Всем доброе утро, мои сетевые друзья! Сегодня я расскажу вам, как создать и настроить туннель EoIP с помощью двух роутеров MikroTik. Давайте сначала разберемся, что такое EoIP?
EoIP (Ethernet over IP) — туннель, специально созданный для передачи информации между локальными сетями, расположенными в разных местах интернет-соединения. В результате в сети создается туннель канального уровня: L2 <- L3 (модель OSI). В этом случае данные передаются через кадры Ethernet. Этот туннель был разработан MikroTik, но другие сетевые устройства также поддерживают этот тип подключения.
Для чего это? – для соединения двух (или более) локальных сетей через Интернет по зашифрованному VPN-каналу. Что-то достаточно практичное, чтобы объединить несколько офисов, расположенных в разных частях города или даже страны. Далее я расскажу о настройке этого подключения.
Пример
Для настройки я подготовил для вас достаточно простой пример — посмотрите на изображение ниже.
У нас есть два офиса, которые подключены к Интернету через внешние маршрутизаторы. Что мы видим? Обе сети используют один и тот же диапазон локальных IP-адресов (192.168.15.1/24). Маршрутизаторы имеют два локальных IP-адреса: 192.168.15.1 и 192.168.15.2. Ну, есть два внешних WAN-адреса. Все довольно просто.
ШАГ 1: Настройка 1-го роутера
ШАГ 2: Настройка второго роутера
Делается аналогично, только в качестве «Удаленный адрес» нужно указать адрес первого роутера (10.). Я бы также использовал что-то другое для имени туннеля. Также не забывайте, что при создании туннеля «Tunnel-ID» должен быть одинаковым на обоих маршрутизаторах.
ШАГ 3: Запрет DHCP Broadcast запросов через туннель EoIP
После всех вышеперечисленных настроек все локальные устройства в двух сетях теперь должны видеть друг друга, и их также должно быть легко пропинговать. Но есть небольшая проблема, дело в том, что при подключении нового устройства оно отправляет запрос на DHCP-сервер. Проблема в том, что в этом случае запросы могут доходить до второй сети через наш EoIP, а нам это не нужно. Лучше всего ограничить пул адресов в обеих сетях.
Таким образом, все эти запросы от клиента к DHCP-серверу выполняются по протоколу UDP, используя порт 67 при отправке на сервер и порт 68 при отправке клиенту. Нам нужно запретить использование нашего ранее созданного бриджа, конечно, логичнее это сделать в «IP Firewall» роутера, но получается, что этот способ не работает. А проблема заключается в том, что у созданного нами ранее бриджа есть свой «Брандмауэр», вот на нем и нужно установить блокировку. В разделе «Мост» на вкладке «Фильтры» создайте новое правило.
В строке «Chain» указываем «forward», в «Out Interface» указываем наш EoIP-туннель. Также смотрите все настройки на изображении ниже.
И устанавливаем действие для правила, чтобы запросы не фильтровались в нашем туннеле. То же самое необходимо сделать на втором роутере.