Помощ за организиране на мрежа с mikrotik

[mIRCata]

В къщи, при брат ми, при тъщата и на село + един за travel router се ползват микротици за домашни рутери.

Всеки си има зад него Х устройства, wifi мрежи - както е нормално за домашни устройства.

Искам да направя следното - всичките микротици да ги вкарам в обща мрежа, но да си имат техни независими сегменти. В смисъл всеки рутер да се грижи за устройствата зад него, а не адресите да идват от едно общо място. Че ако централното място спре нета всички да спрат.

Искам го за да може да достъпвам компютрите в тази мрежа по локалните им ип-та през remote desktop и разни други услуги бучнати тук там.
Отделно сега ползвам следното - на микротиците съм направил връзка към VPN-те на моя офис и на жената, та при нужда отново с РД се връзваме и работим, като съм направил трафика само за мрежите на офисите да се рутират към VPN интерфейсите и така трафика не минава целия през дадения офис и по компютрите не се инсталира нищо допълнително или да сменя мрежата постоянно.

Това искам да си го запазя.

 

За VPN връзка май ще трябва L2TP/IPSec - едно, че някои рутери имат хардуерна поддръжка, друго - на единия рутер(моя) порт 443 го пренасочвам към машина в мрежата където си правя експерименти с докер и хостване на сайтове. Та OpenVPN на 443 за да не го филтрират не мисля че ще може да се ползва. А искам моя рутер да е водещия.

 

Не знам дали стана ясно много, още не мога да го формулирам правилно - кофти знам.

Дайте идеи как да го организирам това нещо.

 

Дали да е нещо от сорта всички са в мрежа 10.10.х.х, а всеки рутер локално да си има собствена мрежа от типа 192.168.х.0/24

И когато съм на компютър 192.168.10.5 примерно да мога с РД да отворя директно 192.168.20.13 да речем.

 

Или всички да са само в една голяма мрежа, но нещо с DHCP настройките да се бъзикам от къде да идват IP адресите, така, че да няма проблеми при отпадане на свързаност с нещо?

Търся нещо, което лесно се конфигурира, та ако случайно добавя нова мрежа - примерно на друго място, да избегна да се минава през всичките рутери, че да им се добави правило - заявки към този рейндж прекарай и тях през впн-а. В момента съм разписал правила заявки към еди кояси мрежа прекарай през еди кой си VPN интерфейс. Ама е досадно да се прави на всякъде при добавяне на нова подмрежа

Ако не може, не може, ще конфигуирам. То не, че ще е нещо където я се случи, я не, но все пак да спестя работа

 

[Godfather]

Миро, нещо много объркващо ми звучи това. Значи не съм ползвал железата на Микротик (все още, поръчал съм едно жеУезо да видим кога ще ми го доставят), но има няколко неща, на които искам да ти обърна внимание и за които явно се бъркаш.

Първо, за VPN връзката, дето трябва да е L2TP/IPSec - това не е точно така. Аргумента, който си изтъкнал, че имаш един от възлите, който пренасочва входящ порт 443 не е причина за изключване на OpenVPN, защото това е само една от точките, в която имаш този "проблем". По принцип, ако искаш да вържеш всички точки в една мрежа, трябва една от точките да е сървър, а всички други да са клиенти. Тогава ако сървъра не е в тази точка, в която пренасочваш порт 443, то при въпросния възел с пренасочването инициализирането на връзката ще е изходяща, демек това входящо пренасочване на порт 443 няма да те бърка по никакъв начин.

Второ, L2TP/IPSec е още по-лесно да бъде блокиран от потенциални файъруоли, отколкото OpenVPN та не виждам причина това да е аргумент в полза на L2TP/IPSec.

Трето, за да обединиш всичко в една мрежа (с общ DHCP сървър и прочие Layer 2 пинизи), най-лесния начин е именно OpenVPN, конфугуриран в TAP mode (не в TUN). TAP режима играе ролята на мрежов бридж и всичко от Layer 2 нагоре се шерва между свързаните точки. Това е нож с две остриета, защото първо трафика е гигантски и второ, може да имаш сериозни проблеми с биещи се DHCP-та и прочие сървъри (ако си забравил нещо такова, което да се дублира в общата мрежа).

[ARPAnet]

Openvpn може да бъде пуснат на друг порт, просто си харесай някой който ти се струва "труден" за блокиране, пусни го на порт 23 примерно  Та нещото което можеш да направиш ако си съгласен да имаш централен ВПН сървър е всичките да се свързват към твоят домашен примерно през Openvpn. В openvpn–а разреши комуникацията м/у клиентите. Съответно раздай ИП-та от 10.10.10.0/24 на всички рутери във впна. 

