Перейти к содержимому
Калькуляторы

Есть у знакомого такая задачка.

Есть в центре cisco 2901 купленная когда то там давно. Сейчас используется для тупого NATа

В нее приходят 2 ISP.

Ну и как обычно sla track.

За ней штук 150-200 пользователей.

Есть удаленные точки штук 10

В каждой удаленной точке штук 10-20 пользователей.

Хочется всех объединить с помощью VPN.

в VPN будет гонятся все. В том числе и Voip.

На чем строить VPN и какое железо купить.

Че использовать? Openvpn, pptp, ppoe, l2tp...?

Требование: Дешево, стабильно. При недоступности в центре одного из провайдеров, что бы автоматически туннель подключался по другому.

 

Смотрел в сторону cisco 881, но они стоят 26 тысяч одна штука. лицензия к каждой в 10-15 тысяч + 50 тысяч лицензия на 2901.

Короче дорого.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

К циске только циска.

Дорого? Цена простого компа - с чего вдруг дорого?

DMVPN, EIGRP и т.д., есть 100% надежное и давно работающее решение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

45-50 тысяч за роутер в филиале -цена простого компа?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Думаю в центр поставить писюк IPSEC и OSPF, а в филиалы mikrotik.

Как Микротик дружит с писюком?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

45-50 тысяч за роутер в филиале - цена простого компа?

вы в курсе какой щас курс доллара? :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

45-50 тысяч за роутер в филиале - цена простого компа?

вы в курсе какой щас курс доллара? :-)

Неужели 30 рублей?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Смотрел в сторону cisco 881, но они стоят 26 тысяч одна штука. лицензия к каждой в 10-15 тысяч + 50 тысяч лицензия на 2901.

Короче дорого.

Кроилово ведет к попадалову.

DMVPN + EIGRP/OSPF (на выбор). Все остальное - будет значительно сложнее администрировать при более низкой надежности.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Как вариант смотрите б/у 2811-2851, 1841 тоже еще ничего себе, если каналы до 10 мегабит. На 28хх серии можно CME поднимать, причем если юридические вопросы по барабану, то никаких лицензий не нужно.

 

В корпоративном сегменте Cisco рулит и педалит что бы кто не говорил.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Гора микротиков + gre + ospf - дёшево и сердито.

Либо, как предложили, бу циски + dmvpn.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Думаю в центр поставить писюк IPSEC и OSPF, а в филиалы mikrotik.

Как Микротик дружит с писюком?

 

Заканчивайте эту цисковскую терминологию, зачем нужен IPSEC для филиалов, если вам нужно подешевле? Что вообще такое IPSEC, что он дает, какие проблемы решает, а какие создает понимаете? Сейчас купите гору микротиков а потом начнется что он глючит, виснет и т.п. Но не потому что он плохой, а просто настроен будет через одно место.

 

Гора микротиков + gre + ospf - дёшево и сердито.

 

Вот - уже пошли советы по делу. Только это совет как не следует использовать микротик. Если хотите именно его, то в центре ставите что-то вроде CCR, заводите L2TP сервер, все филиалы подключаются по L2TP к центру и через OSPF обмениваетесь маршрутами. Если в филиале есть 2 провайдера, то ставите 2 микротика, каждый подключаете к своему провайдеру, тогда все будет переключаться автоматически. Никаких скриптов проверки, никаких аналогичных решений, не требуется.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

Заканчивайте эту цисковскую терминологию, зачем нужен IPSEC для филиалов, если вам нужно подешевле? Что вообще такое IPSEC, что он дает, какие проблемы решает, а какие создает понимаете?

 

 

 

Ключевая фраза - Микротик не поддерживает IPSEC, поэтому IPSEC не надо!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Saab, мне иногда кажется, что вы производитель микротиков. На%уя ставить в филиалы по два микротика?

 

У меня есть вполне рабочая схема:

Есть три города с тремя филиалами, в двух городах есть также сателлиты (склады).

Внутри города всё работает через GRE+OSPF. Между городами GRE+BGP (full-mesh).

Внутри города некоторые сателлиты цепляются к своему офису несколькими каналами.

 

Всё отлично работает уже почти два года.

Может быть не в лыжах дело то?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У меня есть вполне рабочая схема:

Есть три города с тремя филиалами, в двух городах есть также сателлиты (склады).

Внутри города всё работает через GRE+OSPF. Между городами GRE+BGP (full-mesh).

Внутри города некоторые сателлиты цепляются к своему офису несколькими каналами.

 

Всё отлично работает уже почти два года.

Может быть не в лыжах дело то?

