Mikrotik EoIP настройка туннеля на примере двух роутеров

Mikrotik EoIP настройка туннеля на примере двух роутеров

В данной статье мы рассмотрим настройку туннеля EoIP (Ethernet over IP) на примере двух роутеров Mikrotik. Туннель EoIP позволяет проходить трафик через IP-сеть, как будто он передается через кабели и порты. То есть, этот туннель инкапсулирует Ethernet-пакеты в пакеты IP и передает их по сети TCP/IP на другой роутер, где они снова распаковываются и поступают на соответствующие порты.

Для настройки туннеля EoIP нам понадобятся два роутера Mikrotik, которые подключены к сети через разные интерфейсы. В данном примере мы будем использовать интерфейсы ether1 и ether3 соответственно. Также вам потребуются знания основ Mikrotik и базовая настройка роутера, которую можно найти в официальной документации Mikrotik.

В нашем примере мы будем настраивать туннель EoIP на роутере office, который будет работать как сервер, и роутере sw_office, который будет работать как клиент. Также учтите, что настройка туннеля EoIP осуществляется по принципу клиент-сервер. Это означает, что одна сторона должна быть сервером, а другая сторона — клиентом.

Mikrotik EoIP настройка туннеля на примере двух роутеров

В этой статье рассмотрим настройку EoIP-туннеля на примере двух роутеров Mikrotik. EoIP (Ethernet over IP) позволяет создать виртуальное layer2 соединение через IP-сеть, что полезно для объединения локальных сетей различных офисов или серверов.

Перед началом настройки предполагаем, что у вас уже есть два роутера Mikrotik, один из которых будет служить сервером, а другой клиентом.

Давайте создадим EoIP-туннель на нашем сервере:

  • Откройте Winbox и подключитесь к вашему серверу Mikrotik.
  • В меню слева выберите «Interfaces».
  • Нажмите на «+» кнопку для создания нового интерфейса.
  • В появившемся окне выберите тип интерфейса «EoIP».
  • В поле «Name» введите имя вашего EoIP-интерфейса, например «eoip-sandbox».
  • В поле «Remote Address» введите IP-адрес клиента (роутера Mikrotik, который будет на другой стороне туннеля).
  • В поле «Local Address» выберите IP-адрес сервера.
  • Убедитесь, что в поле «Tunnel ID» у вас стоит значение «auto».
  • Остальные опции можете оставить по умолчанию.
  • Нажмите кнопку «Apply» для сохранения настроек.

Теперь нам нужно настроить клиентский роутер:

  • Следуйте тем же шагам, которые мы использовали для настройки сервера, чтобы создать EoIP-интерфейс.
  • В поле «Remote Address» введите IP-адрес сервера.
  • В поле «Local Address» выберите IP-адрес клиента.
  • Остальные настройки должны быть идентичными серверу.
  • Нажмите кнопку «Apply» для сохранения настроек.

После успешной настройки EoIP-туннеля вы сможете передавать пакеты данных между локальными сетями этих двух роутеров.

Обратите внимание, что EoIP-туннель не обеспечивает шифрования или аутентификации. Если вам нужна защищенная связь, вы можете добавить шифрование через IPsec или использовать другие протоколы, такие как OpenVPN или PPTP.

В итоге, настройка EoIP-туннеля может быть полезным инструментом для объединения локальных сетей различных офисов или серверов, что обеспечит эффективную передачу данных через общую сеть.

Настройка туннеля Site to Site EoIP с IPsec

Настройка туннеля Site to Site EoIP позволяет создать зашифрованное соединение между двумя роутерами с помощью протокола IPsec. Этот тип соединения используется для обеспечения безопасной передачи данных между удаленными сетями.

Для создания такого туннеля необходимо выполнить следующие шаги:

  1. Настройте IP-адреса на обоих роутерах. Для этого выполните команду /ip address add address=192.168.1.1/24 interface=ether1 на первом роутере и /ip address add address=192.168.1.2/24 interface=ether1 на втором роутере.
  2. Настройте EoIP на обоих роутерах. Для этого выполните следующие команды:

/interface eoip add name=eoip_1 tunnel-id=1000 remote-address=192.168.1.2:1000 на первом роутере и /interface eoip add name=eoip_2 tunnel-id=1000 remote-address=192.168.1.1:1000 на втором роутере.

  1. Создайте IPsec-профили для защиты передаваемых данных. Для этого выполните следующие команды:

/ip ipsec profile add name=ipsec_profile1 на первом роутере и /ip ipsec profile add name=ipsec_profile2 на втором роутере.

  1. Настройте IPsec политику для защиты трафика между туннелями EoIP. Для этого выполните команды:

/ip ipsec policy add action=encrypt disabled=no dst-address=192.168.1.2/32 src-address=192.168.1.1/32 tunnel=eoip_1 ipsec-profile=ipsec_profile1 на первом роутере и /ip ipsec policy add action=encrypt disabled=no dst-address=192.168.1.1/32 src-address=192.168.1.2/32 tunnel=eoip_2 ipsec-profile=ipsec_profile2 на втором роутере.

  1. Создайте bridge для объединения интерфейсов EoIP и локальных сетей. Для этого выполните следующие команды:

/interface bridge add name=bridge1 на первом роутере и /interface bridge add name=bridge2 на втором роутере.

  1. Привяжите интерфейсы к bridge для обеспечения коммутации данных между EoIP и локальными сетями. Для этого выполните команды:

/interface bridge port add bridge=bridge1 interface=ether2 на первом роутере и /interface bridge port add bridge=bridge2 interface=ether2 на втором роутере.

  1. Настройте DHCP-сервер для выдачи IP-адресов клиентам в локальной сети. Для этого выполните следующие команды:

/ip dhcp-server network add address=192.168.2.0/24 gateway=192.168.2.1 на первом роутере и /ip dhcp-server network add address=192.168.3.0/24 gateway=192.168.3.1 на втором роутере.

  1. Настройте IP-адрес интерфейса bridge для каждого роутера. Для этого выполните команды:

/ip address add address=192.168.2.1/24 interface=bridge1 на первом роутере и /ip address add address=192.168.3.1/24 interface=bridge2 на втором роутере.

  1. Настройте DHCP-клиент на интерфейсе bridge для каждого роутера. Для этого выполните команды:

/ip dhcp-client add default-route-distance=0 dhcp-options=hostname,clientid disabled=no interface=bridge1 на первом роутере и /ip dhcp-client add default-route-distance=0 dhcp-options=hostname,clientid disabled=no interface=bridge2 на втором роутере.

  1. Настройте маршрут по умолчанию на обоих роутерах. Для этого выполните команды:

/ip route add gateway=192.168.1.2 на первом роутере и /ip route add gateway=192.168.1.1 на втором роутере.

  1. Добавьте правила firewall для разрешения трафика через EoIP туннель. Для этого выполните следующие команды:

/ip firewall filter add action=accept chain=forward in-interface=bridge1 out-interface=all-ppp src-address=192.168.2.0/24 на первом роутере и /ip firewall filter add action=accept chain=forward in-interface=bridge2 out-interface=all-ppp src-address=192.168.3.0/24 на втором роутере.

  1. Проверьте настройки туннеля EoIP. Для этого выполните команду /interface eoip monitor eoip_1 на первом роутере и /interface eoip monitor eoip_2 на втором роутере. В результате должна отобразиться информация о статусе туннеля.
  2. Проверьте соединение между удаленными сетями. Для этого выполните команду /ping 192.168.3.1 на первом роутере. Если соединение работает, вы увидите ответ от второго роутера.

Таким образом, вы настроили туннель Site to Site EoIP с использованием IPsec защиты. Это позволяет безопасно передавать данные между удаленными сетями с использованием сетевого оборудования MikroTik.

