Рутиране на L2TP в LAN... как?

[niggata]

Здравейте! Имам следната мрежа 10.35.32.0/20 и един главен DHCP сървър, който раздава адреси. Имам и няколко подмрежи в различни vlan-ове, като основния е VLAN 1 и всички адреси се виждат в него. Купихме микротик борд като идеята му е, той да е връзката на външния свят с ресурсите на фирмата. Вдигнах L2TP сървър за целта и сетнах адрес 10.35.35.1 на микротика. В локалния DHCP е изключен рейджа 10.35.35.0/24 и него го назначих като pool във L2TP сървъра. След като маскарирах 10.35.35.0/24 клиентите който са закачени на L2TP-то започнаха да виждат локалната мрежа, но само тази, която е 10.35.32.0 до останалите различни мрежи и услуги няма достъп  Въпроса ми е какви правила трябва да се направят, така че клиентите на L2TP след като получат адрес от локалното пространство, да могат да имат достъп да цялата инфраструктура на фирмата и също така, Е ли възможно хората с техните компютри от локалната мрежа да могат да достъпват директно компютрите на юзерите свързани през L2TP ?

Оптика --> Микротик --> Cisco --> LAN

Ако имате въпроси и неясноти, съм тук да обясня, защото от тези ми обяснения едва ли сте добили ясна картина   

[111111]

За какво ти е това Дриско щом не ти отговаря на рутинг заявките?

[niggata]

цялата инфраструктура е изградена със сиско рутери, а микротика е само за да клати vpn. Предполагам, че нещо по настройките му не съм направил като хората. Възможна ли е изобщо цялата тази концепция да раздавам на L2TP интерфейсите IP-та, които са от вътрешната мрежа на сиско и те да се виждат отвсякъде? Все пак LAN интерфейса на микротика е с 10.35.35.1 и предполагам всички L2TP клиенти излизат през него и са под това общо IP. Сигурно е нещо елементарно, но не се сещам как да го направя и затова ви пиша за помощ и идеи

[111111]

Взимаш си лаптопа и физически се закачаш в тази мрежа.

[JohnTRIVOLTA]

Имаш ли път в борда за дестинация 10.35.32.0/20 през кой адрес/на цицкото/ да я търси ?

Редактирано 13 Август, 2018 от JohnTRIVOLTA

[niggata]

Ами микротика го е създал динамично интерфейса е този на който е вързано сиското, pref.source е IP-то на микротика на този интерфейс и дистанса е 0. Да го създам ли статично с дистанс 1 ?

[111111]

И кой е по високия приоритет в случая?

[JohnTRIVOLTA]

Преди 22 часа, niggata написа:

Ами микротика го е създал динамично интерфейса е този на който е вързано сиското, pref.source е IP-то на микротика на този интерфейс и дистанса е 0. Да го създам ли статично с дистанс 1 ?

Я виж по-добре този динамичен път за директно свързан интерфейс,че е с преф адреса на интерфейса ти на микротика !.... добави път за мрежата 10.35.32.0/20 с гейт адреса на цицкото !

Редактирано 14 Август, 2018 от JohnTRIVOLTA

[niggata]

опитах съветите ви, но нещо тотално се оплетох из тези рутираници. Качвам снимки на състоянието към момента. Сиското през флуките ми отговаря с IP 192.168.37.13 и съм сложил 192.168.37.84 на микротика. L2TP клиентите ми взимат адреси 10.35.35.0/24 като 10.35.35.250 го назначих на микротика. ether2 е интерфейса, който е вързан към сиското. Не мога да разбера в микротика ли нещо не съм направил или нещо някъде по трасето от тези сиско дръгели не е както трябва... :/

1.bmp

2.bmp

[111111]

Ако така обучават да се ползва Дриско трябва да разстрелят преподавателите-кожодери.

Това 10.35.35.250 от къде си го изсмука не разбрах.

Какво става като си сложиш лаптопа в таз мрежа 192.168.37.0/хх?

Научи се да ползваш разни сайтове като https://pasteboard.co и не се излагай с BMP RAW формати

[JohnTRIVOLTA]

Преди 4 часа, niggata написа:

опитах съветите ви, но нещо тотално се оплетох из тези рутираници. Качвам снимки на състоянието към момента. Сиското през флуките ми отговаря с IP 192.168.37.13 и съм сложил 192.168.37.84 на микротика. L2TP клиентите ми взимат адреси 10.35.35.0/24 като 10.35.35.250 го назначих на микротика. ether2 е интерфейса, който е вързан към сиското. Не мога да разбера в микротика ли нещо не съм направил или нещо някъде по трасето от тези сиско дръгели не е както трябва...

1.bmp

2.bmp

Вече подразбрах сякаш за какво иде реч, надявам се. Щом си назначил адрес с 20 битова маска не ти трябва този път. Ако искаш да имаш достъп и до мрежите 192.168.37.0/24 и 192.168.88.0/24 от нея то добави съответните правила за forward във филтъра:

/ip fi fi 

add chain=forward src-address=192.168.37.0/24 dst-address=10.35.32.0/20
add chain=forward src-address=10.35.32.0/20 dst-address=192.168.37.0/24
add chain=forward src-address=192.168.88.0/24 dst-address=10.35.32.0/20
add chain=forward src-address=10.35.32.0/20 dst-address=192.168.88.0/24

Правилата да са преди дроп правилата в преминаващата верига

[111111]

По лесно е да се казва кой рутер да управлява рутингите
 

/ip route
add comment=r_office_12 distance=2 dst-address=172.16.90.0/24 gateway=172.16.90.14

така може да се рутира през мрежа,

двупосочно със съответните правила.