спасибо! Обратная связь с читателями это очень Важно, можно узнать что-то новое и дополнить статью, чтобы другие могли всем этим пользоваться!!!

  25. Fenomen51

    Dude не видит ни одного устройства. Правильно понимаю, что дело в прямых руках и спустя дня три получится централизованно обновлять прошивки на всех устройствах? Не обязательно, чтобы на каждом из них был сервер установлен, достаточно поддержки SMNP-протокола всеми устройствами?

    Ответить
    1. GregoryGost автор

      А что означает DUDE не видит устройства?
      Для того, чтобы он их видел, система или роутер, где он установлен должна спокойно пинговать нужные IP адреса.
      Далее Вы уже в клиенте DUDE, либо сканируете всю подсеть или несколько подсетей (смотря какая у Вас архитектура сети), либо добавляете на карту каждый девайс по отдельности.

      DUDE умеет мониторить параметры устройств по SNMP либо подключаться к другим микротикам и снимать с них информацию без SNMP.

      Кстати обновлять насколько я знаю можно только другие Микротики и не по SNMP! Private community для изменения параметров по SNMP я еще не настраивал, пока только чтение.

  26. Sergey

    Статья хорошая, как понимаю опенвпн для шифрования был ещё выбран в связи с тем что не одном конце отсутствует статический ИП?
    У меня задача стоит сейчас примерно такая же, но на обоих концах статика, и канал построен на GRE over IPSec. необходимо объединить сети (объединено), настроить единую адресацию, в центре стоит медиасервер с DLNA, необходим просмотр контента с разных точек.

    Ответить
    1. GregoryGost автор

      Можете попробовать сделать чистый GRE, а поверх него пустить EoIP с IPsec или сразу вместо GRE использовать EoIP с IPsec
      Все зависит от того, какую задачу хотите решить.
      Если Вам нужно иметь единую подсеть с маской /24, то нужен EoIP в бридже, но если подсети различные:
      В первом офисе к примеру 1.0/24 а во втором 2.0/24 то тут достаточно Вашего GRE+IPsec и простой маршрутизации /ip route

    2. Sergey

      Gregory реально хорошая статья, сейчас за полчаса объединил 3 сети в одну и всё видать и работает что надо

    3. GregoryGost автор

      Благодарю Вас, стараюсь делится своим опытом с другими =)

    4. Sergey

      Всё ничего но с IPSec всё упало через пару часов 🙁

    5. GregoryGost автор

      Здравствуйте,
      Ну смотря какие настройки и смотря как у Вас работают провайдеры. Смотрите логи, является ли проблема систематической.
      В этом Вам придется разбираться. Решение бывает приходит не сразу. Изучайте профильные форумы возможно кто-то с такой проблемой уже сталкивался.

  27. Fenomen51

    Dude-server на 750 может вообще админить, обновлять и следить за другими устройствами, например, hAP ac? или для этого обязательно сервак должен быть установлен на самом устройстве

    Ответить
    1. GregoryGost автор

      DUDE сервер это отдельный пакет, он устанавливается абсолютно также, как и любой другой пакет для RouterOS.
      Соответственно установка его на 750 по сути тоже самое, что и поставить его на x86 виртуалку или сервер.
      Доступен весь функционал, админка, обновление и слежение =)

  28. Дмитрий

    Отличная статья но у меня задача настроить EoIP но с разным адресным пространством выбрал 22 маску подсети но что то не выходит каменный цветок … не могу настроить адресацию правильно (

    Ответить
    1. GregoryGost автор

      Здравствуйте,
      Спасибо за лестный отзыв =)
      У Вас не получается что-то конкретное?

    2. костя

      Для разного адресного пространства используйте ROUTING а далее на ваш выбор RIP или OSPF.
      OSPF — новый вид маршрутизации — быстрее находит петли, потери связи и т.д. Среднее время работы 5-15секунд
      RIP — стандартный набор маршрутизации — среднее время определения петли и потери связи примерно 30сек-2минуты

      По настройке:
      Достаточно указать backbone сети т.е. маски соединяемых сетей:
      1 роутер 192.168.88.0/30 шлюз 192.168.88.1 (area) backbone=192.168.88.0/24
      2 роутер 192.168.88.128/28 шлюз 192.168.88.128 (area) backbone=192.168.88.0/24
      также если надо избирательно подсеть подключить — тогда указываете соответственно так:
      3 роутер 192.168.88.64/30 шлюз 192.168.88.64 (area) backbone=192.168.88.0/30

      в результате 1 и 2 роутеры будут видеть все 3 сети, а 3 только 1 сеть
      как-то так надеюсь помог.

    3. костя

      точнее не area -> instances, ну и не забудьте указать интерфейсы на которых будет работать маршрутизация. Туннели таже можно указывать. Сеть обычно после установки соединения поднимается через 1-2 минуты.

    4. костя

      Да забыл указать это если у Вас туннели EoIP в подсети 192.168.88.0/24
      иначе надо указывать так:
      Туннель ovpn c EoIP | sstp | pptp | l2tp | gre | ipip и адресным пространством 10.10.10.0/24
      роутер 1 имеет адрес туннеля 10.10.10.1
      роутер 2 имеет адрес туннеля 10.10.10.2
      роутер 3 имеет адрес туннеля 10.10.10.3

      — для 1 роутера:
      backbone=192.168.88.0/30
      backbone=10.10.10.1/24 — подсеть для туннелей (253 сети)