Вверх

 
  • Комплексное ИТ обслуживание Вашего бизнеса 24 часа 7 дней в неделю!
  • IP телефония со знанием дела. Установка и настройка.
  • Поставки оборудования по выгодным ценам

07.10.2018 - Настройка NetMAP на примере MikroTik

В процессе работы очень часто требуется удаленно подключаться к клиентскому оборудованию (серверы, роутеры, ПК, другие сетевые устройства). Так как открывать доступ к устройству снаружи крайне небезопасно, для подключения у нас используется шифрованный канал VPN через интернет. В принципе, такой режим работы вполне быстрый и удобный. Но возникает проблема, когда нужно работать с несколькими клиентами одновременно, а что, если у них пересекающаяся адресация в локальной сети? В этом случае нужно сначала отключиться от одного, потом подключиться к другому. Да и, в целом, каждый раз запускать подключение по VPN тоже не хочется. Особенно, если этого можно избежать.

Идеальным решением было бы постоянно держать все подключения активными и иметь одну точку входа. Если бы у всех клиентов была разная адресация в локальной сети, то проблем с маршрутизацией не было бы никаких. Но, зачастую, это не так. В основном, у всех установлены общепринятые адреса локальной сети (192.168.0.0/24, 192.168.1.0/24 и т.д.). В целом, не проблема изменить адресное пространство, но это, в свою очередь, повлечет еще больший объем работы по настройке всех сетевых ресурсов. В общем, такой подход совершенно неэффективен.

И тут к нам на помощь приходит NAT. Пример будет рассматриваться на основе RouterOS. Можно организовать работу следующим образом. Возьмем любой роутер MikroTik (либо программную лицензию RouterOS). Он будет нашим центром, где находятся все подключения. Сотрудники, которым нужен доступ к клиентам, могут работать как из нашей локальной сети, так и удаленно. Далее, для каждого клиента мы готовим отдельную серую подсеть, чтобы она ни с кем не пересекалась. Настраиваем наш NAT таким образом, чтобы он преобразовывал адреса из нашей серой сети в сеть нужного нам клиента и отправлял в нужный туннель. Схематично, это выглядит следующим образом.

NetMAP1

Чтобы эта конфигурация работала, настройки NAT недостаточно. После преобразования адреса в адрес клиента, маршрутизатор не будет знать, куда именно отправить пакет, так как у нас будет несколько шлюзов с одинаковым маршрутом. Чтобы понять, куда какой пакет отправлять, нам необходимо маркировать трафик до преобразования адреса, чтобы потом на основании маркировки отправить пакет в нужный туннель. 

Рассмотрим более подробно, какие преобразования NAT нам нужно совершить. Например, у одного клиента адресация 192.168.0.0/24. Мы приняли решение, что в нашей серой сети у него будет адресация 172.30.0.0/24. Для преобразования одного адреса в другой воспользуемся правилом netmap нашего NAT. Netmap преобразует один адрес назначения (DST) в другой согласно маске. Например, если мы обратимся к узлу с адресом 172.30.0.100, то после преобразования адрес назначения будет 192.168.0.100. Кроме того, у нас при подключении к центральному роутеру, есть тоже своя отдельная сеть, и чтобы не настраивать маршруты на каждом роутере клиентов, нам нужно преобразовать и адрес источника (SRC). Для этого мы воспользуемся правилом Masquerade. Все преобразования будут выглядеть примерно так.

NetMAP2

Примеры настройки

Весь процесс занимает несколько этапов, первый это планирование. Составьте таблицу со всеми вашими клиентами, во втором столбце пишем какая у них сеть, в третьем новая придуманная нами сеть для NetMap советую брать 172.30.0.0/16 и ее уже с 24 маской делить по клиентам, в четвертом столбце логин и пароль для VPN подключений. У меня составлен так.

NetMAP3

Второй этап — это настройка центрального роутера, к которому будет подключаться клиенты. Это самая большая часть работы, и так начнем. Для примера я разберу поэтапно настройку на примере одного клиента.

1. Создаем учётную запись для VPN клиента роутера, который установлен у клиента. PPP-> Secret

NetMAP4

2. Дальше там же в PPP только на вкладке Interface, создадим интерфейс (PPTP Server Binding) для клиента с таким же именем как его имя пользователя, которое мы создавали в первом пункте. Это делается для того, чтобы не «слетали» маршруты и правила NAT которые мы будем делать. Слетают они, потому что, при подключении vpn клиента создается динамический pptp интерфейс а после разрыва соединения он удаляется а значит это так же приведет к удалению IN интерфейса из маршрута.

NetMAP5

3. Пришло время маркировать трафик, идем в раздел Ip-> Firewall -> Mangle и добавляем правило маркировки, для пакетов, которые будет предназначены клиенту.

NetMAP6

Тут делаем следующие настройки:

  1. Chain – выбираем цепочку prerouting (то-есть как только в микротик поступит запрос на любой адрес и сети 172.30.0.0/24 то роутер повесит на него метку mark routing c именем kron_route)
  2. Пишет адрес сети из нашего плана.
  3. Собственно, выбираем тип метки.
  4. Пишем понятное нам имя метки.
  5. Можно указать комментарий для большего удобства.

4. Далее переходим Ip-> Firewall -> NAT, тут для каждого клиента добавляем по два правила (NetMap и masquerade)

NetMAP6

Теперь создаем еще одно правило для masquerade.

NetMAP8

Создание маршрутов до клиентов с меткой

Осталась последняя настройка на нашем головном роутере, это добавить маршрут через нужный интерфейс с указание метки, которую мы ставили в Mangle. Идет IP-> Routes и создаем такой маршрут.

NetMAP9

  • Dst.Address: 192.168.0.0/24
  • Gateway: Указываем Interface Kron который мы создавали ранее.
  • Distance: можно указать 1
  • Routing Mark: выбираем метку для клиента.

Все на этом настройка на маршрутизаторе MikrtoTik, который выступает сервером для PPTP подключений и устройством NetMap для одного клиента закончена. Осталось только настроить PPTP-клиента на маршрутизаторе клиента и все будет работать. Ещё раз повторюсь на стороне клиента ничего кроме как настройка VPN подключения делать не надо.

Как видем внедрение NetMap в инфраструктуру работы компании занимающиеся IT-аутсорсингом дает несколько огромных преимуществ, такие как:

1) Убирает проблему пересечения ip адресов.

2) Можно сделать единую точку входа через NetMap роутер.)

3) Увеличивает производительность работников, так как можно работать одновремено у нескольких клиентов.

4) Вообще является обязательным к внедрению, так как жить с ним становиться намного проще). 

Комментарии (0)


Есть что сказать? Пишите нам ->

Новости IT рынка