Part 1 MikroTik RouterOS Basic Configuration

Настройка базовой конфигурации MikroTik RouterOS позволяет создать основу для успешной настройки туннеля EoIP. В данной части курса мы рассмотрим основные шаги настройки, которые позволят связать два роутера и установить туннель между ними.

Прежде всего, необходимо настроить интерфейсы на нашем оборудовании. Для примера возьмем два роутера MikroTik RouterBOARD hEX lite (RB750r3) и подключим их, как показано на схеме, через порты ether1.

Первоначально необходимо задать имя нашему порту ether1. Для этого в меню «Interfaces» выбираем наш интерфейс ether1 и в строке «Name» вводим «ether1». Сохраняем изменения, нажимая кнопку «Apply».

Далее мы создаем VLAN-интерфейс, чтобы управлять доступом к сети. Для этого переходим в меню «Interfaces» и нажимаем кнопку «Add new». Выбираем тип интерфейса «VLAN», указываем VLAN ID (например, 10) и задаем имя VLAN-интерфейса «vlan10». После этого сохраняем изменения.

Теперь мы настроим интерфейс ether1, чтобы он принимал все трафик от VLAN-интерфейса vlan10, используя следующую команду:

interface ethernet set ether1 vlan-mode=use-tag vlan-id=10 comment=»vlan10 interface»

Также нам необходимо настроить IP-адрес для интерфейса vlan10, чтобы наш роутер мог связаться с другими устройствами в сети. Задаем IP-адрес с помощью следующей команды:

ip address add address=192.168.10.1/24 interface=vlan10 comment=»vlan10 IP address»

Для того, чтобы разрешить прохождение кадров внутри нашей сети, мы должны настроить IP-адрес для интерфейса ether1. Также нам необходимо изменить MTU для корректной работы нашего туннеля EoIP. Для этого используем следующую команду:

interface ethernet set ether1 mtu=1500 comment=»ether1 interface» disable-running-check=no

Не забудьте изменить значение «interface-name» на значение, которое вы указали для интерфейса ether1.

Теперь нам нужно настроить общие свойства системы. Переходим в меню «System» и выбираем вкладку «Identity». Здесь нам необходимо задать имя нашего роутера, которое будет отображаться в сети. Задаем имя, например, «MikroTik_1».

Далее мы должны настроить маршруты для подключения к другим офисам. Для примера зададим маршрут к офису 2. В меню «IP Route» нажимаем на кнопку «Add new». В появившемся окне заполняем поле «Dst. Address» значением «192.168.20.0/24» (сеть офиса 2) и поле «Gateway» значением «192.168.10.2» (IP-адрес интерфейса ether1 на роутере офиса 2). Затем сохраняем изменения.

Для удобства проверки статуса наших интерфейсов мы можем воспользоваться командой:

interface ethernet print detail

Теперь, после выполнения всех вышеупомянутых манипуляций, мы сможем перейти к практической части настройки туннеля EoIP.

Данная статья является частью курса по настройке MikroTik EoIP и созданию туннеля на примере двух роутеров. Если у вас остались вопросы или вам понадобилась дополнительная информация, пожалуйста, свяжитесь с нами.

Part 2 Настройка туннеля EoIP с IPsec

Part 2 Настройка туннеля EoIP с IPsec

Продолжение статьи о настройке туннеля EoIP на примере двух роутеров. Во второй части мы рассмотрим настройку туннеля EoIP с использованием протокола IPsec.

Роутер АРоутер Б
Интерфейс EoIPИнтерфейс EoIP
Интерфейс из контура автораИнтерфейс из контура клиента

При настройке туннеля EoIP с использованием IPsec мы должны убедиться, что все интерфейсы правильно настроены и связаны друг с другом. Для этого мы создадим и настроим следующие интерфейсы:

  • EoIP-интерфейс: eoip_2
  • Интерфейс контура клиента: name-client

1. Мы начинаем с создания интерфейса EoIP на обоих роутерах. Для этого нажимаем кнопку «+», в верхнем правом углу экрана, чтобы создать новый интерфейс. Затем выбираем тип интерфейса «EoIP» и указываем имя интерфейса «eoip_2». Нажимаем «ОК», чтобы создать интерфейс.

2. Затем мы должны связать интерфейс EoIP с интерфейсом из контура клиента. Для этого переходим в настройки интерфейса «eoip_2» и выбираем вкладку «Бридж». В поле «Мост» выбираем имя моста «bridge_br_lan» и нажимаем «ОК».

3. На роутере клиента также создаем интерфейс контура клиента. Для этого мы создаем новый интерфейс типа «EoIP» с именем «name-client». Настроим его так же, как и на роутере автора.

4. Теперь настраиваем IPsec-соединение. Для этого переходим в раздел «Интерфейсы» и выбираем вкладку «EoIP». Затем нажимаем кнопку «EoIP-Tunnel». В строке «name» вводим «eoip_2» и в поле «remote address» указываем IP-адрес роутера-клиента. Нажимаем кнопку «Apply», чтобы создать туннель.

5. Нам также необходимо настроить правила фильтрации пакетов для туннеля EoIP. Для этого переходим в раздел «Firewall» и выбираем вкладку «Filter Rules». В поле «Chain» выбираем «Input» и нажимаем кнопку «+», чтобы создать новое правило. Затем в поле «Action» выбираем «Accept» и в поле «In. Interface» выбираем интерфейс «eoip_2». Нажимаем кнопку «Apply», чтобы применить правило.

6. Настройка IPsec завершена. Теперь мы можем проверить работу туннеля EoIP с IPsec. Для этого воспользуемся командой «print» для отображения списка интерфейсов. В списке должны присутствовать интерфейсы «eoip_2» и «name-client», что означает, что настройка прошла успешно.

7. Кроме того, можно воспользоваться командой «show interfaces» для проверки наличия EoIP-интерфейса «eoip_2» и интерфейса из контура клиента «name-client». Это позволит нам убедиться, что соединение правильно настроено и работает.

Теперь мы успешно настроили туннель EoIP с IPsec на примере двух роутеров. Это позволяет нам передавать пакеты данных между различными контурами с использованием безопасного соединения через интернет.

Part 3 Назначение IP-адреса интерфейсу туннеля EoIP

После создания туннеля EoIP между двумя роутерами, необходимо назначить IP-адрес соответствующему EoIP-интерфейсу. Это позволит установить связь между локальной сетью на одном роутере и удаленной сетью на другом роутере.

Проделайте следующие шаги для настройки назначения IP-адреса на EoIP-интерфейсе:

  1. Выберите пункт меню «Interface» в системном меню Mikrotik.
  2. Нажмите кнопку «+» и выберите тип интерфейса «EoIP».
  3. В поле «Name» введите имя интерфейса EoIP (например, eoip_tunnel).
  4. В поле «Local address» введите IP-адрес локального роутера, который будет использоваться для EoIP-интерфейса.
  5. В поле «Remote address» введите IP-адрес удаленного роутера, который будет использоваться для EoIP-интерфейса.
  6. В поле «Tunnel ID» введите ID туннеля EoIP (например, tunnel-id1).
  7. В поле «L2MTU» оставьте значение по умолчанию (1500).
  8. Нажмите кнопку «OK», чтобы создать интерфейс EoIP.
  9. Назначьте IP-адрес интерфейсу EoIP:
Входящий интерфейсПротоколы/ПортыИсходящий интерфейс
in-interface=br_wantcp/udp, порты 80,443,1701,1723,4500in-interface=ether1

После назначения IP-адреса интерфейсу EoIP, настройка маршрутизации будет завершена, и туннель EoIP станет активным. Вы также можете настроить другие параметры, такие как IPsec-ключ и мост, в зависимости от вашего конкретного сценария.

