Доброго времени суток! Сегодня я хочу поделиться с вами информацией о том, как настроить EoIP туннель с использованием роутеров MikroTik. Давайте разберемся, что это такое. EoIP (Ethernet over IP) — специальный туннель, который позволяет передавать информацию между локальными сетями, находящимися в разных местах подключения к интернету. Это создает туннель на уровне L2 канала поверх сети.
Зачем это нужно? Для того, чтобы соединить две или более локальные сети через зашифрованный VPN-канал через интернет. Это очень удобно для объединения нескольких офисов, расположенных в разных точках города или даже страны. Далее я расскажу вам, как настроить это подключение.
Пример
Чтобы настроить, я подготовил вам пример, который довольно прост – посмотрите на изображение ниже.
У нас есть два офиса, которые подключены к интернету через внешние роутеры. Что мы замечаем? Оба офиса используют один и тот же диапазон локальных IP-адресов (192.168.15.1/24). У роутеров есть два разных локальных IP-адреса: 192.168.15.1 и 192.168.15.2. Также есть два разных внешних WAN-адреса. Все довольно просто.
ШАГ 1: Настройка 1-го роутера
- Для начала мы сформируем туннель — для этого перейдем в секцию «Интерфейсы», затем нажмем на вкладку «EoIP-туннель» и нажмем на знак плюс, чтобы создать новый интерфейс.
- Все изменения мы внесем на вкладке «Общие». В качестве примера я укажу обычное имя в поле «Имя», но вам лучше указать более понятное наименование, особенно если вы будете подключать несколько филиалов. Убедитесь, что параметр «Тип» установлен как «EoIP туннель». Также рекомендуется установить параметр «keepalive» на 10 по 10 — то есть каждые 10 секунд будет отправлено 10 попыток (10 раз) связаться с другим роутером. И если после этого связи не будет, то туннель будет иметь статус «отключен». Это необходимо для того, чтобы вы могли увидеть, что есть проблема с подключением, в противном случае в интерфейсе будет всегда висеть статус рабочего состояния. Включаем «ARP», устанавливаем «Удаленный адрес» как внешний IP второго удаленного роутера (10.1.200.2). И указываем «ID туннеля» — запомните этот параметр, он должен быть одинаковым на всех роутерах.
- Следующим шагом будет создание моста, который свяжет локальные порты с внешним выходом в интернет. Перейдите в раздел «Мост» и на первой вкладке создайте новый мост и назовите его на ваше усмотрение.
- Для продолжения необходимо открыть раздел «Порты» и установить соединение всех портов. Укажите «ether1-LAN1» и предварительно созданный мост.
- В разделе «Интерфейсы» необходимо также установить привязку нашего моста к портам и туннелю, которые мы создали.
- Необходимо осуществить проверку во вкладке «Ports» приложения «Bridge» на соответствие представленной картинке на скриншоте ниже.
ШАГ 2: Настройка второго роутера
Можно сделать то же самое, только вместо «Remote Address» необходимо указать адрес первого маршрутизатора (10.). Также я бы выбрал другое название для туннеля. И не забывайте, что при создании туннеля «Tunnel-ID» должен быть одинаковым на обоих маршрутизаторах.
ШАГ 3: Запрет DHCP Broadcast запросов через туннель EoIP
После завершения настроек, все локальные устройства в обеих сетях должны видеть друг друга и легко обмениваться пакетами. Однако возникает небольшая проблема: при подключении нового устройства оно отправляет запрос DHCP серверу. Этот запрос может случайно попасть во вторую сеть через нашу EoIP, что нежелательно. Было бы лучше ограничить пул адресов в обеих сетях.
Таким образом, все запросы от клиента к DHCP серверу осуществляются через протокол UDP, используя 67 порт для отправки на сервер и 68 порт для отправки клиенту. Мы должны запретить использование ранее созданного моста, и, хотя логично сделать это через «IP Firewall» роутера, оказывается, что такой подход не срабатывает. Проблема заключается в том, что у ранее созданного моста есть свой собственный «Firewall», и именно там нужно установить блокировку. Для этого переходим в раздел «Bridge» и на вкладке «Filters» создаем новое правило.
В поле «Chain» необходимо выбрать «forward», а в поле «Out Interface» — наш EoIP туннель. Дополнительные настройки приведены на изображении ниже.
Устанавливаем действие для правила, чтобы предотвратить утечку запросов в наш туннель. Эту же операцию необходимо выполнить и на втором маршрутизаторе.
