EoIP Tunnel MikroTik: настройка туннеля за 3 шага

Всем доброе утро, мои сетевые друзья! Сегодня я расскажу вам, как создать и настроить туннель EoIP с помощью двух роутеров MikroTik. Давайте сначала разберемся, что такое EoIP?

EoIP (Ethernet over IP) — туннель, специально созданный для передачи информации между локальными сетями, расположенными в разных местах интернет-соединения. В результате в сети создается туннель канального уровня: L2 <- L3 (модель OSI). В этом случае данные передаются через кадры Ethernet. Этот туннель был разработан MikroTik, но другие сетевые устройства также поддерживают этот тип подключения.

Для чего это? – для соединения двух (или более) локальных сетей через Интернет по зашифрованному VPN-каналу. Что-то достаточно практичное, чтобы объединить несколько офисов, расположенных в разных частях города или даже страны. Далее я расскажу о настройке этого подключения.

Пример

Для настройки я подготовил для вас достаточно простой пример — посмотрите на изображение ниже.

У нас есть два офиса, которые подключены к Интернету через внешние маршрутизаторы. Что мы видим? Обе сети используют один и тот же диапазон локальных IP-адресов (192.168.15.1/24). Маршрутизаторы имеют два локальных IP-адреса: 192.168.15.1 и 192.168.15.2. Ну, есть два внешних WAN-адреса. Все довольно просто.

ШАГ 1: Настройка 1-го роутера

Во-первых, мы создадим сам туннель; Для этого перейдите в раздел «Интерфейсы», затем перейдите на вкладку «EoIP Tunnel» и нажмите плюсик, чтобы создать новый интерфейс.

Все настройки мы будем производить во вкладке General. В качестве примера я буду использовать обычное имя в поле «Имя», но вы можете явно указать более описательное имя, особенно если вы будете подключать несколько ветвей. Убедитесь, что «Тип» — «Туннель EoIP». Также рекомендую установить параметр «keepalive» на 10 раз по 10, т.е каждые 10 секунд будет отправлено 10 попыток (10 раз) для связи с другим роутером. И если после этого соединения нет, то туннель будет иметь статус «отключен». Это нужно для того, чтобы было видно, что есть проблема с подключением, иначе интерфейс всегда будет в рабочем состоянии. Включите «ARP», установите внешний IP «Удаленный адрес» второго удаленного маршрутизатора (10.1.200.2). А мы прописываем.

Теперь нам нужно создать мост, соединяющий локальные порты с внешним доступом в Интернет. Перейдите в «Мост» и в первой вкладке создайте мост, назовите его как хотите.

Теперь перейдите в «Порты» и создайте подключение всех портов. Указываем «ether1-LAN1» и мост, который мы создали ранее.

В «Интерфейсах» также в «Портах» создаем линк для нашего моста и создаваемый нами туннель.

В разделе «Мост» на вкладке «Порты» убедитесь, что изображение похоже на скриншот ниже.

ШАГ 2: Настройка второго роутера

Делается аналогично, только в качестве «Удаленный адрес» нужно указать адрес первого роутера (10.). Я бы также использовал что-то другое для имени туннеля. Также не забывайте, что при создании туннеля «Tunnel-ID» должен быть одинаковым на обоих маршрутизаторах.

ШАГ 3: Запрет DHCP Broadcast запросов через туннель EoIP

После всех вышеперечисленных настроек все локальные устройства в двух сетях теперь должны видеть друг друга, и их также должно быть легко пропинговать. Но есть небольшая проблема, дело в том, что при подключении нового устройства оно отправляет запрос на DHCP-сервер. Проблема в том, что в этом случае запросы могут доходить до второй сети через наш EoIP, а нам это не нужно. Лучше всего ограничить пул адресов в обеих сетях.

Таким образом, все эти запросы от клиента к DHCP-серверу выполняются по протоколу UDP, используя порт 67 при отправке на сервер и порт 68 при отправке клиенту. Нам нужно запретить использование нашего ранее созданного бриджа, конечно, логичнее это сделать в «IP Firewall» роутера, но получается, что этот способ не работает. А проблема заключается в том, что у созданного нами ранее бриджа есть свой «Брандмауэр», вот на нем и нужно установить блокировку. В разделе «Мост» на вкладке «Фильтры» создайте новое правило.

В строке «Chain» указываем «forward», в «Out Interface» указываем наш EoIP-туннель. Также смотрите все настройки на изображении ниже.

И устанавливаем действие для правила, чтобы запросы не фильтровались в нашем туннеле. То же самое необходимо сделать на втором роутере.