Mikrotik EoIP: настройка туннеля на примере двух роутеров

Всем доброго времени суток, мои сетевые друзья! Сегодня я расскажу вам, как создать и настроить EoIP туннель с помощью двух роутеров MikroTik. Давайте разберемся сначала, что такое EoIP?

EoIP (Ethernet over IP) – это специально созданный туннель для передачи информации между локальными сетями, находящимися в разных местах подключения к интернету. В итоге создается туннель канального уровня поверх сетевого: L2 <- L3 (модель OSI). При этом данные передаются путем инкапсуляции Ethernet-кадров в IP-пакеты. EoIP – это технология RouterOS от MikroTik, а на других сетевых устройствах обычно встречаются похожие по смыслу решения вроде GRE, L2TPv3, VXLAN или других L2-туннелей, но это уже не тот же самый EoIP.

ВАЖНО! Сам по себе EoIP не является шифрованием. Он просто переносит Ethernet-кадры через IP-сеть. Если вам нужен именно защищенный канал через интернет, используйте EoIP вместе с IPsec, WireGuard или другим VPN-туннелем. Иначе трафик будет идти через провайдера без нормальной защиты, а для офисной сети это уже не самая хорошая идея.

Для чего это нужно? – для подключения через интернет двух (или более) локальных сетей так, будто они находятся в одном общем сетевом сегменте. Достаточно удобная вещь для того, чтобы объединить несколько офисов, которые находятся в разных точках города или даже страны. Например, в одном офисе стоит сервер, принтер или видеорегистратор, а во втором офисе к нему нужно обращаться как к локальному устройству. Далее я расскажу про настройку этого подключения.

Если вы только начинаете работать с MikroTik и пока путаетесь в WinBox, IP-адресах, мостах и интерфейсах, сначала советую посмотреть базовую инструкцию по настройке MikroTik. EoIP лучше делать уже после того, как на обоих роутерах нормально работает интернет, LAN, DHCP и доступ в админку. Иначе вы будете чинить сразу все подряд и не поймете, где именно ошибка.

Пример

Для настройки я подготовил вам достаточно простой пример – смотрим на картинку ниже.

У нас есть два офиса, которые через внешние роутеры подключены к сети интернет. Что мы видим? В обоих сетях используется один и тот же диапазон локальных IP адресов (192.168.15.1/24). У роутеров есть два локальных IP адреса: 192.168.15.1 и 192.168.15.2. Ну и есть два внешних WAN адреса. Все достаточно просто.

Тут сразу уточню важный момент. Если мы объединяем сети через EoIP и добавляем туннель в bridge, то фактически получаем один общий L2-сегмент. Это значит, что широковещательные запросы, ARP, часть служебного трафика и DHCP могут ходить между офисами. Для маленькой понятной сети это удобно, но для большой офисной инфраструктуры может стать источником лишнего шума и странных проблем. Поэтому не лепите EoIP «просто потому что можно» – сначала решите, нужен ли вам именно общий L2-сегмент, или достаточно обычной маршрутизации между подсетями.

ПРИМЕЧАНИЕ! В нашем примере у роутеров разные LAN-адреса – 192.168.15.1 и 192.168.15.2. Одинаковых адресов у двух MikroTik быть не должно. Если на обоих концах стоит 192.168.88.1 или 192.168.15.1, сначала поменяйте адрес на одном из роутеров, иначе получите конфликт IP и нестабильную работу сети.

Что нужно проверить перед настройкой

Перед созданием EoIP туннеля убедитесь, что выполнены базовые условия. Это сильно экономит время, потому что сам EoIP настраивается быстро, а вот проблемы с NAT, белым IP, фаерволом или CG-NAT могут съесть весь вечер.

• На обоих MikroTik уже настроен интернет.
• Вы знаете внешний адрес каждого роутера или доменное имя, если используется DDNS.
• Между роутерами проходит IP-связь. Хотя бы один конец должен быть доступен для второго, а в идеале оба роутера должны видеть друг друга без лишних блокировок.
• Если между роутерами стоит чужой фаервол, нужно помнить, что EoIP работает через GRE, то есть это не обычный TCP или UDP порт.
• Если у провайдера CG-NAT, прямой EoIP по внешнему адресу может не подняться. В таком случае лучше сначала сделать VPN, например WireGuard, а уже поверх него запускать EoIP.

EoIP использует IP protocol 47 (GRE). Это не порт 47, а именно номер протокола внутри IP. Поэтому правило вида «открыть TCP 47» или «открыть UDP 47» не поможет. Если у вас перед MikroTik стоит еще один роутер или фаервол, нужно разрешать GRE или строить туннель поверх другого VPN. Если вам нужно открыть доступ к MikroTik из внешней сети аккуратно и безопасно, посмотрите отдельную инструкцию про удаленный доступ к MikroTik из интернета.