Теперь вы готовы использовать туннель EoIP для обмена данными между двумя сетями. Следуйте дальнейшим указаниям или официальной документации Mikrotik, чтобы настроить другие связанные параметры, такие как маскировка и OpenVPN.

Part 4 Конфигурация статического маршрута

Part 4 Конфигурация статического маршрута

На данном этапе мы настроим статический маршрут для обеспечения связи между двумя роутерами. Для этого мы будем использовать функцию маршрутизации Mikrotik.

Шаг 1: Откройте консоль маршрутизатора r_office.

Шаг 2: Введите команду /ip route add distance=1 gateway=192.168.1.2. Это добавит статический маршрут на основе IP-адреса удаленного роутера.

Шаг 3: Для проверки настройки маршрута выполните команду /ip route print. Вы увидите вывод, в котором отображаются все текущие маршруты. Если все настройки выполнены правильно, вы должны увидеть новый маршрут к удаленному роутеру.

Шаг 4: Проверьте доступность удаленного роутера, выполнив команду /ping 192.168.1.2. Если пинг успешен, значит маршрутизация настроена правильно.

Шаг 5: Повторите те же самые шаги для роутера r_home, чтобы настроить статический маршрут к роутеру r_office.

Поздравляю! Вы успешно настроили статический маршрут между роутерами, обеспечивая связь через туннель EoIP.

Introduction

Introduction

Когда туннель EoIP настроен, он добавляет новую запись в таблицу bridgebr_lan, связывая интерфейс bridgebr_lan нашего роутера с удаленным роутером. Таким образом, все пакеты, получаемые через этот интерфейс, будут отправляться через туннель EoIP.

Для начала необходимо настроить туннель на обоих роутерах. На mik_1 должно быть настроено соединение pptp-client для подключения к удаленной стороне, тогда как на r_office должна быть настроена схожая конфигурация с использованием протокола pptp-server.

На mik_1 также должно быть создано соответствующее выделенное удаленное пространство адресов подключения клиента (dhcp-client), которое будет назначено удаленному роутеру по его виртуальному интерфейсу EoIP, а также должно быть настроено удаленное пространство адресов Ethernet для объединения с внутренней стороны. Между туннелем (мостом) и внутренними интерфейсами mik_1 должны быть настроены соответствующие rule action для этих адресов.

Также, чтобы установить удаленное подключение, на удаленном роутере должен быть настроен pptp-client, который подключается к mik_1, все должно подключаться и работать в соответствии с принципом layer2-мост. Вместо pptp можно использовать также и ssh по принципу layer3 в соответствии с вашими нуждами. Но в данной статье будет показано как работает EoIP с протоколом pptp.

Помните, что EoIP работает только в IP-сетях, поэтому использование интерфейсов Ethernet может потребовать некоторых изменений в вашей конфигурации системы.

Property Description

Property Description

В данном разделе мы настраиваем свойства для туннеля Mikrotik EoIP. Когда мы настраиваем беспроводное подключение, этот туннель может быть использован для передачи трафика между двумя роутерами. Когда мы настраиваем подключение к Интернету через серверы, они могут быть заменены туннелями Mikrotik EoIP. В таблице указывается имя интерфейса, через который туннель будет настраиваться. Вы также можете указать порты, которые будут использоваться для туннелей. При нажатии кнопки «Show» отображается список всех ранее настроенных туннелей. Каждый туннель может быть отключен или включен с помощью флажка «Enabled».

Пример настройки туннеля:

/interface eoip
add name=eoip-tunnel1 tunnel-id=1 remote-address=192.168.1.2 l2mtu=1436

Данный пример создает туннель с именем «eoip-tunnel1». Туннель имеет ID 1 и использует удаленный адрес 192.168.1.2. Размер пакетов в туннеле ограничен до 1436 байт.

Configuration Examples

Configuration Examples

Ниже приведены примеры настроек для создания туннеля EoIP между двумя роутерами Mikrotik.

  • Вначале необходимо задать IP-адреса на интерфейсах роутеров, которые будут использоваться для подключения к сети моста. Например, на роутере A адрес будет «192.168.1.1/24», а на роутере B — «192.168.1.2/24».
  • Далее, мы должны настроить мост на обоих роутерах, чтобы объединить локальные сети. В меню «Bridge» выбираем «Bridge» и нажимаем кнопку «+».
  • Во вновь открывшемся окне настраиваем имя моста и добавляем порты для подключения. В данном примере используется порт ether2. Для этого выбираем вкладку «Ports» и нажимаем «+».
  • На роутере A создаем мост bridge1 с подключенным к нему портом ether2. На роутере B также создаем мост bridge1 с подключенным к нему интерфейсом ether2.
  • Далее на роутере A настраиваем туннель EoIP. Для этого в меню «Interfaces» выбираем «EoIP Tunnel» и нажимаем кнопку «+».
  • В появившемся окне настраиваем имя туннеля и указываем IP-адрес роутера B как удаленный IP-адрес.
  • Теперь на роутере B настраиваем аналогичный туннель EoIP, указывая IP-адрес роутера A как удаленный IP-адрес.
  • Далее необходимо настроить IP-адреса для нового моста. Для этого в меню «IP» выбираем «Addresses» и нажимаем кнопку «+».
  • На роутере A настраиваем новый адрес для моста bridge1 согласно IP-диапазону, используемому в вашей сети.
  • На роутере B также настраиваем новый адрес для моста bridge1.
  • Далее, в меню «IP» выбираем «Firewall» и настраиваем цепочку входящих соединений для моста bridge1, чтобы разрешить все пакеты.
  • Теперь на роутере A настраиваем маскарад для моста bridge1. Для этого в меню «IP» выбираем «Firewall» и настраиваем маскарад в цепочке forward.
  • На роутере B также настраиваем маскарад для моста bridge1.
  • Теперь необходимо настроить IP-адреса для EoIP-интерфейсов. Для этого в меню «IP» выбираем «Addresses» и нажимаем кнопку «+».
  • На роутере A настраиваем IP-адрес для EoIP-интерфейса согласно вашей сетевой конфигурации.
  • На роутере B также настраиваем IP-адрес для EoIP-интерфейса.
  • Далее необходимо настроить безопасность соединения с помощью аутентификации. В меню «PPP» выбираем «Profiles» и создаем новый профиль.
  • На роутере A создаем профиль с названием «eoip-profile». В поле «Local address» указываем IP-адрес EoIP-интерфейса на роутере A, а в поле «Remote address» — IP-адрес EoIP-интерфейса на роутере B.
  • На роутере B создаем аналогичный профиль с теми же настройками, но меняем IP-адреса на роутере B и A соответственно.
  • Далее на роутере A в меню «PPP» выбираем «Secrets» и создаем новое правило аутентификации.
  • На роутере A в поле «Name» указываем имя пользователя, в поле «Password» — пароль, а в поле «Remote Address» — IP-адрес EoIP-интерфейса на роутере B.
  • На роутере B также создаем правило аутентификации.
  • Наконец, необходимо настроить безопасность туннеля IPsec. В меню «IP» выбираем «IPsec» и нажимаем кнопку «Peers».
  • На роутере A создаем новый пир, указывая IP-адрес роутера B, доменное имя, номер порта и настройки аутентификации.
  • На роутере B создаем аналогичный пир, указывая IP-адрес роутера A, доменное имя, номер порта и настройки аутентификации.
  • Теперь перезапустите оба роутера, чтобы применить настройки.

После настройки вы должны иметь работающий туннель EoIP между двумя роутерами Mikrotik. В приведенных выше примерах показано, как настроить такой туннель с помощью мостов и IPsec-авторизации, однако, в зависимости от ваших потребностей, вы также можете использовать другие методы настройки.