След което имаш 2 опции, според желанието ти. В централният ти ВПН може да добавиш статични руутове към всеки от другите(в опенвпн конфа). Примерно 

route 192.168.10.0 255.255.255.0 10.10.10.1
route 192.168.20.0 255.255.255.0 10.10.10.2
route 192.168.30.0 255.255.255.0 10.10.10.3

Така всеки би трябвало да има всички руутове в рутинг таблицата си, и след това е въпрос на firewall правила да си пуснеш трафика. Тъй като ще е в рутинг таблицата, няма нужда от натове.

Вторият вариант е да си харесаш рутинг протокол, примерно BGP. Всеки по отделно да е neighbor с твоят домашен и да advertise–ват ЛАН-овете си към него, За по-лесно им раздай различни AS-и за да имаме ebgp. 

Всеки рутер ще има в рутинг таблицата си пътче за другите ЛАН-ове. Увери се, че не рекламираш default routes в мрежата или директно сложи филтър за тях, за да не тунелнеш целият трафик през впн-а за някого

След което отново е малко игра с firewall–а да разрешиш кой къде може да ходи.

Примерно за да избегнеш опасност от лесно разпространение на вируси, може да разрешиш само на твоята машина да стига до другите, но това са детайли за след като тръгне рутинга и мрежата

По този начин всеки микроик ще си е DHCP и т.н. за своят лан и просто ще се срещат на твоят домашен ВПН за комуникация м/у мрежите. 

Неприятното е ако спре твоят домашен нет - мрежата пада, но предполагам, че тогава ще имаш друг проблем

Edited August 17, 2022 by ARPAnet

[ARPAnet]

Има и по-интересни ВПН-и които ще ти помогнат да избегнеш централният нод

ZeroTier – Global Area Networking виждам, че вече е достъпен и за Микротик . Екстрата тук е, че на практика ще имаш full mesh. Zerotier помага за създаването на директни тунели м/у нодовете, ако това не е възможно то трафика минава през техните "луни". Може да добавяш статичните руутове директно в портала им към лановете на другите нодове, тези руутове ще бъдат дистрибютнати към нодовете ти и след това на самите микротици остава да разрешиш съответните трафици, от Лан към Лан. Честно казано не съм ги пипал от доста време, но като гледам два от нодовете ми са все още онлайн. Наистина стабилно туулче.

 

 

 

[mIRCata]

Аз казах, че кофти го обясних понеже не съм наясно с материята и не мога да го формулирам хубаво.

Знам, че за VPN един рутер ще е централния, към който всички други рутери ще се връзват за общата мрежа и ако той умре, те няма да имат връзка една с друга.

 

Чудя се възможно ли е да имам сегашните няколко локални мрежи

Примерно

в къщи 192.168.10.х/24

брат ми 192.168.20.х/24

тъщата 192.168.30.х/24

къща 1 192.168.40.х/24

къща 2 192.168.50.х/24

Като всеки рутер  да раздава на свързаните към него устройства адреси от тези рейнджове.

 

На част от тези рутери има VPN клиенти, за да може да работим от вкъщи на компютрите в офисите - моя и на жена ми.

Само трафика към тези вътрешни мрежи да се пренасочи към VPN интерфейса, другия трафик си минава през нормалния WAN (сега така съм направил в къщи с връзката към двата офиса). Ако искам да отворя примерно bulforum - трафика е през WAN и си ползва моя нет за тези неща. Не минава целия трафик през vpn съответно нета на някой от двата офиса.

 

Всички рутери да се връзват в обща мрежа, така, че устройствата да са достъпни едно с друго в различните мрежи по локалните си адреси. Да речем от моя комп който е примерно 192.168.20.5 да се вържа към 192.168.30.10 - като тази връзка ще мине през VPN. Отварянето насайт или олзването на друго нещо в нета да си минава през нормалния WAN.

Но отпадането на който и да е подаради липса на нет, няма да спре да си раздават локалните ИП-та, да има ЛАН.  Ясно е, че ако умре централния рутер - няма да има VPN мрежа. Но другите ще си работят и нета ще върви, просто няма да имат връзка едната мрежа с другата.

Рутирането се усложнява малко, защото има нужда достъпа до няколко мрежи или поне конкретни ип-та да се пренасочва към други VPN-и - тези за работа с нашите офиси - на жената и моя.

 

И просто като добавя нова мрежа - да речем къща 3 - да не минавам през всички рутери да им описвам - сега ако има заявки към 60.х/24 и това пренасочете към VPN.

Сега се замислям ако имам правило всичко за 192.168.х.х/16 да ползва VPN дали няма да стане?

 

 

4 hours ago, Godfather said:

Трето, за да обединиш всичко в една мрежа (с общ DHCP сървър и прочие Layer 2 пинизи)

Точно това искам да избегна - щото като умре центъра умира всичко. Искам всеки да си раздава неговите си.

