Препоръка за настройка на връзка между 2 микротика

[tester]

Здравейте!

Устройствата са:

1. клиент: hAP ac^2

реален IP: 213.91.201.140 - Виваком

вътрешна мрежа: 192.168.1.1/24

2. сървър: RB2011UiAS-2HnD

реален IP: 79.134.59.209

вътрешна мрежа: 192.168.2.1/24

сървър с база данни: 192.168.2.200

Идеята е няколко компютъра зад клиентския рутер да достъпват базата данни firebird и (споделена папка) на сървъра 192.168.2.220, който е от другата страна, като само заявките към този IP адрес да минават през VPN-а, а останалия интернет трафик да си минава през локалния доставчик (Виваком)

Не знам кой вариант да използвам EoIP тунел, GRE тунел, L2TP клиент или друг вариант за реализация?

Другото неясно е как да рутирам само трафика, който е за базата и сървъра 192.168.2.220 през тунела?

Редактирано 9 Януари, 2023 от tester

[JohnTRIVOLTA]

Понеже имаш два публични адреса и ако би трябвало да е криптирана връзката аз лично бих ползвал най-простия начин с EoIP/IPSec тунел между двата публични адреса, като ще рутирам с нат през тунела заявките към сървъра с база данни. Естествено има и други хубави начини , като L2TP/IPSEC, OpenVPN, SSTP и т.н., но трябва да се знае , че втория рутер /RB2011UiAS-2HnD/ е MIPSBE базиран, стара платформа, която е със софтуерно криптиране и има слаб пърформънс - около 15Mb/ps. В случая PPtP и Wireguard биха могли да докарат повече ~50Mb/ps !

Редактирано 9 Януари, 2023 от JohnTRIVOLTA

[tester]

Благодаря JohnTRIVOLTA!

До колкото разбирам PPtP и Wireguard е по-добрия вариант за скорост, но Wireguard не го намирам в RouteOS v.6 така, че варианта е EoIP/IPSec тунела. Може ли и малко помощ за настройката на рутирането само на пакетите към сървъра и обратно през тунела?

[JohnTRIVOLTA]

преди 17 минути, tester написа:

... Wireguard не го намирам в RouteOS v.6 така, че варианта е EoIP/IPSec тунела. Може ли и малко помощ за настройката на рутирането само на пакетите към сървъра и обратно през тунела?

В 7ма версия е Wireguard. Слагат се адреси на интерфейса на тунела от пример 10.1.1.1/30 за рутера с лан 192.168.1.0 и 10.1.1.2/30 за рутера с лан 192.168.2.0. Добавя се път в рутер 1 че мрежа 192.168.2.0 се намира през 10.1.1.2 и се добавя снат правило за заявките с назначение 192.168.2.200 да се натват на изход с 10.1.1.1.

Ако пък искаш може да се направи пълен достъп на 1ва до 2ра мрежа и обратно!

[tester]

Благодаря за насоките JohnTRIVOLTA. Прочетох и разгледах предимствата на Wireguard и ще ъпгрейдна до 7-ма версия. Само не ми стана ясно за какво ще се ползва PPtP-то след като се настрои Wireguard тунела?

[JohnTRIVOLTA]

Не са заедно, един от тях си избираш, просто  двата тунела с еднакъв пърформънс!

Редактирано 10 Януари, 2023 от JohnTRIVOLTA

[tester]

направих тунела и достъпих споделена папка на сървъра 192.168.220 от РС с адрес 192.168.1.3. Проблема е, че при копиране на файл 172MB скоростта е 355KB/s, което е доста по-ниско от ~50Mb/ps

[JohnTRIVOLTA]

Преди 2 часа, tester написа:

направих тунела и достъпих споделена папка на сървъра 192.168.220 от РС с адрес 192.168.1.3. Проблема е, че при копиране на файл 172MB скоростта е 355KB/s, което е доста по-ниско от ~50Mb/ps

Е ние все пак не знаем какви планове на интернет има в двата края, но предполагам си на доксис в единия   Друго което влияе е конфигурацията на рутера - колкото повече правила има, толкова повече ресурс вчерпи от CPU респективно пада пърформънса ... това важи основно за стари архиктектури , като MIPSBE !

Редактирано 11 Януари, 2023 от JohnTRIVOLTA

[tester]

Благодаря JohnTRIVOLTA. Скоростите са 70-80Мbit, но се оказа, че съм направил едно Queues правило на 3Мbit по реалното IP на отсрещната страна и познай дали не е от него . Ама го бях забравил.

[JohnTRIVOLTA]

преди 3 минути, tester написа:

Благодаря JohnTRIVOLTA. Скоростите са 70-80Мbit, но се оказа, че съм направил едно Queues правило на 3Мbit по реалното IP на отсрещната страна и познай дали не е от него . Ама го бях забравил.

Случва се. Важното е бързо да се намери "виновника"

[robko01]

Здравейте,

Бих искал да продължим темата.

Разполагам с 951 и 2011.

2011 рутера е реален статичен адрес, който е публичен.

951 е друга машина и разполага само с достъп до интернет, без да има реален адрес, над който имам права.

Това, което успях да постигна е да настроя WireGuard тунел между двете машини. НО не успях да рутирам трафик от 951 машината да си говори с устройства зада 2011 машината и обратно. 2011 го игра WG сървър. 951 го играе WG клиент.

Можете ли да ми помогнете с рутирането, защото не се справям?

Поздрави.

[JohnTRIVOLTA]

Здравейте, няма нищо сложно в това ви начинание! Добавяте във всеки борд път към съответната локална мрежа с гейт съответния IP адрес на WG при борда пример: Ако Router1 има локална мрежа 192.168.1.0/24 с адрес на WG 10.0.0.1, a Router2 има локална мрежа 192.168.2.0/24 и с IP адрес на WG 10.0.0.2 то добавяте в Router1 следния път

ip/route/add dst-address=192.168.2.0/24 gateway=10.0.0.2

A във Router2

ip/route/add dst-address=192.168.1.0/24 gateway=10.0.0.1

 

[robko01]

Благодаря!

Моля не затваряйте още темата, за да мога да извърша теста. И да споделя резултатаи.

Поздрави.

[robko01]

Здравейте,

Това което не мога да си обясня е, възможно ли е интерфейста wireguard1 да има един адрес и мрежата да е различна от него, като порядък?

Пример:

Address: 10.0.0.1

Network: 192.168.88.0/24

Interface: wireguard1

Поздрави

[Самуил Арсов]

Въпроса ти е неправилно зададен но ако имаш впредвид "вътрешния" адрес на тунела от твоя страна 10.0.0.2 и от другата 10.0.0.1 през който рутираш мрежа 192.168.88.0/24 коятосе намира зад другия рутер не само, че е възможно а така трябва да бъде.

редактирано: погледнах нагоре какво си писал, тези устройства са малко слабички за wireguard освен ако трафика не ти е малко, погледни този линк https://itservice-bg.net/wireguard/#Как-да-конфигурирате-WireGuard-в-MikroTik-?              с реален пример е