Example

В данном примере рассмотрим настройку туннеля Mikrotik EoIP между двумя локальными роутерами. В схеме соединения имеется первый роутер с интерфейсом ether1, который подключен к серверу через интерфейс ether3. Также имеется второй роутер с интерфейсом ether2, который подключен к другому серверу через интерфейс ether5.

  1. Сначала необходимо создать EoIP туннель на каждом маршрутизаторе. Для этого откройте командную строку маршрутизатора и выполните следующие команды:
    • /interface eoip add name=»br_eoip» remote-address=<указать IP-адрес удаленного маршрутизатора> tunnel-id=<номер туннеля> comment=»EoIP туннель для связи с другим роутером»
    • /interface eoip set br_eoip keepalive-timeout=10s keepalive-interval=10s
  2. После создания туннеля необходимо настроить IP-адреса на интерфейсах этих туннелей, чтобы они могли взаимодействовать между собой. Для этого откройте командную строку маршрутизатора и выполните следующую команду:
    • /interface bridge add name=br_eoip comment=»Bridge для EoIP туннеля»
  3. После создания bridge необходимо добавить в него порты соединения. Для этого откройте командную строку маршрутизатора и выполните следующую команду:
    • /interface bridge port add bridge=br_eoip interface=br_eoip
  4. Теперь настройте IP-адреса на других интерфейсах маршрутизатора, чтобы связать их с EoIP bridge. Фактически, ваш маршрутизатор будет «слушать» пакеты, которые проходят через этот bridge. Для этого откройте командную строку маршрутизатора и выполните следующие команды:
    • /interface bridge port add bridge=br_eoip interface=<имя интерфейса, через который идут пакеты>
    • /ip address add address=<ip-адрес роутера на этом интерфейсе> interface=br_eoip
  5. Теперь настройте EoIP туннель на втором роутере аналогично первому. При этом не забудьте указать IP-адрес удаленного маршрутизатора в соответствующей строке настройки туннеля.
  6. Следующим шагом настройте маршрутизацию пакетов через EoIP туннель. Для этого откройте командную строку маршрутизатора и выполните следующие команды:
    • /ip route add dst-address=<ip-адрес сети удаленного маршрутизатора> gateway=<ip-адрес EoIP bridge на вашей стороне> distance=1
    • /ip route add dst-address=<ip-адрес сети вашей стороны> gateway=<ip-адрес EoIP bridge на удаленной стороне> distance=1
  7. Для проверки корректности настройки выполните команду «/ip route print» и убедитесь, что все маршруты настроены правильно.

В данном примере мы создали EoIP туннель между двумя локальными роутерами. Такой туннель позволяет передавать сетевой трафик между двумя удаленными сетями через интернет. Также в данной настройке используется мост между EoIP туннелем и реальным интерфейсом маршрутизатора для передачи пакетов по Layer2 протоколу.

MikroTik L2VPN EoIP + WireGuard часть 2

В предыдущей статье нам была показана настройка туннеля EoIP между двумя роутерами office1 и office2. Теперь рассмотрим подключение туннеля к уже существующей сети и настройку WireGuard на MikroTik роутере.

Начнем с настройки EoIP на обоих роутерах. На каждом из них создадим соответствующие записи в таблице EoIP. Этот протокол скрывает все пакеты, передаваемые по туннелю, в пакеты протокола UDP. В итоге мы получаем прозрачное подключение двух интерфейсов. Для примера будем использовать интерфейсы ether1 и ether6.

Настройка EoIP на роутере office1:

/interface eoip add remote-address=192.168.88.2 tunnel-id=1 name="eoip-tunnel" local-address=192.168.88.1
/interface eoip set [/interface eoip find name="eoip-tunnel"] disabled=no
/interface eoip set [/interface eoip find name="eoip-tunnel"] dscp-inherit=yes
/interface eoip set [/interface eoip find name="eoip-tunnel"] tunnel-id=1
/interface eoip set [/interface eoip find name="eoip-tunnel"] tunnel-id=1
/interface eoip set [/interface eoip find name="eoip-tunnel"] use-ipsec=no
/interface eoip set [/interface eoip find name="eoip-tunnel"] mac-address=:02
/interface eoip set [/interface eoip find name="eoip-tunnel"] disabled=no
/interface eoip set [/interface eoip find name="eoip-tunnel"] mac-address=:04
/ip address add address=192.168.88.1/24 interface="eoip-tunnel"
/ip address set [/ip address find interface="eoip-tunnel"] disabled=no

Настройка EoIP на роутере office2:

/interface eoip add remote-address=192.168.88.1 tunnel-id=1 name="eoip-tunnel" local-address=192.168.88.2
/interface eoip set [/interface eoip find name="eoip-tunnel"] disabled=no
/interface eoip set [/interface eoip find name="eoip-tunnel"] dscp-inherit=yes
/interface eoip set [/interface eoip find name="eoip-tunnel"] tunnel-id=1
/interface eoip set [/interface eoip find name="eoip-tunnel"] tunnel-id=1
/interface eoip set [/interface eoip find name="eoip-tunnel"] use-ipsec=no
/interface eoip set [/interface eoip find name="eoip-tunnel"] mac-address=:0F
/interface eoip set [/interface eoip find name="eoip-tunnel"] disabled=no
/interface eoip set [/interface eoip find name="eoip-tunnel"] mac-address=:0B
/ip address add address=192.168.88.2/24 interface="eoip-tunnel"
/ip address set [/ip address find interface="eoip-tunnel"] disabled=no

После настройки EoIP проверим работу туннеля в командной строке (аппаратного роутера или Winbox) на каждом роутере:

ping 192.168.88.2

Зайдем на роутер office2 через туннель:

/interface eoip> print
Flags: X - disabled, D - dynamic, R - running
0    R name="eoip-tunnel" mtu=1500 mac-address=64:D1:fE:2E:19:b9 tunnel-id=1 arp=enabled disabled=no remote-address=192.168.88.1 local-address=192.168.88.2
/ip address> print
Flags: X - disabled, I - invalid, D - dynamic
#    ADDRESS            NETWORK         INTERFACE                                DYNAMIC
0   192.168.88.2/24  192.168.88.0   eoip-tunnel                              yes
1 D         192.168.88.1/24 EOIP-TUNNEL

Теперь приступим к настройке WireGuard. Данная технология создает зашифрованный туннель между двумя устройствами и позволяет передавать трафик между сетями. На MikroTik роутере WireGuard настраивается через создание интерфейса и настройку идентификационных данных на обоих роутерах. В этом примере будем использовать следующую схему.

На роутере office1 настраиваем интерфейс WireGuard:

/interface wireguard set [ find default-name=wireguard1 ] name=wg1
/interface wireguard set [ find name="wg1" ] ip2=192.168.1.1/32 allowed-ips=192.168.2.0/24,192.168.88.0/24
/interface wireguard set [ find name="wg1" ] mtu=1500 clock-sync=auto
/interface wireguard set [ find name="wg1" ] keepalive=0 allowed-ips=192.168.1.1/32
/interface wireguard set [ find name="wg1" ] persistent-keepalive=25 mtu=1500
/interface wireguard set [ find name="wg1" ] tube-manager-setup=auto
/interface wireguard set [ find name="wg1" ] protocol-port=auto protocol-mode=one-unsecured
/interface wireguard set [ find name="wg1" ] mtu=auto
/interface wireguard set [ find name="wg1" ] lower-bridges=none

На роутере office2 также настраиваем интерфейс WireGuard:

