Amigos do Mk-auth,
Estou com um probleminha, já tenho interligado 5 filiais com a Matriz via VPN com Mikrotik, tudo por adsl velox e está funcionaldo perfeitamente minha unica bronca é que as filiais não se com municam entre se só filial madriz a regra que eu min besiei foi e seguinte :
Matriz:
- Rede Local: 192.168.0.X/24
- Ip local do Servidor: 192.168.0.1
- Ip Internet do Servidor: 201.200.200.200
Filial:
- Rede Local: 192.168.10.X/24
- Ip local do Servidor: 192.168.10.1
- Ip Internet do Servidor: 189.50.1.200
VPN:
- Faixa IPs: 10.0.0.X/24
Configurações
Partindo do ponto de que os dois servidores já estão devidamente configurados e navegando na Internet repassando a navegação para rede Interna e seus clientes via NAT, iremos configurar o Server VPN na matriz.
Antes de mais nada, devemos habilitar duas opções no menu Ip > firewall > Service Ports, clique com o botão direito e selecione enable em "GRE" e "PPTP".
Abra o servidor Mikrotik pelo winbox, acesse o menu ppp. Na primeira guia Interfaces clique na opção L2TP Server marque a opção enable.
Na segunda guia, "secrets", crie um usuário para conectar ao Server pela VPN:
Usuário: teste
Senha: teste
Local address: 10.0.0.1
Remote address: 10.0.0.2
Dessa forma seu servidor estará preparado para ouvir e autenticar requisições L2TP. Ainda falta configurar as rotas nesse servidor para que as máquinas internas possam ver a outra rede e vice-versa. Vá em Ip > routes e crie as duas rotas abaixo:
Primeira Rota: 10.0.0.0/24 > gateway 192.168.0.1
Segunda Rota: 192.168.10.0/24> Gateway 10.0.0.2
A rota 10.0.0.0/24 apontando para o gateway 192.168.0.1 indica que a rede usada pela vpn será roteada pelo ip 192.168.0.1 que é da placa interna do servidor e a rota 192.168.10.0/24 indica que a rede interna do servidor da filial será roteada pelo ip remoto que o servidor da filial receberá quando conectar.
Configuramos o servidor da matriz, agora vamos para o servidor da Filial:
Vá em PPP, na aba Interfaces crie o usuário para se conectar conforme abaixo:
Server: 201.200.200.200
user: teste
password: teste
Clique em ok e logo o usuário já se conectará ao outro servidor, dessa forma você já poderá testar do próprio servidor Mikrotik se está pingando para o IP de alguma maquina na rede interna da matriz.
Para que suas máquinas na Filial com a faixa 192.168.10.X possam acessar as máquinas da matriz você terá que criar a mesma estrutura de rotas que foi criada para na matriz só que direcionando pra sua rede interna, abaixo:
Primeira Rota: 10.0.0.0/24 > gateway 192.168.10.1
Segunda Rota: 192.168.0.0/24> Gateway 10.0.0.1
Bom pessoal, com isso estaremos com a vpn funcionando nos dois pontos caso queiram adicionar mais pontos é só seguir o mesmo raciocínio. Outra coisa, você pode também criar um usuário para acessar de qualquer máquina Windows diretamente em rede assistente para novas conexões e marcar a opção conectar-me a uma vpn.
Conto com ajuda de todos.
Respostas
vc tem algum tutorial?
um jeito muito eficiente de interligar matriz e filiais é através de bgp-vpls ou vrf, fica tudo transparente para o cliente, você tem total controle sobre banda e serviços, e o serviço é extremamente profissional.com vrf a rede de seu cliente é toda roteada, por isso qualquer ponto de seu cliente tem contato direto com qualquer ponto, diminuindo banda desnecessária .
bom meu caso eu quero usar o mesmo mk-auth em duas rbs cada uma em uma rede diferente como proceder o processo para que haja comunicação das duas com o msm mikrotik?
Boa tarde Pessoal.
Trabalho num grupo de empresas que possuem farmácias como um dos ramos de atividades e tenho a seguinte situação aqui na empresa. Existe um parceiro provedor de soluções de internet que forneceu um serviço chamado Lan to Lan via fibra óptica para interligar as redes das 4 farmácias com a rede do escritório Matriz. Hoje cada farmácia possui acesso a internet por meio de conexão vivo speedy, onde é realizado a comunicação entre a matriz e filial. No novo serviço Lan to Lan, cada farmácia deixaria de ter acesso a internet individualmente e passaria a ter acesso através dos links de dados da matriz. Bom, o provedor parceiro nos indicou a instalação de roteadores Mikrotik rb450g para cada filial com 5 Mb de link e para a matriz também um rb450g com 10 Mb de link fechando uma vpn L2TP. As filiais passariam acessar os sistemasna matriz através dessa rede, os banco de dados sqlserver das farmácias passariam a receber as replicações da matriz por essa rede e as filiais teriam acesso a internet saindo pelo servidor firewall/proxy da matriz.
Os 4 roteadores eu só configurei as redes em cada, mas as outras configurações tais como rotas, não faço a minima como configurá-las.
