tits Опубликовано 18 февраля, 2015 · Жалоба Есть у знакомого такая задачка. Есть в центре cisco 2901 купленная когда то там давно. Сейчас используется для тупого NATа В нее приходят 2 ISP. Ну и как обычно sla track. За ней штук 150-200 пользователей. Есть удаленные точки штук 10 В каждой удаленной точке штук 10-20 пользователей. Хочется всех объединить с помощью VPN. в VPN будет гонятся все. В том числе и Voip. На чем строить VPN и какое железо купить. Че использовать? Openvpn, pptp, ppoe, l2tp...? Требование: Дешево, стабильно. При недоступности в центре одного из провайдеров, что бы автоматически туннель подключался по другому. Смотрел в сторону cisco 881, но они стоят 26 тысяч одна штука. лицензия к каждой в 10-15 тысяч + 50 тысяч лицензия на 2901. Короче дорого. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 18 февраля, 2015 · Жалоба К циске только циска. Дорого? Цена простого компа - с чего вдруг дорого? DMVPN, EIGRP и т.д., есть 100% надежное и давно работающее решение. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tits Опубликовано 18 февраля, 2015 · Жалоба 45-50 тысяч за роутер в филиале -цена простого компа? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tits Опубликовано 18 февраля, 2015 · Жалоба Думаю в центр поставить писюк IPSEC и OSPF, а в филиалы mikrotik. Как Микротик дружит с писюком? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dmitry.destroyer Опубликовано 18 февраля, 2015 · Жалоба 45-50 тысяч за роутер в филиале - цена простого компа? вы в курсе какой щас курс доллара? :-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tits Опубликовано 18 февраля, 2015 · Жалоба 45-50 тысяч за роутер в филиале - цена простого компа? вы в курсе какой щас курс доллара? :-) Неужели 30 рублей? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Night_Snake Опубликовано 19 февраля, 2015 · Жалоба Смотрел в сторону cisco 881, но они стоят 26 тысяч одна штука. лицензия к каждой в 10-15 тысяч + 50 тысяч лицензия на 2901. Короче дорого. Кроилово ведет к попадалову. DMVPN + EIGRP/OSPF (на выбор). Все остальное - будет значительно сложнее администрировать при более низкой надежности. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 19 февраля, 2015 · Жалоба Как вариант смотрите б/у 2811-2851, 1841 тоже еще ничего себе, если каналы до 10 мегабит. На 28хх серии можно CME поднимать, причем если юридические вопросы по барабану, то никаких лицензий не нужно. В корпоративном сегменте Cisco рулит и педалит что бы кто не говорил. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
g3fox Опубликовано 19 февраля, 2015 · Жалоба Гора микротиков + gre + ospf - дёшево и сердито. Либо, как предложили, бу циски + dmvpn. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 19 февраля, 2015 · Жалоба Думаю в центр поставить писюк IPSEC и OSPF, а в филиалы mikrotik. Как Микротик дружит с писюком? Заканчивайте эту цисковскую терминологию, зачем нужен IPSEC для филиалов, если вам нужно подешевле? Что вообще такое IPSEC, что он дает, какие проблемы решает, а какие создает понимаете? Сейчас купите гору микротиков а потом начнется что он глючит, виснет и т.п. Но не потому что он плохой, а просто настроен будет через одно место. Гора микротиков + gre + ospf - дёшево и сердито. Вот - уже пошли советы по делу. Только это совет как не следует использовать микротик. Если хотите именно его, то в центре ставите что-то вроде CCR, заводите L2TP сервер, все филиалы подключаются по L2TP к центру и через OSPF обмениваетесь маршрутами. Если в филиале есть 2 провайдера, то ставите 2 микротика, каждый подключаете к своему провайдеру, тогда все будет переключаться автоматически. Никаких скриптов проверки, никаких аналогичных решений, не требуется. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vlad11 Опубликовано 19 февраля, 2015 · Жалоба Заканчивайте эту цисковскую терминологию, зачем нужен IPSEC для филиалов, если вам нужно подешевле? Что вообще такое IPSEC, что он дает, какие проблемы решает, а какие создает понимаете? Ключевая фраза - Микротик не поддерживает IPSEC, поэтому IPSEC не надо! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
g3fox Опубликовано 19 февраля, 2015 · Жалоба Saab, мне иногда кажется, что вы производитель микротиков. На%уя ставить в филиалы по два микротика? У меня есть вполне рабочая схема: Есть три города с тремя филиалами, в двух городах есть также сателлиты (склады). Внутри города всё работает через GRE+OSPF. Между городами GRE+BGP (full-mesh). Внутри города некоторые сателлиты цепляются к своему офису несколькими каналами. Всё отлично работает уже почти два года. Может быть не в лыжах дело то? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 19 февраля, 2015 · Жалоба У меня есть вполне рабочая схема: Есть три города с тремя филиалами, в двух городах есть также сателлиты (склады). Внутри города всё работает через GRE+OSPF. Между городами GRE+BGP (full-mesh). Внутри города некоторые сателлиты цепляются к своему офису несколькими каналами. Всё отлично работает уже почти два года. Может быть не в лыжах дело то? Представьте есть не три города с тремя филиалами, а 1000 филиалов по всей стране. При этом в каждом может быть интернет любого качества, где то хорошая оптика, где-то витухой затянуто от среднего оператора, где-то от пионернет, где-то через сотовых и т.