Size: a a a

RouterOS Security

2020 November 25

П

Павел in RouterOS Security
Ivan T.
на гипервизорах можно поднять chr с отдельным ip, на него туннели поднять и сделать внутреннюю сетку для виртуалок (вторые интерфейсы) и это подвести к chr
Да, я в первом сообщении о чем-то таком и писал. Разве что на тестовом стенде у chr не белый адрес, а маршрутизация через сам гипервизор.
Вариант на самом деле не нравится, но если ничего другого не будет, видимо так и поступлю.
источник

П

Павел in RouterOS Security
Aeternus Polyphagus
А нельзя соединить туннелями и настроить нетмап?
Можете пояснить, что с чем соединить?
источник

IT

Ivan T. in RouterOS Security
Павел
Да, я в первом сообщении о чем-то таком и писал. Разве что на тестовом стенде у chr не белый адрес, а маршрутизация через сам гипервизор.
Вариант на самом деле не нравится, но если ничего другого не будет, видимо так и поступлю.
используйте единое устройство для образования каналов и маршрутизации, усложнять незачем
источник

П

Павел in RouterOS Security
Ivan T.
используйте единое устройство для образования каналов и маршрутизации, усложнять незачем
Согласен. Только вот белых адресов не факт, что хватит, поэтому тестировал так.
источник

IT

Ivan T. in RouterOS Security
Павел
Согласен. Только вот белых адресов не факт, что хватит, поэтому тестировал так.
посмотрите что за сервисы стоят у вас на виртуалках, может одну просто за NAT сразу увести можно
источник

IT

Ivan T. in RouterOS Security
и белый адрес на chr отдадите
источник

AP

Aeternus Polyphagus in RouterOS Security
Павел
Можете пояснить, что с чем соединить?
Микротики между собой туннелям. Или я не совсем правильно понял условия задачи.
источник

П

Павел in RouterOS Security
Да, неправильно. Микротики между собой работают прекрасно, проблема с гипервизорами, у которых виртуалки смотрят напрямую в интернет, без микротов и NAT'а.
источник

П

Павел in RouterOS Security
Павел
Можете посоветовать, как быть?

В организации, куда я пришел, есть ~15 филиалов и 2 сервера OpenVPN. OVPN время от времени отваливается, почти на каждом устройстве прописана куча маршрутов - ужас, в общем.

В качестве сетевых устройств везде микротики. Поднял в центральном офисе на роутере L2TP-сервер, филиалы подключил, резервирование сделал (умрет один провайдер в центральном офисе - все тут же пойдет через другого), маршруты прибрал - красота.

Вот только я не учел, что не все системы у меня стоят за микротами. А с подключением и Windows (несмотря на наличие встроенного клиента), и Linux (полдня xl2tpd мучал) у меня возникли проблемы. Если для подключения компов пользователей L2TP я буду использовать, то для постоянных подключений, думаю, не стоит.

Уже продумываю всякие костыли вроде "поднять на каждом гипервизоре по бесплатной версии RouterOS и пускать машины через него". Как сделать по-человечески, пока не понимаю. Подайте идей, пожалуйста.
Вообще, еще была идея запустить на том же микроте, где работает L2TP-сервер, еще и OpenVPN. OVPN и так работает на всех тех серверах, которые нужно подключить, но если отказаться от отдельных (тупящих) VPN-серверов, вся сеть и маршрутизация будет рулиться на одном устройстве, что удобно и правильно.
Надо бы попробовать.
источник

IT

Ivan T. in RouterOS Security
Павел
Вообще, еще была идея запустить на том же микроте, где работает L2TP-сервер, еще и OpenVPN. OVPN и так работает на всех тех серверах, которые нужно подключить, но если отказаться от отдельных (тупящих) VPN-серверов, вся сеть и маршрутизация будет рулиться на одном устройстве, что удобно и правильно.
Надо бы попробовать.
не советую на микротике юзать ovpn для создания статических туннелей, реализация там не достаточно стабильная и полная по функционалу
источник

A

Arthur in RouterOS Security
Павел
Да, неправильно. Микротики между собой работают прекрасно, проблема с гипервизорами, у которых виртуалки смотрят напрямую в интернет, без микротов и NAT'а.
гипервизор жопой в инет плохая идея, у меня есть пара VPS где так же выдан гипервизор и делай что хочешь, я зарядил CHR в автозагрузку и выданный VPS адрес назначил на него  и дальше локальная подсеть за микротом. При наличии белых адресов у всех микротов меньший оверхед и большая скорость будет на gre, или даже IPIP если v6 не ожидается.
источник

A

Arthur in RouterOS Security
а так если белых нехватает то завязывать на 1-2 узла клиент-сервер и с OSPF всё это налаживать
источник

S

S1nt3z in RouterOS Security
Отказаться от OVPN и перейти на WireGuard?
источник

A

Arthur in RouterOS Security
я смотрю столько любителей на бете сидеть..
источник

S

S1nt3z in RouterOS Security
точно она же еще бета 😶
источник

VK

Vladimir Ka in RouterOS Security
S1nt3z
Отказаться от OVPN и перейти на WireGuard?
А чем он лучше.. Все кричат, но ни кто толком не говорит.
Доводы типа  в ядро внедрили, и в микротик - не принимаются..
источник

M

Marko Ops in RouterOS Security
Vladimir Ka
А чем он лучше.. Все кричат, но ни кто толком не говорит.
Доводы типа  в ядро внедрили, и в микротик - не принимаются..
источник

VK

Vladimir Ka in RouterOS Security
Ну а как же, куда без этого то.. Я говорю как пользователь.. Этих водолеев начитался..
источник

VK

Vladimir Ka in RouterOS Security
Может как сайт ту сайт, он и ни чего..  А для пользователя, просто сыро..
источник

VK

Vladimir Ka in RouterOS Security
"утекший ключь"  все.. Хана...  Как просто поиграться , навитт себе дорожку до домашней сети..  Не более.
источник