Segue configuração de cada rb mikrotik:
Matriz - ether1 = IP:10.174.1.2 - GTW:10.174.1.1 - Rede:10.174.1.0/30 - Msk:255.255.255.252
ethe2 = IP:192.168.10.18 - GTW:192.168.10.1 - Rede:192.168.10.0/23 - Msk:255.255.254.0
Filial1 - ether1 = IP:10.174.1.6 - GTW:10.174.1.5 - Rede:10.174.1.4/30 - Msk:255.255.255.252
ethe2 = IP:192.168.14.254 - GTW: - Rede:192.168.14.0/24 - Msk:255.255.255.0
Filial2 - ether1 = IP:10.174.1.10 - GTW:10.174.1.9 - Rede:10.174.1.8/30 - Msk:255.255.255.252
ethe2 = IP:192.168.19.254 - GTW: - Rede:192.168.19.0/24 - Msk:255.255.255.0
Filial3 - ether1 = IP:10.174.1.14 - GTW:10.174.1.13 - Rede:10.174.1.12/30 - Msk:255.255.255.252
ethe2 = IP:192.168.21.254 - GTW: - Rede:192.168.21.0/24 - Msk:255.255.255.0
Filial4 - ether1 = IP:10.174.1.18 - GTW:10.174.1.17 - Rede:10.174.1.16/30 - Msk:255.255.255.252
ethe2 = IP:192.168.20.254 - GTW: - Rede:192.168.20.0/24 - Msk:255.255.255.0
Como fazer com que as filiais comuniquem com a matriz e a matriz comunique com as filiais nessa situação?
Alguém pode me ajudar?
Obrigado!!
Amigo, e se você fosse fazer uma VPN com 2 links de internet para implementar redundância, como ficaria? Obrigado.
Marcos tem como min da uma ajudinha ai
É Marcos
Realizei todo o procedimento tirei out-interface do nat realizei todas as rotas de retorno, mais mesmo assim está dando timeout.
Marcos Andre dos Santos Velez disse:
exemplo
redes internas..................ip da vpn
matriz 192.168.0.0/24 ..... 10.0.0.254
filial1 192.168.1.0/24 ...... 10.0.0.1
filial2 192.168.2.0/24 ...... 10.0.0.2
filial3 192.168.3.0/24 ...... 10.0.0.3
filial4 192.168.4.0/24 ...... 10.0.0.4
filial5 192.168.5.0/24 ...... 10.0.0.5
na matriz a tabela de rotas:
dst-add=192.168.1.0/24 gateway=10.0.0.1
dst-add=192.168.2.0/24 gateway=10.0.0.2
dst-add=192.168.3.0/24 gateway=10.0.0.3
dst-add=192.168.4.0/24 gateway=10.0.0.4
dst-add=192.168.5.0/24 gateway=10.0.0.5
na filial1 a tabela de rotas:
dst-add=192.168.2.0/24 gateway=10.0.0.254
dst-add=192.168.3.0/24 gateway=10.0.0.254
dst-add=192.168.4.0/24 gateway=10.0.0.254
dst-add=192.168.5.0/24 gateway=10.0.0.254
dst-add=192.168.0.0/24 gateway=10.0.0.254
na filial2 a tabela de rotas:
dst-add=192.168.1.0/24 gateway=10.0.0.254
dst-add=192.168.3.0/24 gateway=10.0.0.254
dst-add=192.168.4.0/24 gateway=10.0.0.254
dst-add=192.168.5.0/24 gateway=10.0.0.254
dst-add=192.168.0.0/24 gateway=10.0.0.254
na filial3 a tabela de rotas:
dst-add=192.168.1.0/24 gateway=10.0.0.254
dst-add=192.168.2.0/24 gateway=10.0.0.254
dst-add=192.168.4.0/24 gateway=10.0.0.254
dst-add=192.168.5.0/24 gateway=10.0.0.254
dst-add=192.168.0.0/24 gateway=10.0.0.254
na filial4 a tabela de rotas:
dst-add=192.168.1.0/24 gateway=10.0.0.254
dst-add=192.168.2.0/24 gateway=10.0.0.254
dst-add=192.168.3.0/24 gateway=10.0.0.254
dst-add=192.168.5.0/24 gateway=10.0.0.254
dst-add=192.168.0.0/24 gateway=10.0.0.254
na filial5 a tabela de rotas:
dst-add=192.168.0.0/24 gateway=10.0.0.254
dst-add=192.168.1.0/24 gateway=10.0.0.254
dst-add=192.168.2.0/24 gateway=10.0.0.254
dst-add=192.168.3.0/24 gateway=10.0.0.254
dst-add=192.168.4.0/24 gateway=10.0.0.254
O que eu poderia fazer neste meu exemplo, seria o seguinte, como todas as minhas redes das filiais estão variando no mesmo grupo de octetos eu poderia fazer uma superrede compreendendo todos os ips, nos roteadores das filiais, neste caso vou até colocar muito acima do necessário para ilustrar melhor:
a exemplo, podendo ser aplicado em todos os roteadores:
add dst-add=192.168.0.0/16 gateway=10.0.0.254
NOTA: (MUITO TÉCNICA QUE DÁ PRA VIVER SEM) no roteador 1 a rede 192.168.1.0/24 estará compreendida no 192.168.0.0/16 mas como existirá uma rota mais específica ( a configurada na interface) a preferencia será utilizar a rota que tem o ip configurado na interface, com isto o seu roteador continuará enviando pacotes para a rede local normalmente.
na regra do masquerade caso seja importante definir o out-interface você pode definir uma address list como dst-address-list e marcar o ! (not) e selecionar uma address list com os ips das redes locais de todas filiais. Com isto não haverá masquerade para os ips de sua rede local forçando a saída por um link específico.
a rota default é a vpn? se sim não precisa, caso contrário você precisará criar rotas em todos os roteadores das filiais para todas as redes que você deseja alcançar, colocando como gateway o ip da matriz
-
1
-
2
de 2 Próximo