Blog of Khlebalin Dmitriy

(Дорогу осилит идущий…)

SSTP Mikrotik.

В прошлый раз создал туннель Gre over ipsec между Головным офисом и филиалом. Но захотелось узнать что-то новое, а новое, это туннели SSTP, с которыми до начала изучения Микрота, мне так и не удалось столкнуться.

Немного политинформации перед началом.

Добавляю второго провайдера в текущую схему. Переделаю туннели (теперь у нас их станет два: основной и резервный провайдер) на SSTP, и далее навешу BGP на эти туннели.

У нас есть Головной офис (2 провайдера), есть филиал (2 провайдера), и второй филиал (1 провайдер на 2 в голову). Mikrotik WAN будет эмулировать провайдерскую сеть, на нем же будут прописаны шлюзы для всех провайдерских подсетей.

Входные данные:

Mikrotik WAN (эмулятор провайдерских сетей).

Mikrotik HEAD (2 провайдера).

— WAN_prime: 1.1.1.1/24 GATE: 1.1.1.254/24

— WAN_sec: 2.2.2.1/24 GATE: 2.2.2.254/24

— LAN: 10.0.0.0/24

— TUNNEL_prime: 172.16.30.1/30

— TUNNEL_sec: 172.16.31.1/30

Mikrotik BRANCH1 (2 провайдера).

— WAN_prime: 1.1.2.2/24 GATE: 1.1.2.254/24

— WAN_sec: 1.1.1.2/24 GATE: 1.1.1.254/24

— LAN: 20.0.0.0/24

— TUNNEL_prime: 172.16.30.2/30

— TUNNEL_sec: 172.16.31.2/30

Mikrotik BRANCH2 (1 провайдер).

— WAN_prime: 3.3.3.1/24 GATE: 3.3.3.254/24

— LAN: 40.0.0.0/24

— TUNNEL_prime: 172.16.30.3/30

— TUNNEL_sec: 172.16.31.3/30

Настроим SSTP туннели между Головой и филиалами.

Mikrotik HEAD (2 провайдера).

Добавим srcnat на второй интерфейс провайдера:

Добавим статические маршруты:

И второй с большей дистанцией (как резервный).

Включаем SSTP сервер:

Создадим сикреты для наших филиалов:

Сразу создадим статические записи SSTP сервера (это не обязательно, но я сделаю сразу).

Здесь же настроим профили для обоих провайдеров:

Не забываем сослаться на них при создании сикретов:

Здесь же сразу необходимо обратить внимание на настройки фаервола, ранее у меня был один провайдер и был разрешен один интерфейс, добавился второй провайдер, не забываем разрешить на вход и второй интерфейс.

Переходим к настройке нашего первого филиала Mikrotik BRANCH1 (2 провайдера).

Здесь соответственно настраиваем клиента SSTP (канала два соответственно и туннеля два):

Далее если все настроили правильно туннели должны быть с буквой R c обоих сторон:

В актив коннекшинсах тоже должны увидеть коннекшины:

В очередной раз, не забудем про фаервол:

Здесь же можно посмотреть трассировку до обоих внешних адресов филиала:

Или запинговать, но пинговать лучше сразу туннельные адреса (соответственно в обратную сторону должно быть все тоже самое):

Переходим к настройке нашего первого филиала Mikrotik BRANCH2 (1 провайдер).

Но сейчас у нас установлены только SSTP туннели, а нам необходимы еще маршруты из каждой подсети в каждую. Соответственно в текущей схеме Головной офис + 2 филиала придется прописать «ндцать» маршрутов. Безусловно это можно сделать прописав статические маршруты, когда филиалов у нас два-это не так страшно, но если их станет хотя бы с десяток, то маршруты будут возрастать в арифметической прогрессии. Чтоб это все не делать руками, воспользуемся протоколом OSPF или BGP для динамической маршрутизации, я пока предпочту BGP, но это уже тема отдельного повествования.

Продолжение следует…

Всем хорошей работы!!!

20.08.2019 Posted by | Network and Wi-fi: cisco, mikrotik, huawei, tp-link, d-link, zyxel и другое... | 1 комментарий