ШАГ 1: Настройка 1-го роутера

1. Сначала мы создадим сам туннель – для этого переходим в раздел «Interfaces», далее кликаем по вкладке «EoIP Tunnel» и нажимаем по плюсику, чтобы создать новый интерфейс.
2. Все настройки мы будем делать на вкладке «General». Я в качестве примера в поле «Name» укажу обычное имя, но вы можете явно указать более понятное наименование, особенно если вы будете подключать несколько филиалов. Убедитесь, чтобы «Type» стояла как «EoIP Tunnel». Также я рекомендую установить параметр «keepalive», как 10 по 10 – то есть каждые 10 секунд будет отправляться проверка доступности удаленного роутера, и после 10 неудачных попыток интерфейс перестанет считаться рабочим. Это необходимо для того, чтобы вы видели, что есть проблема с подключением, в противном случае в интерфейсе может висеть статус рабочего состояния, хотя по факту связь уже отвалилась. Включаем «ARP», устанавливаем «Remote Address» – внешний IP второго удаленного роутера (10.1.200.2). И прописываем «Tunnel ID» – запомните этот параметр, он должен быть одинаковым на обоих роутерах.

Если вы используете IPsec прямо в настройках EoIP, можно заполнить поле «IPsec Secret» одинаковым секретным ключом на обоих роутерах. Это проще, чем вручную собирать отдельные IPsec-политики, но все равно нужно понимать: ключ должен быть длинным и неочевидным. Не используйте варианты вроде 12345678, office или qwerty. Также при использовании IPsec может отключаться FastPath для такого туннеля, и скорость будет зависеть от мощности конкретных моделей MikroTik.

ПРОВЕРКА: Если вы настраиваете не по картинкам, а через терминал, команда на первом роутере может выглядеть примерно так: /interface eoip add name=eoip-office2 remote-address=10.1.200.2 tunnel-id=15 keepalive=10s,10. Если добавляете шифрование через IPsec secret, не забудьте указать одинаковый секрет на обеих сторонах. Название интерфейса и tunnel-id можете выбрать свои, но tunnel-id должен совпадать у пары туннелей.

3. Теперь нам нужно создать мост, который будет соединять локальный LAN-сегмент с нашим EoIP туннелем. Переходим в «Bridge» и на первой вкладке создаем мост, называем его как угодно.

4. Теперь переходим в «Ports» и добавляем в мост нужный локальный интерфейс. Указываем «ether1-LAN1» и мост, который мы ранее создали.

5. В «Bridge» во вкладке «Ports» создаем привязку нашего моста и EoIP туннеля, который мы создали ранее.

6. В «Bridge» во вкладке «Ports» проверьте, чтобы была примерно такая картинка, как на скриншоте ниже.

Обратите внимание: в bridge добавляем именно LAN-интерфейс и EoIP-интерфейс. WAN-порт, через который роутер выходит в интернет, обычно в этот мост добавлять не нужно. Если случайно засунуть WAN в общий bridge, можно сломать интернет, NAT, фаервол и получить очень странную сетевую кашу. Если у вас уже есть готовый bridge с LAN-портами, чаще всего достаточно добавить в него только EoIP-интерфейс, а новый bridge создавать не требуется.

ШАГ 2: Настройка второго роутера

Делается аналогичным образом, только в качестве «Remote Address» нужно указать адрес первого роутера (10.1.200.1). Также в качестве названия туннеля я бы использовал что-то другое, например «eoip-office1», чтобы самому не запутаться. Не забудьте, что при создании туннеля «Tunnel-ID» должен быть одинаковым на обоих роутерах.

Если на первом роутере вы указали tunnel-id=15, на втором тоже ставим tunnel-id=15. Если на первом включили IPsec Secret, на втором нужно вписать точно такой же ключ. Если на одном конце включено шифрование, а на другом нет, туннель не поднимется нормально. После настройки откройте «Interfaces» и посмотрите статус EoIP – интерфейс должен стать «running».

Для терминала на втором MikroTik пример будет таким:

/interface eoip add name=eoip-office1 remote-address=10.1.200.1 tunnel-id=15 keepalive=10s,10

После этого не забудьте добавить EoIP-интерфейс в нужный bridge на втором роутере. Тут логика такая же, как на первом устройстве: bridge объединяет локальный порт или локальный мост с туннелем. Когда обе стороны настроены правильно, устройства из одного офиса должны увидеть устройства из другого офиса так, будто они находятся в одной общей локальной сети.