/interface wireguard set [ find default-name=wireguard1 ] name=wg1
/interface wireguard set [ find name="wg1" ] ip2=192.168.2.1/32 allowed-ips=192.168.1.0/24,192.168.88.0/24
/interface wireguard set [ find name="wg1" ] mtu=1500 clock-sync=auto
/interface wireguard set [ find name="wg1" ] keepalive=0 allowed-ips=192.168.2.1/32
/interface wireguard set [ find name="wg1" ] persistent-keepalive=25 mtu=1500
/interface wireguard set [ find name="wg1" ] tube-manager-setup=auto
/interface wireguard set [ find name="wg1" ] protocol-port=auto protocol-mode=one-unsecured
/interface wireguard set [ find name="wg1" ] mtu=auto
/interface wireguard set [ find name="wg1" ] lower-bridges=none

После настройки интерфейсов WireGuard на роутерах проверим их статус в командной строке:

/interface wireguard> print
#   INTERFACE    PUBLIC-KEY                 PRIVATE-KEY    PROTOCOL  ALLOWED-IPS          MTU
0 S name="wg1"   v/R1lhX18y9....  uY9....  wg1 0.0.0.0/0       1500

Теперь настроим подключение туннеля WireGuard на роутерах office1 и office2:

На роутере office1 создадим новое правило ip firewall применительно к интерфейсу WireGuard:

/ip firewall filter add action=accept chain=forward comment="accept-traffic" connection-state=established,related
/ip firewall filter add action=accept chain=forward comment="accept-traffic" in-interface=wg1 out-interface="[ИМЯ_ИНТЕРФЕЙСА]"
/ip firewall filter add action=drop chain=forward comment="drop-traffic" in-interface=wg1 out-interface=bridge-lan
/ip firewall filter add action=accept chain=forward comment="accept-traffic" in-interface=bridge-wan out-interface=wg1
/ip firewall filter add action=drop chain=forward comment="drop-traffic" in-interface=bridge-wan out-interface=bridge-wan
/ip firewall filter add action=accept chain=forward comment="allow traffic from EoIP-tunnel-Ether6" in-interface=bridge-wan out-interface="[ИМЯ_ИНТЕРФЕЙСА]"
/ip firewall nat add action=accept chain=src-nat comment="dst-nat-example" dst-address=192.168.2.1 in-interface="[ИМЯ_ИНТЕРФЕЙСА]" #(строка №10)

На роутере office2 создадим новое правило ip firewall применительно к интерфейсу WireGuard:

/ip firewall filter add action=accept chain=forward comment="accept-traffic" connection-state=established,related
/ip firewall filter add action=accept chain=forward comment="accept-traffic" in-interface=wg1 out-interface="[ИМЯ_ИНТЕРФЕЙСА]"
/ip firewall filter add action=drop chain=forward comment="drop-traffic" in-interface=wg1 out-interface=bridge-lan
/ip firewall filter add action=accept chain=forward comment="accept-traffic" in-interface=bridge-lan out-interface=wg1
/ip firewall filter add action=drop chain=forward comment="drop-traffic" in-interface=bridge-wan out-interface=bridge-wan
/ip firewall filter add action=accept chain=forward comment="allow traffic from EoIP-tunnel-Ether1" in-interface=bridge-wan out-interface="[ИМЯ_ИНТЕРФЕЙСА]"
/ip firewall nat add action=accept chain=src-nat comment="dst-nat-example" dst-address=192.168.1.1 in-interface="[ИМЯ_ИНТЕРФЕЙСА]" #(строка №10)

Теперь подключение между роутерами office1 и office2 настроено с использованием технологий EoIP и WireGuard. Схему подключения можно увидеть в приложенной ниже диаграмме.

В данной статье мы рассмотрели практическую настройку туннелей EoIP и WireGuard на двух MikroTik роутерах office1 и office2. Показано, как создать туннель EoIP между роутерами и настроить WireGuard для защищенной передачи данных. Теперь у вас есть полезные схемы для создания собственных соединений и настройки безопасной коммуникации между сетевыми устройствами.

Настройка MikroTik

Для начала настройки MikroTik роутера вам понадобится два роутера: office1 и office2.

1. Открываем меню Interfaces и переходим на вкладку Bridges.

2. Создаем новый мост с именем bridgebr_lan. В таблице указываем интерфейсы, которые должны быть добавлены в мост. В данном примере, это интерфейсы ether2 и ether3.

NamePorts
bridgebr_lanether2, ether3

3. Открываем меню IP и переходим на вкладку IP Routes. Создаем новое правило со следующими параметрами:

Dst. AddressGatewayDistanceInterface
0.0.0.0/0«внешний адрес интернет-провайдера»1ether1

4. Открываем меню IP и переходим на вкладку IP IPsec. Создаем новый туннель со следующими параметрами:

NameModeLocal AddressRemote Address
office1site-to-site«внутренний адрес office1»«внутренний адрес office2»

5. Открываем меню IP и переходим на вкладку IP IPsec Policies. Создаем новое правило со следующими параметрами:

Src. AddressDst. AddressAction
«адрес локальной сети office1»«адрес локальной сети office2»require

6. Открываем меню Interfaces и переходим на вкладку PPTP Client. Создаем новый PPTP клиент с именем namepptp_client и вводим данные о удаленном сервере.

7. Настройка IPsec предполагает, что трафик будет передаваться через мост. Для этого необходимо открыть меню IP и перейти на вкладку Firewall, затем в списке меню слева выбрать NAT. Создаем новое правило со следующими параметрами:

Chain: srcnat

Src. Address: адрес локальной сети

Action: masquerade

Out. Interface: bridgebr_lan

В итоге, настройка MikroTik роутера будет выглядеть следующим образом:

МастерПараметрЗначение
1Bridgebridgebr_lan
2Route0.0.0.0/0«внешний адрес интернет-провайдера»
3IPsecoffice1site-to-site
4IPsec Policy«адрес локальной сети office1»«адрес локальной сети office2»
5PPTP Clientnamepptp_client
6Firewall NATSrc. AddressOut. Interface

Мин настройка оборудования в цен офисе на базе CISCO

Мин настройка оборудования в цен офисе на базе CISCO

В данном разделе мы рассмотрим основные шаги минимальной настройки оборудования в центральном офисе на базе CISCO. Это включает в себя создание сетевых интерфейсов, настройку IP-адресов и соединение с интернетом.

1. Подключите роутер CISCO к источнику питания и подключите к нему Ethernet-кабель.

2. Войдите в конфигурационный режим маршрутизатора.


Router> enable
Router# configure terminal

3. Назначьте имя роутеру, чтобы идентифицировать его в сети. Для этого используйте команду hostname name. Здесь name — это имя, которое вы хотите присвоить роутеру.


Router(config)# hostname office1

4. Настройте интерфейс Ethernet. В данном случае мы будем использовать интерфейс Ethernet4. Сначала нужно перейти в режим настройки интерфейса с помощью команды interface interface_name, где interface_name — это имя интерфейса, который вы хотите настроить.


Router(config)# interface Ethernet4

Присвойте интерфейсу IP-адрес и маску подсети, используя команду ip address ip_address subnet_mask. Здесь ip_address — это IP-адрес, а subnet_mask — это маска подсети для данного интерфейса.


Router(config-if)# ip address 192.168.1.1 255.255.255.0

5. Настройте подключение к интернету с помощью протокола OpenVPN. Создайте OpenVPN-профиль с помощью команды crypto pki profile profile_name и назначьте ему пароль с помощью команды crypto pki profile profile_name secret password. Здесь profile_name — это имя профиля, который вы хотите создать, а password — это пароль для этого профиля.


Router(config)# crypto pki profile profile1
Router(ca-profile)# secret password123

6. Соедините два офиса с помощью туннеля EoIP. Для этого создайте мост EoIP с помощью команды bridge bridge1. Далее добавьте в мост туннель EoIP с помощью команды bridge bridge1 add port interface_name, где interface_name — это имя интерфейса, который был настроен на роутере в другом офисе.


