23T42 Tunelowanie Warstwy Drugiej na Mikrotiku [Konfiguracja Mikrotik]

Więcej miejsc do posłuchania:

Spotify

0:00 Wprowadzenie

1:03 Topologia

1:43 Konfiguracja Bridge

10:40 Profil Urządzenia

15:12 Podsumowanie

Transkrypcja

Cześć. W poprzednim materiale zajęliśmy się konfiguracją tuneli pomiędzy lokalizacjami a dzisiaj w zasadzie nie wiem jak określić to czym będziemy się zajmować. Poznałem to pod nazwą tunelowanie L2 czyli tunelowanie warstwy drugiej ale mi bardziej pasuje określenie tunelowanie Bridge a w internetach można się natknąć na określenie VPN Bridge. Ogólnie chodzi o to aby urządzenia za oboma końcami tunelu zachowywały się tak jakby były w jednej sieci fizycznej. Skutkuje to tym iż w sieci mamy jeden serwer DHCP, jeden serwer DNS i jedną bramę domyślną. Fajnie? Zrobi się jeszcze fajniej jak skonfigurujemy to połączenie tak żeby było po WANie a w drugiej opcji zasymulujemy to połączenie tak, aby wykorzystać koncentrator VPN. Przypomina wam to coś? Nie? To zaraz zacznie.

Cały czas będziemy opierać się na topologii z poprzedniego materiału z tą różnicą, że po stronie routera a w LANie adresy już nie będą przydzielane przez ten router tylko wszystko będzie, cała sieć będzie, czy też adresy będą przydzielane z sieci którą administruje router B. W tym celu będziemy musieli skonfigurować Bridge na obu urządzeniach i przypisać właściwe adresacje.

Przechodzimy zatem do naszych routerów i może zaczniemy od konfiguracji Bridge czyli robimy Bridge na każdym urządzeniu. Tu Bridge… i tu Bridge. I w tym Bridge zaraz dodamy sobie konkretne porty i teraz zajmiemy się DHCP. Jedno DHCP będzie po stronie B, tak. Czyli patrzymy sobie mam pulę. Pulę mam już wcześniej przygotowaną. Patrzymy sobie w Networki. Czyli robimy Network 10.0.13.0/24 Gdzie Gateway będzie 10.0.13.1 Powiedzmy że DNS serwery będą 8.8.4.4 Apply.

Mamy pulę, mam networki. Jeszcze pozostał nam adres do dodania. Dodajemy adres 10.0.13.1/24 sieć 10.0.13.0 na Bridge. Ok i do tego przypisujemy serwer DHCP. Czyli tworzymy DHCP… Na Bridge… Powiedzmy zamieńmy to sobie nie na 10 minut tylko godzinę 10 minut. Z puli jaką mam wyznaczoną. Ok. Czekamy teraz chwilę aż pojawi się nasz komputer w LANie. Natomiast przed tym musimy jeszcze dodać nasz port 2. Apply, Ok i czekamy na zgłoszenie się pierwszego klienta do naszego serwera. Już jest, wskoczył. Jest tak samo poprzednio pod 10.

Teraz robimy podobną konfigurację z drugiej strony z tą różnicą, że Do Bridge oczywiście przypisujemy port 2. Ok ale nie możemy tutaj stanowić żadnego DHCP serwera ponieważ DHCP serwerem ma być w naszym przypadku router B. W takim razie myślę, że możemy zabierać się… Tu mamy wszystko Ok. Zostawimy sobie Leases i zostawimysobie Bridge, porty Bridge. myślę że w takim razie możemy konfigurować połączenie EoIP. Wchodzimy w interfejs z i drugiej strony. Klikamy plusikiem, zostawiamy nazwę powiedzmy Default’ową i wpisujemy lokalny adres . Lokalny adres to będzie 192.168.12.2 czyli nasz WAN i WAN po stronie routera B 168.13.2 Tutaj musimy pamiętać żeby to Tunnel ID było takie samo po obu stronach. Tutaj wprowadźmy sobie jedyneczkę. Jeżeli chcemy skorzystać z dodatkowo IPSec to musimy wyłączyć Fast Path i wprowadzić hasło. Apply.

Teraz robimy to po drugiej stronie. Tutaj nazwa bez zmian. Local Address to jest 192.168.13.2 Druga strona tunelu to jest 12.2 Tunnel ID 1 Hasło od 1 do 8. Ok i tu już się powinien tunel zestawić. Natomiast jak widzimy nic nam się tutaj nie zarejestrowało. Jeszcze DHCP ponieważ teraz po obu stronach tunelu na każdym z routerów musimy do Bridge dodać sobie port EoIP. Stworzył nam się interfejs i ten Interfejs musimy dodać do Bridge żeby to zadziałało. Natomiast wcześniej ja chciałbym żeby w tej naszej sieci ten router był zaadresowany statycznie pod adresem 10.0.13 Skoro ten jest pod jedynką zaadresowany to tego chcemy żeby był pod dwójką. W networku 10.0.13.0 na interfejsie EOiP. I jeżeli to zrobimy to teraz myślę, że możemy śmiało dodawać nasz tunel EOiP do Bridge.