 

Представьте есть не три города с тремя филиалами, а 1000 филиалов по всей стране. При этом в каждом может быть интернет любого качества, где то хорошая оптика, где-то витухой затянуто от среднего оператора, где-то от пионернет, где-то через сотовых и т.п. В части есть основной канал, а второй дорогой резервный, или низкого качества. Так вот, что бы не заморачиваться со скриптами, в центре установлено несколько железок с белыми адресами:

 

1. Основная для L2TP.

2. Резервная для L2TP.

3. Бекапная для L2TP.

3. Основная для PPTP.

4. Резервная для PPTP.

5. Бекапная для PPTP.

 

Если в офисе только один канал, то на роутере устанавливаются соединения с 1, 2 и 5. Это позволяет защитить работу от поломки любого из основных маршрутизаторов, и если что-то случиться с пропуском данных по L2TP, то они пойдут по PPTP.

Если в офисе 2 канала, то основной подключается к 1, 2 и 5. А резервный к 3 и 5. В центре уже прописаны все метрики, поэтому трафик побежит через основное устройство, а если пропадет связь, то автоматически переключится на резервный канал.

 

При этом нет никаких скриптов, все конфиги может залить на оборудование любая секретарша. Для маршрутизации используется OSPF, которое нормально переваривает по 5-10 тысяч маршрутов даже на самых слабых устройствах.

 

Вот я и говорю что дело не в лыжах.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я так и не понял для чего ставить два микротика на два канала в филиале...

К чему вы приплели всякие скрипты и 1000 филиалов я тоже не понял...

 

Я всё хорошо представляю, и если мне надо будет подключить 1000 филиалов, я это сделаю.

Разумеется решение будет уже не на статичном IPIP или GRE, и вообще не такое как для десятка единиц оборудования.

И делать буду далеко не на микротике.

 

Речь шла о десятке филиалов и о том, что в моём случае всё отлично работает, а не "Только это совет как не следует использовать микротик."

 

Не хочу с вами дискутировать о чём-то отстранённом. Ваши "примеры" отличаются от задачи ТС.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну, возьмите на тест edge router. По даташиту IPSec, openVPN, OSPF и BGP оно умеет, по текущему курсу модель Edge router lite (младшая модель линейки) стоит порядка семи килорублей. Внутри ваятта.

 

NB: Только в младшую модель BGP не влезет, по-моему

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я чет не понял. Тут многие впн делают без шифрования? Просто тупо gre или Ipip?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

не не это шифрует. Просто выше видел посты. люди просто gre или Ipip туннель делают и усе

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

не не это шифрует. Просто выше видел посты. люди просто gre или Ipip туннель делают и усе

 

Да, я иногда делаю, а в чём проблема?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

не не это шифрует. Просто выше видел посты. люди просто gre или Ipip туннель делают и усе

 

Да, я иногда делаю, а в чём проблема?

И гоняете корпоративную инфу по этим туннелям?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

не не это шифрует. Просто выше видел посты. люди просто gre или Ipip туннель делают и усе

 

Да, я иногда делаю, а в чём проблема?

И гоняете корпоративную инфу по этим туннелям?

 

Угу. Так в чём проблема то?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

И гоняете корпоративную инфу по этим туннелям?

Да он в ФСБ работает, что ему от себя скрывать.:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

И гоняете корпоративную инфу по этим туннелям?

Мы тоже от IPSec отказались при последнем апгрейде, потому что К9 добавляло +N недель к срооку поставки. Внутри все равно сплошной https как правило.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

И гоняете корпоративную инфу по этим туннелям?

Да он в ФСБ работает, что ему от себя скрывать.:)

 

ФСБ, как правило, добывают информацию другими методами ...

При помощи ребят в нарядных костюмах и красивых масках.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я чет не понял. Тут многие впн делают без шифрования? Просто тупо gre или Ipip?

 

А кому нужно это шифрование? Все программы, которые передают важные данные, сами все шифруют и дополнительная защита не требуется. Поэтому L2TP самое оптимальное решение без всяких там GRE и IPIP, которые требуют указания адресов с двух сторон для подключения, такие решения, с жестким указанием IP, ущербные по своей сущности.

 

Я так и не понял для чего ставить два микротика на два канала в филиале...

К чему вы приплели всякие скрипты и 1000 филиалов я тоже не понял...

 

К тому, что смотреть на создание такой сети надо шире, а не только на циску и перешитые тплинки.

 

Давайте простой пример. Как вы реализуете переключение на резервный канал, если у вас есть 2 независимые линии от оператора?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.