fbpx

Mikor Data Center w 7 krokach – cz. 2 (konfiguracja Mikrotik)

Dzisiejszy artykuł to druga część tematu tworzenia mini data center. Zajmę się w nim konfigurowaniem tuneli wireguardowych pomiędzy dwoma lokalizacjami a centralnym data center.

Tunele będę tworzył parami – z każdej lokalizacji do każdego routera w data center. Na każdym z mikrotików muszę dodać też odpowiednie osobne interfejsy – w przyszłości mam tu zaplanowanego OSPFa i dynamiczne kierowanie ścieżkami.

Topologia sieci i zaznaczone tunele wireguardowe do utworzenia

Gdyby nie ten aspekt, to można by tu wykorzystać peery i jeden interfejs dla różnych sieci. Należało by wówczas wpisać w peerach odpowiednie adresy na sztywno.

Przykładowy zapis w zakładce WireGuard – Peers: dopuszczalne adresy

Ja jednak chcę skorzystać z innej opcji – chcę, żeby na przykład, w przypadku awarii, moja sieć w sposób dynamiczny dostosowała ścieżkę dla pakietów. Stąd też konieczność stworzenia odrębnych interfejsów wireguardowych na potrzeby każdego z tuneli.

Tworzenie interfejsów wireguarda

Po kolei, na poszczególnych mikrotikach, będę dodawał po dwa interfejsy.

Dodanie nowego interfejsu

Rozpocznę od MT1-DC-DMZ, gdzie stworzę dwa interfejsy pod wireguarda – jeden prowadzący do MT1-Campus, drugi do MT2-Campus.

MT1-DC-DMZ – nowo dodane interfejsy

Tutaj zwracam uwagę na przypisywanie do nich różnych portów – nie mogą być oba na tym samym porcie nasłuchującym.
Dla ułatwienia można sobie przyjąć na przykład końcówki numerów portów takie, jakie są końcówki numerów IP, np. dla MT1-DC-DMZ z adresem 10.255.255.5/30 wybieram port 13235.

Zmiana portu na interfejsie WG-MT1-Campus-MT1-DC-DMZ

Analogicznie na MT2-DC-DMZ tworzę dwa interfejsy– jeden dla MT1-Campus, drugi dla MT2-Campus.

MT2-DC-DMZ – nowo dodane interfejsy

I takie same działania na MT1-Campus oraz MT2-Campus.

MT1-Campus – nowo dodane interfejsy
MT2-Campus – nowo dodane interfejsy

Nadanie adresacji IP

Zająłem się już wcześniej rozplanowywaniem adresów (przyjąłem maskę 30 bitów), dlatego poniżej pokazuję na schemacie, jak będzie to wyglądać:

Plan adresów IP

I tak jak poprzednio, po kolei dodaję adresację na wszystkich mikrotikach.

Zwyczajowo już, zacznę od MT1-DC-DMZ.

MT1-DC-DMZ: nowo dodane adresy IP dla MT1-Campus i MT2-Campus

W kolejce czeka już MT2-DC-DMZ. Tutaj działam podobnie.

MT2-DC-DMZ: nowo dodane adresy IP dla MT1-Campus i MT2-Campus

Zostały jeszcze dwa ostatnie mikrotiki – MT1-Campus i MT2 Campus

MT1-Campus: nowo dodane adresy IP dla MT1-DC-DMZ i MT2-DC-DMZ
MT2-Campus: nowo dodane adresy IP dla MT1-DC-DMZ i MT2-DC-DMZ

Dodanie kluczy publicznych i przypisanie peers

Kolejnym krokiem jest dodanie kluczy publicznych. Dodając nowego peera musimy podać: który interface, a następnie wpisać Public Key, Endpoint, port, Allowed Address.

Powyższe kroki muszę wykonać na wszystkich mikrotikach po kolei dla każdego z wireguardowych interfejsów.

W efekcie otrzymujemy wpisy, jak poniżej:

MT1-DC-DMZ – peers
MT2-DC-DMZ – peers
MT1-Campus – peers
MT2-Campus – peers

Sprawdzenie, czyli pingujemy…

Jak to zazwyczaj bywa, tak i tu na koniec sprawdzam, czy wszystko działa poprawnie.

Zapinguję więc z MT1-DC-DMZ na adresy z końcówkami 5, 6, 17 i 18.

Poprawne pingowanie z MT1-DC-DMZ

I podobnie sprawdzam z MT2-DMC-DMZ – tym razem adresy z końcówkami 9, 10, 13 i 14.

Poprawne pingowanie z MT2-DC-DMZ

Na tym etapie zatrzymam dzisiejszą pracę – kontynuacja w kolejnym artykule.

Jeśli interesuje Cię jak krok po kroku przebiegały wyżej opisane prace, zapraszam do filmu na YouTube z takiej konfiguracji: 22T46 7 Kroków Utworzenia Mikro Data Center [konfiguracja MikroTik] cz.2.

Zachęcam również do wysłuchania podkastu na temat Projektowania Podłączenia Data Center.


Kliknij w obrazek, aby przejść do zapisu na warsztaty

Autor: Darek Koralewski

Od początku swojej kariery, czyli od 2004 roku, zajmuję się sieciami komputerowymi ze szczególnym uwzględnieniem ich bezpieczeństwa oraz sieciami programowalnymi. Mam na swoim koncie całą listę certyfikatów różnych producentów, dwa najważniejsze to te poświadczające najwyższy poziom wiedzy eksperckiej z zakresu rozwiązań Aruba ClearPass ACCX#901 oraz z projektowania sieci opartych o rozwiązania Aruba ACDX#1255. Więcej informacji możesz znaleźć na moich portalach społecznościowych.