Czyli tu dodajemy tunel EOiP, tu dodajemy tunel. Tu dodajemy tunel EOiP, Apply, Ok i czekamy aż na naszym serwerze pojawi się drugie urządzenie, które będzie podpięte do routera A. I właśnie widzimy wskoczyło nowe urządzenie, które znajduje się de facto po stronie A. Spróbuj zatem z tego urządzenia B. Czyli tego komputera po stronie LAN spróbujmy spingować tą ósemeczkę i tak jak widzimy wszystko się udało. Wracamy jeszcze do routerów żeby rzeczywiście zobaczyć czy to urządzenie jest podłączone.

Mamy tutaj zarejestrowanego Maca 78 z końcówką D0 i patrzymy na Bridge w hostach tutaj możemy filtrowanie wyłączyć, że na ethernecie drugim po stronie A rzeczywiście jest taki komputer z takim MAC. Czyli nasze połączenie EOiP jak najbardziej działa. Mamy jeden serwer DHCP, jeden serwer DNS i jedną bramę.

Teraz potrzebuję chwilę żeby przywrócić router do… czy też routery do ustawień początkowych żebyśmy mogli wykonać drugą opcję czyli zasymulować istnienie w sieci koncentratora VPN i koncentratorem VPN podłączyć się, w taki sam sposób stworzyć sobie jedną sieć i mieć to oczywiście skoncentrowane wszystko w jednym miejscu. Zaraz wracam.

Routery przywrócone już do ustawień początkowych. Oczywiście już nie nie kasowałem tego ustawienia na routerze B jako serwera DHCP. Natomiast musimy wrócić do niego żeby skonfigurować jeszcze jedną rzecz. Mamy oczywiście DHCP serwer, jest nasz komputer z którego zawsze staramy się pingować na drugą stronę. Teraz musimy stworzyć w zakładce PPP profil dla urządzenia, które będzie się do nas podłączać i przechodzimy do profili. Wklejamy profil, który będzie się nazywać po prostu powiedzmy L2 i tutaj musimy zrobić, dodać tego Bridge jako Bridge i lokal adres wpisać 10.0.13.1

Żeby druga strona wiedziała jaki jest nasz lokalny adres i tutaj wybieramy sobie jeszcze na protokołach: Use Encryption – yes. Klikamy Apply i teraz tworzymy użytkownika czy też nazwę i hasło dla użytkownika żeby ten użytkownik mógł się do nas wdzwonić czyli tak samo jak poprzednio nazywamy go A, tworzymy hasło od 1 do 8. Przez serwis tym razem SSTP i wskazujemy mu ten profil L2 żeby wiedział, że po drugiej stronie ma Bridge z którego ma brać konfigurację
sieci. Ok i teraz przeskakuj na drugą stronę.

Na drugiej stronie robimy rzecz podobną. Najpierw konfigurujemy sobie Bridge. Tutaj go usunęli… a nie, nie usunęliśmy Bridge z portem 2 bo pod port 2 podłączony jest nasz ten komputer na który zawsze się dostajemy. Natomiast musimy tak samo skonfigurować profil i tu też sobie nazwijmy go profil L2 jako tunelowanie warstwy drugiej, dajmy żeby używać Bridge i tak samo jak w tamtym przypadku użyj szyfrowania.

Teraz żeby podłączyć się do naszego routera B musimy uruchomić oczywiście SSTP serwer. Ok i z drugiej strony musimy uruchomić klienta ale wprowadzić najpierw w interfejsy klienta, tak. czyli niech to się nam nazywa sstp-out1 na zakładce Dial musimy wprowadzić adres WANowy naszego serwera czyli 192.168.13.2

Zostawiamy port bez zmian, certyfikat i tak dalej natomiast wprowadzamy nazwę użytkownika i hasło, które stworzyliśmy a także profil L2 żeby połączył nam te Bridge ze sobą i opcjonalnie możemy dodać żeby dodał nam trasę domyślną. Ok i widzimy, że tu się coś pojawiło Active Connection z adresu 12.2 czyli adres WANowy naszego routera A i teraz czekamy aż tu pojawi nam się kolejne urządzenie i tak jak poprzednio już tu mamy nowe urządzenie. Oczywiście zarejestrowało się pod takim samym adresem IP no bo to jest ten sam DHCP serwer co w tamtym przypadku. I możemy spróbować je spingować znowu. I pingi lecą więc wszystko działa tak jak działać powinno. Możemy jeszcze tak dla potwierdzenia spróbować dostać się się na pulpit zdalny i tutaj było hasło…

Mam nadzieje że dobre i dobre zgłosiło nam się coś i jesteśmy na drugim
komputerze, który jest po stronie routera. A czy teraz bardziej wam coś to przypomina? Mam nadzieję że tak. Mi osobiście przy wykorzystaniu Mikrotika w chmurze czyli CHRa i skonfigurowaniu do niego dwóch lub więcej tuneli otrzymujemy to samo co z pomocą ZeroTier. Różnica polega na tym, że nasz koncentrator możemy umieścić gdzie tylko chcemy w dowolnej infrastrukturze. A to przyznacie sami otwiera nowe horyzonty. Prawda? Do zobaczenia wkrótce.