Jump to content
Калькуляторы

VPN и филиалы

Есть у знакомого такая задачка.

Есть в центре cisco 2901 купленная когда то там давно. Сейчас используется для тупого NATа

В нее приходят 2 ISP.

Ну и как обычно sla track.

За ней штук 150-200 пользователей.

Есть удаленные точки штук 10

В каждой удаленной точке штук 10-20 пользователей.

Хочется всех объединить с помощью VPN.

в VPN будет гонятся все. В том числе и Voip.

На чем строить VPN и какое железо купить.

Че использовать? Openvpn, pptp, ppoe, l2tp...?

Требование: Дешево, стабильно. При недоступности в центре одного из провайдеров, что бы автоматически туннель подключался по другому.

 

Смотрел в сторону cisco 881, но они стоят 26 тысяч одна штука. лицензия к каждой в 10-15 тысяч + 50 тысяч лицензия на 2901.

Короче дорого.

Share this post


Link to post
Share on other sites

К циске только циска.

Дорого? Цена простого компа - с чего вдруг дорого?

DMVPN, EIGRP и т.д., есть 100% надежное и давно работающее решение.

Share this post


Link to post
Share on other sites

45-50 тысяч за роутер в филиале -цена простого компа?

Share this post


Link to post
Share on other sites

Думаю в центр поставить писюк IPSEC и OSPF, а в филиалы mikrotik.

Как Микротик дружит с писюком?

Share this post


Link to post
Share on other sites

45-50 тысяч за роутер в филиале - цена простого компа?

вы в курсе какой щас курс доллара? :-)

Share this post


Link to post
Share on other sites

45-50 тысяч за роутер в филиале - цена простого компа?

вы в курсе какой щас курс доллара? :-)

Неужели 30 рублей?

Share this post


Link to post
Share on other sites

Смотрел в сторону cisco 881, но они стоят 26 тысяч одна штука. лицензия к каждой в 10-15 тысяч + 50 тысяч лицензия на 2901.

Короче дорого.

Кроилово ведет к попадалову.

DMVPN + EIGRP/OSPF (на выбор). Все остальное - будет значительно сложнее администрировать при более низкой надежности.

Share this post


Link to post
Share on other sites

Как вариант смотрите б/у 2811-2851, 1841 тоже еще ничего себе, если каналы до 10 мегабит. На 28хх серии можно CME поднимать, причем если юридические вопросы по барабану, то никаких лицензий не нужно.

 

В корпоративном сегменте Cisco рулит и педалит что бы кто не говорил.

Share this post


Link to post
Share on other sites

Гора микротиков + gre + ospf - дёшево и сердито.

Либо, как предложили, бу циски + dmvpn.

Share this post


Link to post
Share on other sites

Думаю в центр поставить писюк IPSEC и OSPF, а в филиалы mikrotik.

Как Микротик дружит с писюком?

 

Заканчивайте эту цисковскую терминологию, зачем нужен IPSEC для филиалов, если вам нужно подешевле? Что вообще такое IPSEC, что он дает, какие проблемы решает, а какие создает понимаете? Сейчас купите гору микротиков а потом начнется что он глючит, виснет и т.п. Но не потому что он плохой, а просто настроен будет через одно место.

 

Гора микротиков + gre + ospf - дёшево и сердито.

 

Вот - уже пошли советы по делу. Только это совет как не следует использовать микротик. Если хотите именно его, то в центре ставите что-то вроде CCR, заводите L2TP сервер, все филиалы подключаются по L2TP к центру и через OSPF обмениваетесь маршрутами. Если в филиале есть 2 провайдера, то ставите 2 микротика, каждый подключаете к своему провайдеру, тогда все будет переключаться автоматически. Никаких скриптов проверки, никаких аналогичных решений, не требуется.

Share this post


Link to post
Share on other sites

 

Заканчивайте эту цисковскую терминологию, зачем нужен IPSEC для филиалов, если вам нужно подешевле? Что вообще такое IPSEC, что он дает, какие проблемы решает, а какие создает понимаете?

 

 

 

Ключевая фраза - Микротик не поддерживает IPSEC, поэтому IPSEC не надо!

Share this post


Link to post
Share on other sites

Saab, мне иногда кажется, что вы производитель микротиков. На%уя ставить в филиалы по два микротика?

 

У меня есть вполне рабочая схема:

Есть три города с тремя филиалами, в двух городах есть также сателлиты (склады).

Внутри города всё работает через GRE+OSPF. Между городами GRE+BGP (full-mesh).

Внутри города некоторые сателлиты цепляются к своему офису несколькими каналами.

 

Всё отлично работает уже почти два года.

Может быть не в лыжах дело то?

Share this post


Link to post
Share on other sites

У меня есть вполне рабочая схема:

Есть три города с тремя филиалами, в двух городах есть также сателлиты (склады).

Внутри города всё работает через GRE+OSPF. Между городами GRE+BGP (full-mesh).

Внутри города некоторые сателлиты цепляются к своему офису несколькими каналами.

 

Всё отлично работает уже почти два года.

