Night_Snake

Да, я подразумеваю, что один из ЦОД является резервным. В офисах вы можете изгаляться как угодно - в т.ч. и держать по туннелю к каждому ЦОДу. Речь, в основном, про мобильных клиентов. Для обеспечения отказоустойчивости адрес l2tp/ipsec сервера для них может анонсить один из серверов. Вопрос балансировки можно решить за счет балансировщика (есть в т.ч. и виртуальные решения, например Brocade ADX) либо DNS Чтобы заджойнить ноут в домен, между ним КД должна быть ip-связность по определенным портам (их там много довольно-таки, так что считаем, что связность должна быть полной, причем в обе стороны). Так что кмк, вам нужно просто определиться с набором сетей (офисы, ЦОД, мобильные клиенты) скажем из 192.168.0.0/16 и отделить их от собственно транспорта (туннели, связность между ЦОД и офисами и т.д.)

Я бы присмотрелся к Asus/Netgear с прицелом на *WRT. Без нормальных антен толку от 5Ghz будет мало

Тогда на серваках настраиваете Quagga, анонсите один и тот же лупбэк. На него настраиваете l2tp/ipsec сервер. тогда при падении сервера в одном ЦОДе клиенты просто переподключатся на другой. на чем делать IGP - дело вкуса исключительно 2016 год. pptp. убейся +1

Между ЦОДами - GRE с OSPF. В ЦОДах с BGP - l2tp/ipsec сервера (там, к слову, одна автономка или две разных?). В офисах - любая мыльница с поддержкой l2tp/ipsec. На ноутах - встроенные l2tp/ipsec клиенты. Способ аутентификации по вкусу (PSK/сертификаты).

Вполне себе нормальный ценник за dual-band решение с ас А вы чудес ждали?

ip link ip ro ip a в студию...

Я бы для начала попробовал NAT-ить снаружи порты 8080 и 8443 например - чисто ради проверки. Потом отключить веб-морду микротика (ip service ), которая как раз на 80 и 443 портах.

hAP AC выглядит вкусно, вопрос будет в цене, конечно...

Если не завелось - пишите прямо там в комментариях, я постараюсь проверить у себя и ответить оперативно.

Про site-to-site: http://nixman.info/?p=2604 Насчет OSPF: да, GRE over IPSec, по-другому никак

Вы бы схему включения дали для начала. Конфиги... а то непонятно совершенно. Микрот не умеет в route-based IPSec (или VTI), только policy-based, только хардкор. При этом интерефейс будет определяться настройками ipsec peer и ipsec policy.

Кстати если не секрет, а с аплами что сделали? ;) можно в личку и без деталей

+1 Если настроить на свичах dhcp relay, то можно извращаться с вланом на абонента и прочим

Вы думаете, hAP будет сильно лучше?) Может и будет, но надо бы тесты для начала

Выкинуть МТ и поставить нормальный BRAS? Ну так-то да, если у вас vendor-lock, то я вам только сочувствую

В свете наличия Xiaomi router mini с dual-band, a/b/g/n/ac, 100М портами, OpenWRT и за двадцать пять баксов.... сомнительной видится мне надобность в hAP AC Lite за полтинник

Можно поинтересоваться, зачем вам такие извращения?

Ну т.е. удаляем гланды через жопу. Традиционное решение от Saab Микротик не поддерживает opt82

Емнип, эта плюшка появилась только в каком-то RC 6.34 Поставьте себе куда-нибудь да потыкайтесь в терминале, там команд не так много

Гуглите по ключевому слову "DHCP Option 82" Микротик тут мимо кассы.

Я думаю, следующим ответом Сааба будет "бе-бе-бе"?

Вы удивитесь, сколько вообще отличий между wheezy и jessie. Поломанный strongswan (кстати поломали его, емнип, задолго до, т.к. мне пришлось сидеть на зафиксированной версии пакета довольно долго) это еще далеко не самая большая беда. С другой стороны - это обновление мажорного релиза, тут надо быть внимательным на 146% и проверять/перепроверять все критичные конфиги. Ровно те же грабли можно огрести при обновлении мажорной версии IOS/JunOS только в путь. На железках свои заморочки встречаются :) но там другая политика и другие цены при сходном функционале.

Не надо strongswan. Пользуйте libreswan, например. бОльшая свобода дает бОльше способов наступить на грабли, не без этого.

При наличии навыка - да. И гораздо предсказуемее в дальнейшей работе. На русском вряд ли

Мы сделали в рамках хотспота. В некотором роде костыль, но, вроде, работает.