ШАГ 3: Запрет DHCP Broadcast запросов через туннель EoIP

После всех предыдущих настроек все локальные устройства двух сетей уже должны видеть друг друга, а также легко их пинговать. Но есть небольшая проблема: при подключении нового устройства оно отправляет запрос к DHCP серверу. Проблема в том, что при этом запросы могут попасть во вторую сеть через наш EoIP, а нам это не нужно. Лучше всего ограничить пул адресов в одной и другой сети или оставить один DHCP сервер на весь общий L2-сегмент.

Здесь нужно определиться с логикой. Если вы хотите одну общую сеть на два офиса, то технически можно оставить один DHCP сервер, который будет выдавать адреса всем устройствам. Если же в каждом офисе должен работать свой DHCP сервер, то их широковещательные запросы и ответы нужно аккуратно разделять. В противном случае компьютер во втором офисе может получить адрес от DHCP первого офиса, и потом вы будете долго искать, почему шлюз, DNS или маршрут не такие, как ожидались.

Итак, все эти запросы от клиента к DHCP серверу происходят по протоколу UDP, используя 67 порт при отправке на сервер и 68 порт при отправке к клиенту. Нам нужно запретить использовать наш ранее созданный мост для утечки DHCP-запросов через EoIP. Логичнее сначала подумать про «IP Firewall» роутера, но в данном случае трафик идет на уровне bridge, поэтому обычные IP-правила могут не сработать так, как вы ожидаете. У моста есть свой собственный «Firewall» – вот там и нужно ставить блокировку. В разделе «Bridge» во вкладке «Filters» создаем новое правило.

В строке «Chain» указываем «forward», в «Out Interface» укажите наш EoIP туннель. Далее все настройки смотрите на картинке ниже.

И задаем действие для правила, чтобы запросы не утекали в наш туннель. То же самое нужно сделать и на втором маршрутизаторе.

Через терминал похожее правило может выглядеть так:

/interface bridge filter add chain=forward out-interface=eoip-office2 mac-protocol=ip ip-protocol=udp dst-port=67-68 action=drop

Но я рекомендую не копировать команду вслепую. Название интерфейса у вас может быть другим, а иногда нужно блокировать не только «out-interface», но и направление обратно через «in-interface». Проверяйте логику на тестовом устройстве: подключите новый ноутбук или телефон в одном офисе и посмотрите, от какого DHCP сервера он получил адрес. Если адрес выдан «не тем» роутером, значит фильтр нужно поправить.

ОСТОРОЖНО! Не ставьте DHCP-фильтр просто ради галочки. Если у вас по задумке один DHCP сервер должен обслуживать оба офиса, такое правило наоборот сломает выдачу адресов на удаленной стороне. Сначала решите, как должна работать адресация, а уже потом режьте DHCP через bridge filter.

Проверка работы EoIP

После настройки нужно не просто увидеть статус «R» или «running», а проверить реальную связность. Сначала зайдите в «Interfaces» и убедитесь, что EoIP-интерфейс активен. Потом с одного роутера попробуйте пропинговать LAN-адрес второго роутера. В нашем примере это может быть пинг с 192.168.15.1 на 192.168.15.2 или наоборот.

Далее проверяем с обычных клиентских устройств. Подключите компьютер в первом офисе и попробуйте открыть устройство во втором офисе по IP-адресу. Если пинг идет, но сетевые папки или принтер не открываются, проблема может быть уже не в EoIP, а в фаерволе Windows, настройках общего доступа или запрете входящих соединений на самом устройстве. На Windows для проверки можно открыть командную строку и выполнить:

ping 192.168.15.2

На Linux или macOS команда будет такой же:

ping 192.168.15.2

Если пинга нет, проверьте четыре вещи: правильный remote-address на обоих MikroTik, одинаковый tunnel-id, прохождение GRE или VPN между точками, а также добавление EoIP в нужный bridge. В большинстве случаев ошибка находится именно там. Если вы меняли адресацию на MikroTik и теперь не уверены, где какой IP, вам может помочь инструкция по настройке статического IP адреса.

Что делать, если EoIP не поднимается

Если туннель не работает, не нужно сразу сбрасывать оба роутера. Лучше пройтись по короткому списку. На первом MikroTik проверьте, что в «Remote Address» указан внешний адрес второго роутера. На втором – что указан внешний адрес первого. Tunnel ID должен быть одинаковым. Если используете IPsec Secret, он тоже должен совпадать символ в символ.