Может быть не в лыжах дело то?

 

Представьте есть не три города с тремя филиалами, а 1000 филиалов по всей стране. При этом в каждом может быть интернет любого качества, где то хорошая оптика, где-то витухой затянуто от среднего оператора, где-то от пионернет, где-то через сотовых и т.п. В части есть основной канал, а второй дорогой резервный, или низкого качества. Так вот, что бы не заморачиваться со скриптами, в центре установлено несколько железок с белыми адресами:

 

1. Основная для L2TP.

2. Резервная для L2TP.

3. Бекапная для L2TP.

3. Основная для PPTP.

4. Резервная для PPTP.

5. Бекапная для PPTP.

 

Если в офисе только один канал, то на роутере устанавливаются соединения с 1, 2 и 5. Это позволяет защитить работу от поломки любого из основных маршрутизаторов, и если что-то случиться с пропуском данных по L2TP, то они пойдут по PPTP.

Если в офисе 2 канала, то основной подключается к 1, 2 и 5. А резервный к 3 и 5. В центре уже прописаны все метрики, поэтому трафик побежит через основное устройство, а если пропадет связь, то автоматически переключится на резервный канал.

 

При этом нет никаких скриптов, все конфиги может залить на оборудование любая секретарша. Для маршрутизации используется OSPF, которое нормально переваривает по 5-10 тысяч маршрутов даже на самых слабых устройствах.

 

Вот я и говорю что дело не в лыжах.

Share this post


Link to post
Share on other sites

Я так и не понял для чего ставить два микротика на два канала в филиале...

К чему вы приплели всякие скрипты и 1000 филиалов я тоже не понял...

 

Я всё хорошо представляю, и если мне надо будет подключить 1000 филиалов, я это сделаю.

Разумеется решение будет уже не на статичном IPIP или GRE, и вообще не такое как для десятка единиц оборудования.

И делать буду далеко не на микротике.

 

Речь шла о десятке филиалов и о том, что в моём случае всё отлично работает, а не "Только это совет как не следует использовать микротик."

 

Не хочу с вами дискутировать о чём-то отстранённом. Ваши "примеры" отличаются от задачи ТС.

Share this post


Link to post
Share on other sites

Ну, возьмите на тест edge router. По даташиту IPSec, openVPN, OSPF и BGP оно умеет, по текущему курсу модель Edge router lite (младшая модель линейки) стоит порядка семи килорублей. Внутри ваятта.

 

NB: Только в младшую модель BGP не влезет, по-моему

Share this post


Link to post
Share on other sites

Я чет не понял. Тут многие впн делают без шифрования? Просто тупо gre или Ipip?

Share this post


Link to post
Share on other sites

не не это шифрует. Просто выше видел посты. люди просто gre или Ipip туннель делают и усе

Share this post


Link to post
Share on other sites

не не это шифрует. Просто выше видел посты. люди просто gre или Ipip туннель делают и усе

 

Да, я иногда делаю, а в чём проблема?

Share this post


Link to post
Share on other sites

не не это шифрует. Просто выше видел посты. люди просто gre или Ipip туннель делают и усе

 

Да, я иногда делаю, а в чём проблема?

И гоняете корпоративную инфу по этим туннелям?

Share this post


Link to post
Share on other sites

не не это шифрует. Просто выше видел посты. люди просто gre или Ipip туннель делают и усе

 

Да, я иногда делаю, а в чём проблема?

И гоняете корпоративную инфу по этим туннелям?

 

Угу. Так в чём проблема то?

Share this post


Link to post
Share on other sites

И гоняете корпоративную инфу по этим туннелям?

Да он в ФСБ работает, что ему от себя скрывать.:)

Share this post


Link to post
Share on other sites

 

И гоняете корпоративную инфу по этим туннелям?

Мы тоже от IPSec отказались при последнем апгрейде, потому что К9 добавляло +N недель к срооку поставки. Внутри все равно сплошной https как правило.

Share this post


Link to post
Share on other sites

И гоняете корпоративную инфу по этим туннелям?

Да он в ФСБ работает, что ему от себя скрывать.:)

 

ФСБ, как правило, добывают информацию другими методами ...

При помощи ребят в нарядных костюмах и красивых масках.

Share this post


Link to post
Share on other sites

Я чет не понял. Тут многие впн делают без шифрования? Просто тупо gre или Ipip?

 

А кому нужно это шифрование? Все программы, которые передают важные данные, сами все шифруют и дополнительная защита не требуется. Поэтому L2TP самое оптимальное решение без всяких там GRE и IPIP, которые требуют указания адресов с двух сторон для подключения, такие решения, с жестким указанием IP, ущербные по своей сущности.

 

Я так и не понял для чего ставить два микротика на два канала в филиале...

К чему вы приплели всякие скрипты и 1000 филиалов я тоже не понял...

 

К тому, что смотреть на создание такой сети надо шире, а не только на циску и перешитые тплинки.

 

Давайте простой пример. Как вы реализуете переключение на резервный канал, если у вас есть 2 независимые линии от оператора?

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this