 

1 hour ago, ARPAnet said:

Openvpn може да бъде пуснат на друг порт

Да, знам .Просто 443 е с най-нисък шанс да бъде филтриран

Пренасочването на 443 към вътрешна машина е точно на централния рутер. В момента входящ трафик по 443 и 80 се пренасочва към моя комп. Затова пускане на OpenVPN на 443( с цел максимално избягване на филтриране ) няма да се получи мисля.

 

[netrootbg]

Не ти пречи на единият от рутерите vpn порта да е различен. На всички можеш да ползваш 443, само твоят да е друг. Друг момент който ми хрумва е дали да не направиш vpn между всичките точки + рутиране. Всеки рутер да си вдига връзката към 2 точки. Така обаче става ring топология. От друга страна ти отпада централна точка.

[ARPAnet]

1 hour ago, mIRCata said:

Аз казах, че кофти го обясних понеже не съм наясно с материята и не мога да го формулирам хубаво.

 

Е разбрах, описаното ще постигне точно това което искаш :)))

Малко на бързо и грозновато, но върши работа

 

Хайде да игнорираме БГП-то
Ако в централният ти ВПН сървър добавиш в конфига статични руутове които да се pushvat към другите.. а тези статични руутове сочат към отделните ланове, то всеки който се свърже към този ВПН сървър ще получи и статичните руутове в таблицата си. 

Тези руутове нямат общо с Интернет достъпа ти, а са единствено свързани с тези лан мрежи. Съответно другото си остава напълно независимо.

Ако евентуално искаш да добавиш нови мрежи -> слагаш ги в конфа на централният ти ВПН. Порт ще си харесаш  

 

А след това ако искаш може да си свързваш лаптопите към тази мрежа и те ще получават всички статични рутове push-нати към тях при свързване. Или може да имаш други мрежи ..Отделните мрежи ще се срещат в руутинг таблицата ти. 

 

Edit:

Тази част от openvpn configa визирам когато говоря за добавяне на руутове в централният ти ВПН... едвам намерих останал ми openvpn  

 

Като напрактика не си ограничен да са само мрежи зад централният ВПН . В случая 192.168.11.0/24 е мрежата в която стояха моите рутери и си говореха помежду си

 

Edited August 17, 2022 by ARPAnet

[mIRCata]

Ще се побъзикам с 2 рутера първо да видя как ще се държат и после ще го приложа на останалите

Само да разбера защо травел рутера ми като се върже към wifi няма нет

[ARPAnet]

14 minutes ago, mIRCata said:

Само да разбера защо травел рутера ми като се върже към wifi няма нет

Микротик магии 

 

Да не забравя, разреши client-to-client в централният ти Openvpn, за да могат да си приказват един с друг

# Uncomment this directive to allow different
# clients to be able to "see" each other.
# By default, clients will only see the server.
# To force clients to only see the server, you
# will also need to appropriately firewall the
# server's TUN/TAP interface.
client-to-client

 

Това не го искаш, ако случайно е разрешено по подразбиране трябва да го забраниш

# If enabled, this directive will configure
# all clients to redirect their default
# network gateway through the VPN, causing
# all IP traffic such as web browsing and
# and DNS lookups to go through the VPN
# (The OpenVPN server machine may need to NAT
# or bridge the TUN/TAP interface to the internet
# in order for this to work properly).
;push "redirect-gateway def1 bypass-dhcp"

 

[Godfather]

9 hours ago, mIRCata said:

Точно това искам да избегна - щото като умре центъра умира всичко. Искам всеки да си раздава неговите си.

 

То това са два различни проблема. Аз останах с впечатлението, че искаш всичо да управляваш от едно място, включително и DHCP. Но пък иначе в тази схема дори и да говорим за нормалния Layer 3 TUN режим, пак ти трябва център (сървър) за VPN връзките, иначе за да избегнеш "центъра" ще стане много сложна архитектура - ще трябва да правиш връзки всеки със всеки, след това една камара пинизи с рутирането на трафика заради редъндант връзките, няма да ти е лесно. Най-простото за изпълнение е един VPN сървър и останалите се навързват като клиенти, но в този случай винаги мрежата умира със сървъра.

[mIRCata]

Не. Чак толкова не. Като умре центъра(аз) може да нямат връзка едните с другите. Но вътре ще си работят. Просто искам да обединя всичките малки мрежи, така, че машините да са достъпни едни други и при нова мрежа, да правя колкото се може по-малко работа по конфигурирането по цялото множество рутери.

[netrootbg]

Колко отделни точки имаш?

Дали няма да е добър вариант използването на wireguard и всяка точка да е вързана към всички останали. При wireguard няма излишен трафик и товарене. Мигрирах към него от openvpn.

[mIRCata]

За сега са 5.