п. В части есть основной канал, а второй дорогой резервный, или низкого качества. Так вот, что бы не заморачиваться со скриптами, в центре установлено несколько железок с белыми адресами: 1. Основная для L2TP. 2. Резервная для L2TP. 3. Бекапная для L2TP. 3. Основная для PPTP. 4. Резервная для PPTP. 5. Бекапная для PPTP. Если в офисе только один канал, то на роутере устанавливаются соединения с 1, 2 и 5. Это позволяет защитить работу от поломки любого из основных маршрутизаторов, и если что-то случиться с пропуском данных по L2TP, то они пойдут по PPTP. Если в офисе 2 канала, то основной подключается к 1, 2 и 5. А резервный к 3 и 5. В центре уже прописаны все метрики, поэтому трафик побежит через основное устройство, а если пропадет связь, то автоматически переключится на резервный канал. При этом нет никаких скриптов, все конфиги может залить на оборудование любая секретарша. Для маршрутизации используется OSPF, которое нормально переваривает по 5-10 тысяч маршрутов даже на самых слабых устройствах. Вот я и говорю что дело не в лыжах. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
g3fox Опубликовано 19 февраля, 2015 · Жалоба Я так и не понял для чего ставить два микротика на два канала в филиале... К чему вы приплели всякие скрипты и 1000 филиалов я тоже не понял... Я всё хорошо представляю, и если мне надо будет подключить 1000 филиалов, я это сделаю. Разумеется решение будет уже не на статичном IPIP или GRE, и вообще не такое как для десятка единиц оборудования. И делать буду далеко не на микротике. Речь шла о десятке филиалов и о том, что в моём случае всё отлично работает, а не "Только это совет как не следует использовать микротик." Не хочу с вами дискутировать о чём-то отстранённом. Ваши "примеры" отличаются от задачи ТС. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ChargeSet Опубликовано 19 февраля, 2015 · Жалоба Ну, возьмите на тест edge router. По даташиту IPSec, openVPN, OSPF и BGP оно умеет, по текущему курсу модель Edge router lite (младшая модель линейки) стоит порядка семи килорублей. Внутри ваятта. NB: Только в младшую модель BGP не влезет, по-моему Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tits Опубликовано 19 февраля, 2015 · Жалоба Я чет не понял. Тут многие впн делают без шифрования? Просто тупо gre или Ipip? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ChargeSet Опубликовано 19 февраля, 2015 · Жалоба а IPSec чо, не шифрует? И openVPN тоже? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tits Опубликовано 19 февраля, 2015 · Жалоба не не это шифрует. Просто выше видел посты. люди просто gre или Ipip туннель делают и усе Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
g3fox Опубликовано 19 февраля, 2015 · Жалоба не не это шифрует. Просто выше видел посты. люди просто gre или Ipip туннель делают и усе Да, я иногда делаю, а в чём проблема? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tits Опубликовано 19 февраля, 2015 · Жалоба не не это шифрует. Просто выше видел посты. люди просто gre или Ipip туннель делают и усе Да, я иногда делаю, а в чём проблема? И гоняете корпоративную инфу по этим туннелям? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
g3fox Опубликовано 19 февраля, 2015 · Жалоба не не это шифрует. Просто выше видел посты. люди просто gre или Ipip туннель делают и усе Да, я иногда делаю, а в чём проблема? И гоняете корпоративную инфу по этим туннелям? Угу. Так в чём проблема то? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikBSDOpen Опубликовано 19 февраля, 2015 · Жалоба И гоняете корпоративную инфу по этим туннелям? Да он в ФСБ работает, что ему от себя скрывать.:) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Night_Snake Опубликовано 20 февраля, 2015 · Жалоба И гоняете корпоративную инфу по этим туннелям? Мы тоже от IPSec отказались при последнем апгрейде, потому что К9 добавляло +N недель к срооку поставки. Внутри все равно сплошной https как правило. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
g3fox Опубликовано 20 февраля, 2015 · Жалоба И гоняете корпоративную инфу по этим туннелям? Да он в ФСБ работает, что ему от себя скрывать.:) ФСБ, как правило, добывают информацию другими методами ... При помощи ребят в нарядных костюмах и красивых масках. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 20 февраля, 2015 · Жалоба Я чет не понял. Тут многие впн делают без шифрования? Просто тупо gre или Ipip? А кому нужно это шифрование? Все программы, которые передают важные данные, сами все шифруют и дополнительная защита не требуется. Поэтому L2TP самое оптимальное решение без всяких там GRE и IPIP, которые требуют указания адресов с двух сторон для подключения, такие решения, с жестким указанием IP, ущербные по своей сущности. Я так и не понял для чего ставить два микротика на два канала в филиале... К чему вы приплели всякие скрипты и 1000 филиалов я тоже не понял... К тому, что смотреть на создание такой сети надо шире, а не только на циску и перешитые тплинки. Давайте простой пример. Как вы реализуете переключение на резервный канал, если у вас есть 2 независимые линии от оператора? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...