Если один из роутеров находится за NAT или CG-NAT, прямой EoIP может не заработать. Особенно часто это бывает на мобильном интернете, у некоторых домашних провайдеров и в сетях, где перед MikroTik стоит еще один роутер оператора. В такой ситуации проще и надежнее сначала поднять обычный VPN между точками, а уже внутри него использовать EoIP. Например, можно сделать WireGuard, а в EoIP в качестве remote-address указать внутренний адрес второго MikroTik в VPN-туннеле.

Еще одна частая проблема – фаервол. Если на MikroTik стоят жесткие input-правила, они могут отбрасывать входящий GRE или IPsec. Если вы не уверены в правилах, временно включите логирование или проверьте счетчики пакетов в firewall. Но не отключайте фаервол полностью на рабочем роутере, особенно если он смотрит напрямую в интернет. Безопаснее создать аккуратное разрешающее правило только для нужного удаленного IP.

Про MTU и скорость

EoIP добавляет служебные заголовки к каждому пакету, поэтому внутри туннеля полезная нагрузка становится меньше. Из-за этого иногда появляются странные симптомы: пинг проходит, маленькие сайты открываются, а большие страницы, VPN внутри VPN или загрузка файлов работают плохо. Это не магия, а обычная проблема MTU и фрагментации.

На MikroTik часто помогает включенный параметр «Clamp TCP MSS», который подстраивает размер TCP-сегментов под туннель. Но если поверх EoIP у вас еще IPsec, WireGuard или другой туннель, накладные расходы растут еще сильнее. В таких схемах не гонитесь за максимальной красивой цифрой MTU. Лучше добиться стабильной работы, чем получить быстрый, но постоянно разваливающийся канал.

ПРАКТИЧЕСКИЙ СОВЕТ: Если после включения EoIP жалуются только отдельные сайты или сервисы, обязательно проверьте MTU/MSS. Для простого пользователя это выглядит так: «интернет вроде есть, но что-то открывается через раз». В таких случаях проблема часто не в DNS и не в браузере, а именно в размере пакетов внутри туннеля.

Когда EoIP лучше не использовать

EoIP – удобный инструмент, но не универсальная таблетка. Если вам нужно просто дать доступ из одного офиса к серверу в другом офисе, чаще лучше сделать обычный маршрутизируемый VPN между разными подсетями. Например, офис 1 – 192.168.10.0/24, офис 2 – 192.168.20.0/24, а между ними настроены маршруты. Это чище, безопаснее и обычно проще в сопровождении.

EoIP стоит использовать тогда, когда действительно нужен именно L2: общая широковещательная сеть, специфичное оборудование, старый софт, устройства, которые ищут друг друга только через broadcast, или временная миграция сети. Но для постоянной связи офисов я бы сначала подумал о маршрутизации. Чем меньше вы тянете broadcast через интернет, тем спокойнее живет сеть.

Если вам нужен не EoIP, а именно беспроводной мост между MikroTik, посмотрите отдельную статью про Wi-Fi мост MikroTik. Там задача другая: связать устройства по радио, а не протянуть Ethernet-кадры через интернет. Эти темы похожи по названию, но на практике решают разные задачи.

Короткий FAQ

Можно ли поднять EoIP между MikroTik и роутером другого производителя?

Обычно нет, потому что EoIP – это технология MikroTik RouterOS. У других производителей могут быть похожие технологии, но совместимость «просто так» ждать не стоит. Если нужно соединять разное оборудование, лучше смотреть в сторону стандартных VPN-решений и маршрутизации.

 

EoIP шифрует трафик?

Нет, сам EoIP не шифрует трафик. Для защиты используйте IPsec Secret в настройках EoIP или запускайте EoIP внутри уже готового VPN. Для офисов и удаленных площадок я бы не оставлял голый EoIP через открытый интернет.

 

Нужен ли белый IP адрес?

Желательно, чтобы хотя бы одна сторона была нормально доступна из интернета. Если обе стороны сидят за CG-NAT, прямой EoIP почти наверняка создаст проблемы. В таком случае проще использовать внешний VPN-сервер, WireGuard на доступном узле или другой вариант с промежуточной точкой.

 

Почему после настройки EoIP устройства получили адреса не от своего роутера?

Потому что вы объединили два офиса в один L2-сегмент, и DHCP-запросы начали проходить через туннель. Решение – оставить один DHCP сервер на общий сегмент или настроить bridge filter, чтобы DHCP не уходил через EoIP. Главное – не включать два DHCP сервера в одной сети без понимания, зачем это нужно.

 

Можно ли объединить больше двух офисов?

Можно, но я бы не советовал без четкой схемы. Чем больше L2-туннелей, тем выше риск петель, широковещательного шума и сложной диагностики. Для нескольких филиалов обычно лучше использовать маршрутизируемый VPN и разные подсети, а EoIP оставлять только для тех случаев, где он действительно необходим.