Router(config)# bridge bridge1
Router(br)# bridge1 add port eoip_1

7. Настройте IP-адрес для моста EoIP с помощью команды bridge bridge1 set address ip_address subnet_mask. Здесь ip_address — это IP-адрес моста, а subnet_mask — это маска подсети.


Router(br)# bridge1 set address 10.0.0.1 255.255.255.0

8. Проверьте настройки моста EoIP с помощью команды show bridge bridge1. Выведенная информация должна подтверждать, что мост EoIP был правильно создан.


Router(br)# show bridge bridge1

9. Настройте профиль PPP для подключения к интернету. Назначьте уровень приоритета профилю PPP с помощью команды profile prof_ppp_pptp set ppp keepalive initial interval 10 retry 10, tcp-flagssyn.


Router(config)# profile prof_ppp_pptp set ppp keepalive10s10

10. Настройте интерфейс Ethernet1 для локальных офисов. Установите режим работы интерфейса в режиме пересылки VLAN с помощью команды interface Ethernet1 switchport mode access. Назначьте неотмеченные порты с помощью команды interface Ethernet1 switchport access vlan vlan_number, где vlan_number — это номер VLAN для данного интерфейса.


Router(config)# interface Ethernet1
Router(config-if)# switchport mode access
Router(config-if)# switchport access vlan 10

11. Настройте профиль IP-брандмауэра для использования IP-брандмауэра с помощью команды profile prof_ppp_pptp set use-ip-firewall yes default-name Ethernet4.


Router(config)# profile prof_ppp_pptp set use-ip-firewall yes default-name Ethernet4

12. Сохраните конфигурацию и перезапустите роутер.


Router(config)# end
Router# write memory
Router# reload

После выполнения этих шагов ваш роутер CISCO должен быть готов к работе и настроен для подключения к интернету и обмена данными со всеми локальными офисами.

Итог

В данной статье мы рассмотрели настройку туннеля EoIP на примере двух роутеров Mikrotik. Для установки соединения мы использовали протоколы GRE и IPsec.

Вначале мы создали туннель EoIP, указав необходимые параметры, такие как локальный адрес и адрес удаленного сервера. Затем мы настроили IPsec для обеспечения защиты туннеля, установив необходимые параметры аутентификации и шифрования.

Для проверки работы соединения мы создали интерфейсы Ethernet на обоих роутерах и назначили им IP-адреса в соответствии с сетевой архитектурой. Затем мы объединили эти интерфейсы в транк, чтобы увеличить пропускную способность.

После этого мы настроили интерфейс Bridge на локальном роутере, чтобы он мог принимать трафик от интерфейса WAN и отправлять его через туннель EoIP. Затем мы настроили интерфейс PPTP клиента на удаленном роутере, чтобы он мог принимать трафик от интерфейса WAN и отправлять его через туннель EoIP.

В итоге, после успешной настройки, туннель EoIP работает и передает пакеты между двумя роутерами. Это дает возможность создания безопасного соединения между двумя удаленными офисами и передачи данных через интернет.

Согласно официальной документации Mikrotik, протокол GRE подходит для использования в сетях VPN, так как он позволяет передавать различные типы пакетов без определенных ограничений. Протокол IPsec-ESP обеспечивает защищенный канал связи между двумя узлами с использованием алгоритма шифрования и аутентификации.

Работа сетевого соединения на роутерах Mikrotik может быть сложной задачей, но с помощью данного конспекта вы сможете успешно настроить туннель EoIP с протоколами GRE и IPsec.

Создание домашней сети на базе устройств MikroTik Часть 5 – Создание EoIP туннеля

Создание домашней сети на базе устройств MikroTik Часть 5 – Создание EoIP туннеля

В предыдущих частях этой серии статей мы рассмотрели настройку основных параметров роутера MikroTik, создали сетевые интерфейсы и установили PPTP-сервер. В этой части мы рассмотрим создание EoIP (Эптешип Енскапсуляции) туннеля.

EoIP является протоколом, разработанным компанией MikroTik, который позволяет создавать виртуальный туннель между двумя удаленными серверами или роутерами. Туннель EoIP может быть использован для объединения двух удаленных сетевых сегментов и обеспечения их связи между собой.

Для начала открываем веб-интерфейс роутера MikroTik и входим в меню «Interfaces». Затем переходим во вкладку «Bridge» и создаем новый bridge, к которому будут подключены наши интерфейсы.

ДействиеИнтерфейсИмя
Создать bridgebridge1
Добавить интерфейс в bridgeether2br_lan
Добавить интерфейс в bridgeeth4

После создания bridge, переходим во вкладку «Interfaces» и настраиваем параметры интерфейса br_lan. В параметре «Bridge Ports» указываем все интерфейсы, которые будут подключены к этому bridge (в данном случае это ether2 и ether4).

Теперь необходимо создать EoIP интерфейсы на обоих роутерах, для этого открываем меню «Interfaces» -> «EoIP». Далее создаем новый EoIP интерфейс с именем «eoip_2» и параметрами настройки согласно принципу, указанному автором блога.

После того, как все EoIP интерфейсы созданы, настраиваем маршрутизацию. Для этого открываем меню «IP» -> «Routes» и создаем новое правило, которое будет указывать на созданный ранее EoIP интерфейс.

В нашем случае мы создаем правило для маршрутизации всех пакетов сети в сторону EoIP интерфейса:

Пункт назначенияДействиеИнтерфейс
0.0.0.0/0action=lookupeoip_2

После настройки маршрутизации необходимо включить сервис EoIP на обоих роутерах. Для этого открываем меню «System» -> «Packages» и включаем пакет EoIP.

В итоге мы получим домашнюю сеть на базе устройств MikroTik с созданным EoIP туннелем, который обеспечит связь между двумя удаленными серверами или роутерами.

На этом этапе создания домашней сети мы рассмотрели создание EoIP туннеля на базе устройств MikroTik. В следующих статьях мы продолжим практические настройки и рассмотрим другие возможности и функции этого оборудования.

MikroTik EoIP туннель между статическим и динамическим IP адресами

Метод EoIP (Ether over IP) позволяет создавать виртуальные мостовые соединения между двумя MikroTik роутерами через IP-сети. При этом возможно устанавливать туннельное соединение между статическим и динамическим IP-адресами.

Для настройки EoIP туннеля сначала необходимо создать два таких туннеля — на каждом из роутеров. На роутере, к которому будет подключаться удаленный роутер с динамическим IP-адресом, сделаем следующие настройки:

Шаг 1: Зайдите в меню «Interfaces» > «EoIP Tunnels» и нажмите «+» для создания нового туннеля. В поле «Name» введите имя туннеля (например, tunnel-id0) и задайте номер в поле «Tunnel ID» (например, 1).

Шаг 2: В разделе «Local Address» установите статический IP-адрес роутера, например, 192.168.1.1. В разделе «Remote Address» укажите IP-адрес удаленного роутера (с динамическим IP).

Шаг 3: Включите опцию «Allow Fast Path» и опцию «Allow UAPSD». После этого сохраните настройки, нажав кнопку «OK».

На роутере, который будет подключаться к удаленному роутеру с динамическим IP-адресом, выполните следующие действия:

Шаг 1: Зайдите в меню «Interfaces» > «EoIP Tunnels» и создайте новый туннель, указав имя (tunnel-id1) и номер (1).

Шаг 2: В разделе «Local Address» укажите динамический IP-адрес роутера, например, $ppp_xxxxxx, где xxx — это номер PPP интерфейса, через который подключается роутер.

Шаг 3: В разделе «Remote Address» введите IP-адрес роутера с статическим IP, к которому будет подключаться роутер с динамическим IP-адресом.

Шаг 4: Установите опцию «Disable Running Check», чтобы туннель работал, даже если в сети нет IP-соединения.

