Проброс внешнего IP за VPN

Роутеры в обоих офисах mikrotik.

EoIP
Добавляешь в wan-bridge со стороны одного офиса, со стороны другого бриджуешь с портом или vlan куда будет подключен девайс которому внешний адрес нужен

Не забыть зашифровать только сверху, т.к. сам по себе EoIP ничего не шифрует

Ну у него уже есть vpn канал, можно внутри него пустить

Kolins

nebularia

Почитал про EoIP. Спасибо за рекомендацию, буду эксперементировать.

Может кто то еще подскажет более умный вариант решения этой задачи.

vxlan еще можно, ovpn l2 можно, vpls/mpls можно, nat-ить можно, попробовать настроить хитрый роутинг можно, EoIP самый простой вариант

ovpn l2

Это первым на ум пришло.

Но я думал может есть какая то схема реализации задуманного без вланов.

Пожно с маршрутизацией извратиться, но я схожу не нарисую надо в каком-нибудь eve-ng схему собрать. НО человек который после тебя придет и увидит это будет очен озадачен)

Зачем тоннель/vlan?

Что мешает смаршрутизировать белый адрес? У тебя же уже есть L2TP канал между офисами.

Натить кстати норм вариант, если нет каких-то специфичных требований к тому чтобы у машины был именно тот белый адрес (например если на машине находится условный TURN сервер или используются иные формы NAT Traversal).

Ставится на машину какой-то внутренний IP, а на подключённом к провайдере роутеру делается DNAT из белого IP во внутренний на входе от прова и SNAT из внутреннего в белый на выходе к прову.

И эта конфигурация достаточно простая, чтобы её понял следующий админ без книги с пояснениями.

Опиши пожалуйста чуть подробнее конфигурацию. Пока что то в голове не формируется.

На первый взгляд кажется что существующая схема проще в случае одного офиса. (Или я просто привык к ней.) Но с 2мя офисами кажется уже начинает казаться проще за счет использования меньшего количества технологий. И наверное поможет избежать накладных расходов по трафику за счет отсутствия L2 поверх L3. И доп нагрузки на ЦП.

Спасибо за идею. Обдумаю этот вариант.

Как я понимаю, у тебя есть линк к провайдеру. На нем есть белый ip. Есть 2 варианта:

1. Купленные адреса роутятся провайдером через этот линк (на твой адрес линка).

2. тебе выдали несколько адресов в той же подсети что используется для связи с провайдером. Тут чуть сложнее, т.к. чтобы прокинуть такой адрес в локалку нужно настроить proxy-arp (оно настраивается в микротиках).

Далее у тебя есть какой-то линк (L2TP) между офисами. У этого линка есть адреса.

На роутере в первом офисе добавляешь маршрут в белый адрес через адрес ближайшего роутера ведущего во второй офис.

Во втором офисе аналогично добавляешь маршрут в этот белый адрес уже через адрес машины которая будет этот адрес использовать.

На той машине этот адрес должен быть поднят. Как это сделать решать тебе. Хочешь как дополнительный адрес на интерфейсе локальной сети, а хочешь через dummy интерфейс с этим адресом.

PS Если во втором офисе есть свой выход в инет, то ты попадаешь на policy routing и на микротике второго офиса и на машине на которую проброшен белый адрес, т.к. ответ с этого белого адреса должен отправляться в первый офис.

PPS для начала научись пробрасывать белый адрес на какую-нибудь машину из первого офиса.

Заведи локалку за микротиковым натом с формально внешними, но по сути локальными адресами. Раздай их по дхцп с приклеиванием к части локально-внешних адресов провайдерских-внешних адресов с совпадением внешнего вида, а остальные локально-внешние адреса пусть остаются без приклеивания к провайдерским-внешним адресам. Вланы в этой схеме лишние.

Прокидывали клиентам свои белые ipv4 на их LTE, просто через pptp и маршрутизацию. У нас OSPF был, но можно и статику. Минус подобных решений - требуются заморочки со стороны провайдера, крупные точно пошлют с такими извращениями.

Спасибо за вариант. Но точно не подойдет. Слишком мелкая задача, провайдеры даже не будут смотреть.

Ну допустим такой пример: http://0x0.st/XADA.png

Есть 2 офиса соединенных l2tp каналом, в одном из них провайдер выдает диапазон адресов (не префикс) 100.64.0.2-254 (на практике адресов дадут меньше естественно) и хочется в соседний офис передать адрес 100.64.0.10 и назначить на какой-то из серверов.
* office 1:

#Добавляем /32 маршрут через vpn
/ip route add dst-address=100.64.0.10/32 gateway=172.16.0.2
#Делаем proxy arp чтобы провайдерский gw мог по l2 достучаться до удаленного адреса
/interface ethernet set ether1 arp=proxy-arp

#Добавляем /32 ip интерфейс для сервера (важно что в network стоит адрес на ответной стороне интерфейса)
/ip address add address=100.64.0.1/32 network=100.64.0.10
#Proxy arp чтобы сервер мог достучаться до других участников выданного диапазона
/interface ethernet set ether2 arp=proxy-arp

#Отдельная таблица для трафика с сервера
/ip route add gateway=172.16.0.1 routing-mark=over-office1
#И заворачиваем трафик
/ip route rule src-address=100.64.0.10/32 action=lookup table=over-office1

Про прокси арп я совсем забыл. Спасибо, запомню на будущее.

Объем трафика планируется не большой,скорее даже скромный.