Шаг 5: Включите опцию «Allow Fast Path» и опцию «Allow UAPSD». Сохраните настройки.

Теперь, оба туннеля будут подключены и готовы к передаче трафика между удаленными сетями.

Первоначальные настройки

Настройка Mikrotik EoIP туннеля начинается с базовых конфигураций устройств, которые будут участвовать в подключении.

1. Защитите административную часть устройства, изменяя пароль администратора. Для этого откройте Winbox и нажмите на верхнюю панель System. Здесь вы найдете пункт Users, в котором вы можете изменить пароль.

2. Настройка туннеля EoIP начинается с возрастания вкладки Bridge, отображаемой ниже панели меню, на левой стороне скрина в пункте Items.

3. Нажмите на плюсик (+) и добавьте новый элемент (это будет мостовой-bridge) — назначение данного элемента можно сделать сразу после того, как нажмете кнопку OK.

4. Исходя из примера сетевой схемы, у нас есть главный роутер (это первый роутер), а также 2 ортовых порта-это ether1 и ether2;

5. После добавления bridge-bridge, а также между роутером, необходимо добавить элемент хоста (это будет элемент хоста) — эта часть конфигурации откроется автоматически.

6. На элементе Ports кликните на шестеренку и измените протокол на none.

7. Теперь, когда вы создали элемент host-bridge, нужно добавить элемент Interace — это будет интерфейс вашего туннеля EoIP.

8. Нажмите на плюсик (+), на открывшемся окне выберите любой порт, на котором нет никаких других задач и каналов, например порт ether4. По ссылке по умолчанию будет ether4-eoip_1, а ее протокол по умолчанию EoIP.

9. Сделайте так, чтобы ваш порт по умолчанию в режиме Access показано в режиме режиме Vlan или точка-точка — эти опции откроются, если вы подключите к своему хосту другие интерфейсы.

10. В меню элементов выберите EoIP- на открывшейся панели см теку Basic, измените именование вашего интефейса на eoip_tunnel.

11. Выбрав протоколическому режиму по умолчанию- no-encryption, нажмите кнопку Apply.

12. В меню элементов услуг выберите PPTP Client. Сделайте пример протокола настройки интерфейса PPTP — элемент интерфейса pptp client (name= client-vpn).

13. Во вкладке ракетки выберите элемент интерфейса (item-client-vpn). Щелкните на командном пункте и смотрите в устройство. Здесь мы поменяем имя нашего порта по умолчанию. Например, имя клиента: PPTP-Client.

14. Добавьте адрес и посмотрите на интерфейсе протокола при создании протоколов PPTP-client. Сделать это, установив адрес локального сервера VPN. У нас две сети по умолчанию, но это виртуализированные адреса, которые вы не сможете видеть. То есть, во всех, если блок нашего адреса 172.16.0.0/24, no посмотрим, что название клиента протокола не представляет ценности к себе в учетную запись.

15. На вашем маршрутизаторе необходимо сделать канал EoIP. Для этого перейдите в раздел Bridge и выберите туннель EoIP (Bridge-EoIP). Кликните на этот технологический элемент и перейдите во вкладку Bridge и настройте туннель согласно указанным настройкам.

16. Выбрав элемент EoIP — перед этим проверте, как протокол EoIP совместим со всеми элементами друг друга. По заметкам, EoIP-framework сочетается с протоколом Gre. Сэкономьте время на другие протоколы, такие как DNS-load, SSH-load, etc.

17. Настраиваем протокол EoIP — (protocol=GRE, технологический [mode=ipip]). Просто настройте индекс1, в котором будет использоваться данный туннель. Порт в настройках можно Отобразить на следующем технологическом пункте.

18. Протокол EoIP и интерфейс могут работать одновременно и они будут активными. Когда клиент активирует, туннель EoIP будет заблокирован для клиента — это показано на интерфейсе в adapther-порту, который вы хотели просто посмотреть. Блокировка пакетов. Они будут inaktive и смогут быть открыты клиентом или сервисом.

19. Наш туннель должен иметь уникальное имя (name=eoip_tunnel_r2). Также выберите интерфейс по умолчанию.

20. Добавьте маршрут для этих тоннелей-это маршрут через ether4-eoip_2.

21. Проверьте адреса на элементе протокола PPTP, и вы найдете Service — (item-) . Откройте его. Вторая ссылка будет протоколическим (item-pptp) и ее имя клиента (server-winph32). В открытой панели значением этого протокола является xxxxxxx, где это значение стандартное значение «открыть процесс». Выделите активную службу PPTP, и просто приведите ее на последнем окне.

22. Шаги имеют последовательность — иным примером является даст настройку пути- tr, tr указаны на интестинный идр-данных пакетов.

23. Настройка видео-сервера по умолчанию показана на следующем скриншоте. Мы добавляем адресацию подключенного нужного сервера. Нажмите кнопку «Применить» и смотрите, что теперь видны оба пути. Они видны — это пакеты, которые мы разбираем по другому, несмотря на настройку адресов. Конечно, вы можете использовать protocoWDS, но смотря на пропаганду EoIP как не забудьте, что при креа использовании порта VPN для протокола EoIP — он не будет работать или ваш маршрутизатор не будет подключен.

24. Посмотрите настройки пути, посетите групповую конфигурацию адресов и измените их, если они показаны выше. Они не видны на интерфейсе, но если вы хотите просмотреть эти настройки, они будут показаны. В инетфажи между мы делаем разные настройки — значение по умолчанию ether4-eoip_1 и peor-nXxW можно увидеть на интерфейсе на последнего порта.

25. Они показываются на этих интерфейсах, но не на мосту. Это дает возможность каналам и роутеру делать точку-точку через туннель. Настройка моста включает в себя протоколы pptp-client, eoip_1 и pptp-client.

26. Храним защиту и создаем свой фрагмент нашего стороннего поля — этот механизм настройки будет работать также, если клиент и сервер EoIP будут оба вставлены в второй маршрутизатор, и если клиент и сервер EoIP будут оба в первом маршрутизаторе. Мартезин включен и выключен вы можете сделать, но установлен.) Теперь нажмите кнопку «Закрыть».

27. Перед включением Ethernet2-eoip_1 можно маршрутизировать следующим образом. Эффективность моста показана ниже — блокировка не предвещается, данные активны и их можно увидеть. Проверить мосты и маршруты сложно, но еще сложнее добавить линку.

28. Теперь мы настроили пакет и протоколы на этом маршруторе. При неопределенном маршруте маршрута этот мост предоставляет точку возврата клиента и его сервера, EOIP.

29. При полном отсутствии подключений на обоих мостах проходния на машросписыванию – (path-cost=/path junx– 80/ change. 9xEA/x80/no-outing name — iol-veth4+ etc.).

30. Выполнив эти настройки, включите требуемый клиент. Это будет PPTP.Client для клиента либо EoIP-pptp_server — для сервера.

31. Outlet at changes! Regardless of deployment this is how you can assign a user, protocol name or all connections. если вы поднимите VPN, связанные с EoIP, обязательно залейте его на юзера, настройте в AR what endpointy and endpoint-interface endpoint changes you use. Мы уже просмотрели все активности построения, поэтому вкратце на второй маршрутизатор не будем просматривать.  If you have slower speeds, please prioritize EOIP 1,2, use the path-cost 40, message adresse the efficient. Good luck MTСNA .

Настроим PPTP туннель

Настроим PPTP туннель

Для начала, создадим интерфейс PPTP на каждом из наших роутеров. Например, я выбрал интерфейс ether2 для первого роутера и интерфейс ether6 для второго роутера. Задаем на каждом интерфейсе PPTP клиента настройку типа name=pptp_client, connect-to=r_office и профиль prof_ppp_pptp.

Затем нам необходимо прописать настройки IP адресов для интерфейсов PPTP клиента. На первом роутере в настройках интерфейса PPTP клиента выбираем раздел IP и в поле Addresses добавляем новый IP адрес с сетевой маской /24. Повторяем те же действия на втором роутере для интерфейса PPTP клиента.

Далее, создаем мост на каждом из роутеров, который объединяет интерфейс PPTP клиента с интерфейсом локальной сети (в моем случае in-interface=br_lan). На обоих роутерах создаем новый bridge, указываем в настройках bridge вкладки Ports интерфейс PPTP клиента и интерфейс локальной сети.

Настройка моста необходима для передачи пакетов между интерфейсами PPTP клиента и интерфейсом локальной сети. При наличии моста, пакеты, поступающие на один из интерфейсов, автоматически перенаправляются на другой.

Заключительным этапом настройки PPTP туннеля является настройка IP Firewall Filter rules для фильтрации трафика на интерфейсах PPTP клиента.

Для каждого интерфейса br_pptp_sandbox создаем IP Firewall Filter правило, которое задает порядок обработки пакетов и выполняемое действие. Например, можно использовать следующие правила:

  • show, in-interface=br_pptp_sandbox, use-ip-firewall=yes: задаем обработку пакетов, поступающих в интерфейс br_pptp_sandbox.
  • add, chain=forward, action=accept, in-interface=br_pptp_sandbox: разрешаем прохождение пакетов вперед через интерфейс br_pptp_sandbox.
  • add, chain=forward, action=accept, out-interface=br_pptp_sandbox: разрешаем прохождение пакетов назад через интерфейс br_pptp_sandbox.
  • add, chain=forward, action=accept, in-interface=br_lan, out-interface=br_pptp_sandbox: разрешаем прохождение пакетов из локальной сети в интерфейс PPTP клиента.

После завершения всех настроек, туннель PPTP должен быть готов к работе. Транспортные пакеты будут инкапсулированы и посылаться с одного роутера на другой через интернет, используя заданный в настройках PPTP клиента gateway и secret ключ ipsec-secret1pec_key.

Настроим EoIP туннель

Настроим EoIP туннель

Для настройки EoIP туннеля между двумя роутерами воспользуемся протоколом EoIP (Ethernet over IP). EoIP позволяет создавать эмуляцию кабельного соединения между удаленными сетевыми интерфейсами на основе IP-транспорта.

Для начала, на серверной стороне (mik_1) создадим EoIP интерфейс.

  • Воспользуемся командой: /interface eoip add name=eoip_2 remote-address=destination.ip.address tunnel-id=1.
  • Замените destination.ip.address на адрес назначения, к которому будет создаваться туннель.

Настроим параметры интерфейса:

  • Установим значение параметра tunnel-id равным 1.

Далее настроим параметры интерфейса eoip_2:

  • На вкладке General, укажите значение параметра remote-address – адрес удаленного сервера.
  • На вкладке Tunnel ID, укажите значение параметра tunnel-id – 1.

Настроим интерфейс eoip_2:

  • Установим значение параметра tunnel-id равным 1.

На вкладке MTU, проверьте значение параметра MTU – необходимо, чтобы значение MTU на обоих концах туннеля было одинаковым. Обычно это значение равно 1500, но оно может быть изменено в зависимости от оборудования и сетевой конфигурации.

На вкладке Firewall, укажите значение параметра passthroughyes (если у вас на сервере используется openvpn) или no (если нет).

Также укажите значение параметра tcp-mss-changeno (если у вас на сервере используется openvpn) или yes (если нет).

После настройки интерфейса необходимо настроить маршрутизацию:

  • На вкладке Routes, нажмите на кнопку Add и добавьте маршрут на удаленную сеть. Для этого введите значения параметров destination и gateway. Например, destination=192.168.1.0/24 и gateway=192.168.20.2.

Настройка маршрутизации завершена. Теперь данные будут проходить через EoIP туннель и передаваться на удаленную сеть.

Настройка NAT:

  • На вкладке NAT, нажмите на кнопку Add и добавьте правило маскарадинга для интерфейса eoip_2.
  • Введите значение параметра chainsrcnat.
  • Укажите значение параметра out-interfaceeoip_2.
  • На вкладке Action, установите значение параметра actionmasquerade.

Настройка firewall:

  • На вкладке Filter Rules, нажмите на кнопку Add и добавьте правило для пропуска трафика через EoIP туннель.
  • Укажите значение параметра chainforward.
  • Укажите значение параметра actionaccept.
  • На вкладке General, установите значение параметра in-interfaceeoip_2.

Теперь ваш EoIP туннель настроен и готов к использованию. Надеюсь, данная статья помогла вам разобраться в принципе работы EoIP туннелей и настройке их на маршрутизаторе MikroTik.

Боремся с фрагментацией в EoIP туннеле

При работе с EoIP (Ether over IP) туннелем на устройствах MikroTik иногда возникает проблема фрагментации пакетов. Это может произойти из-за различных причин, таких как MTU размер настройки и проблемы с фрагментацией на сетевом уровне.

Для предотвращения фрагментации в EoIP туннеле можно использовать несколько методов:

1. Увеличьте MTU на интерфейсе, через который проходит трафик туннеля. Например, если ваш EoIP туннель находится на интерфейсе ether1, вы можете установить большее значение MTU для этого интерфейса, например:

/interface ethernet set ether1 mtu=1500

2. Настройте фильтр, чтобы разрешить проходить только пакетам, которые не могут быть фрагментированы. Это можно сделать с помощью следующей команды:

/ip firewall filter add chain=forward in-interface=eoip-tunnel-r2 protocol=gre action=accept ipsec-policy=out,none ipsec-info=eoip_1

3. Используйте функцию clamp-tcp-mss для того, чтобы Микротик автоматически изменял значение MSS (Maximum Segment Size) в TCP пакетах. Например:

/ip firewall mangle add chain=forward in-interface=eoip-tunnel-r2 tcp-flags=syn action=change-mss new-mss=1400 tcp-mss=yes

4. Если все вышеперечисленные методы не дают желаемого результата, попробуйте настроить пакетное прохождение (passthrough) на EoIP интерфейсе:

/interface eoip set eoip-tunnel-r2 use-ip-firewall=yes

Теперь вы знаете, как бороться с фрагментацией в EoIP туннеле и обеспечить стабильную работу вашей сети.

PS

Во-первых, перед настройкой туннелей убедитесь в наличии правильно сконфигурированного сетевого оборудования. Проверьте соединение маршрутизаторов, настройте необходимые VLAN-ы, убедитесь, что у вас есть рабочий сетевой кабель и правильно подключены все интерфейсы.

Во-вторых, проверьте, что у вас установлена последняя версия RouterOS. Вы можете проверить его в разделе «Меню» -> «Система» -> «Пакеты». Если у вас есть доступ к официальной странице Mikrotik, проверьте последнюю версию и установите ее.

В-третьих, при настройке туннелей по схеме «both» вы можете использовать разные сети IP для каждого туннеля. В данном примере я использовал сети 192.168.88.0/24 и 192.168.89.0/24 для каждого туннеля соответственно. Убедитесь, что эти сети не конфликтуют с вашей сетью или с любыми другими сетями, с которыми вы можете столкнуться.

В-четвертых, если вам необходимо настроить фильтрацию пакетов, создайте правило фильтрации на основе вашего конкретного случая. В данном примере я использовал правило «accept» для всех пакетов, чтобы показать полную конфигурацию. Но учтите, что правила фильтрации могут различаться в зависимости от ваших потребностей и политики безопасности.

Итак, примите во внимание все вышеперечисленные моменты при настройке туннелей EoIP на вашем маршрутизаторе Mikrotik. Удачи в настройке!

Гаджет Обзор