Jump to content
Калькуляторы

Ipsec и Gre

10 филиалов.

В центре 2 Isp в филиалах по 1 isp

 

Нужно объединить все филиалы в единую сеть. И в случае падения в центре одного из isp, чтобы трафик гнался через рабочий isp.

 

В туннеле гонится voip, авторизация в ad и самба

voip не нужно шифровать, шары нужно шифровать

 

В какую сторону глядеть?

Share this post


Link to post
Share on other sites

ipoe туннели...и никаких проблем, хоть единый бродкаст делайте

 

для автоматизации на клиенте юзаете netwatch который по падению в центре одного прова перепишет remote адрес на туннеле на второго

 

и по поднятию услуги вернет его на место

Share this post


Link to post
Share on other sites

tits

 

А пров что дает? l3vpn?

Share this post


Link to post
Share on other sites

10 филиалов.

В центре 2 Isp в филиалах по 1 isp

 

Нужно объединить все филиалы в единую сеть. И в случае падения в центре одного из isp, чтобы трафик гнался через рабочий isp.

 

Ставите 2 микротика в центре, на каждом внешний IP. Удаленные клиенты устанавливают по L2TP туннелю на каждый из центральных микротиков, включаете OSPF и трафик на внутренние ресурсы сам пойдет по вашим туннелям, если нужно пустить туда и запросы в интернет, то маркируете манглами маршруты в сторону дефолта OSPF.

 

Если вам нужны какие-то привязки по адресам, то в удаленных офисах создаете бридж и вешаете туда какой-то адрес, например 10.10.10.2/32, по этому адресу и будете обращаться к устройству. На одном из центральных микротиках вешаете адрес 10.10.10.1/32 и адресуетесь на него, если нужно EoIP туннели сделать что бы прогнать вланы. Но в таком случае, если у вас сломается одно из центральных устройств, на которых этот адрес указан, то связь пропадет. Тут выгодно поставить в центре еще и третий микротик, на котором установите этот адрес и все будет работать при полном выходе из строя любого центрального микротика, подключенного к каналам провайдера.

Share this post


Link to post
Share on other sites

Saab95, а почему l2tp, а не gre?

 

Какой микротик ставить в центр если будет 20 филиалов. в центре 10-20 мегабит.

Share this post


Link to post
Share on other sites

Saab95, а почему l2tp, а не gre?

 

Потому что в центре включите L2TP сервер. На вкладке Secrets заведете учетные записи для своих офисов, каждому укажете свой уникальный IP адрес. После на центральном микротике в списке регистраций будут показаны все подключенные офисы, их аптайм и т.п.

При этом со стороны офисов не требуется иметь белый адрес. GRE туннель требует двух фиксированных адресов для своей работы. Некоторые занимаются ерундой и делают еще туннели поверх L2TP =).

 

 

Какой микротик ставить в центр если будет 20 филиалов. в центре 10-20 мегабит.

 

Если у вас там канал в 20 мбит то хватит и RB951G-2HnD или RB2011, процессоры у них одинаковые, отличаются только количеством портов. Целесообразно взять первую модель, т.к. если в будущем канал расширят и устройство перестанет справляться, его можно снять и поставить домой в качестве вайфай роутера, или поставить в один из офисов, а в центр купить более мощную железку.

Share this post


Link to post
Share on other sites

Вот вопрос, что в центре ставить?

 

А если в центре линухи в hyper-v?

Share this post


Link to post
Share on other sites

Удаленные клиенты устанавливают по L2TP туннелю

т.е. шифрования не будет. ооок!

 

Вот вопрос, что в центре ставить?

 

А если в центре линухи в hyper-v?

SaaB95 продает микротики и пытается окучить еще одного клиента вне зависимости от его хотелок.

 

вам L3 надо или хочется большой броадкаст-домен?

Share this post


Link to post
Share on other sites

^rage^ один большой бродкас домен наверное плоховато. Полосы пропускания маловаты.

Скорей всего L3

Share this post


Link to post
Share on other sites

^rage^ один большой бродкас домен наверное плоховато. Полосы пропускания маловаты.

Скорей всего L3

если вам шифрования не надо и каких-либо требований к безопасности нет - берите l2tp.

Share this post


Link to post
Share on other sites

я не понимаю почему нельзя использовать gre например? почему любят использовать l2tp?

 

Шифровать внутри трафик нужно определенный. Наверное можно пустить для этого поверх Ipsec?

Share this post


Link to post
Share on other sites

я не понимаю почему нельзя использовать gre например? почему любят использовать l2tp?

 

Шифровать внутри трафик нужно определенный. Наверное можно пустить для этого поверх Ipsec?

Саб gre в глаза не видел поэтому так категорично настроен.

Share this post


Link to post
Share on other sites

Вот вопрос, что в центре ставить?

 

Микротик, в зависимости от пропускной способности разные модели.

 

А если в центре линухи в hyper-v?

 

Тогда вы наживаете себе проблемы.

 

т.е. шифрования не будет. ооок!

 

Зачем оно нужно? Все приложения, работающие с важными данными, сами их шифруют.

Обычно требования к шифрованию идут от не верно составленного ТЗ. К нам часто обращаются с такими вопросами, хотят канал между офисами со скоростью 100мбит через интернет с шифрованием, однако, когда понимают, что им потребуется поставить как минимум 2 микротика CCR, сразу спрашивают - "а если без шифрования"? Тогда RB951G хватит.

 

я не понимаю почему нельзя использовать gre например? почему любят использовать l2tp?

 

Есть протоколы клиент-сервер, а есть клиент-клиент.

 

L2TP это клиент-сервер, а другие, например GRE туннель, IP-IP туннель, EoIP туннель и т.п., клиент-клиент, то есть требуют указания IP адресов противоположных устройств. Если в центре у вас будет внешний адрес, то в удаленных офисах он может быть не всегда, либо за него требуется платить. Именно из-за любви к подобным протоколам, многие юрлица требуют белый адрес, хотя при использовании нормальных протоколов, могли бы получить интернет за меньшие деньги.

 

Шифровать внутри трафик нужно определенный. Наверное можно пустить для этого поверх Ipsec?

 

IPSEC это не протокол туннельной передачи данных, а механизм шифрования, вы его можете пустить поверх любого IP протокола. Кроме всего он уже устаревший.

 

Саб gre в глаза не видел поэтому так категорично настроен.

 

Еще этот протокол блокируют некоторые провайдеры с аппаратным натом, если нужно шифрование самое оптимальное решение это SSTP. Протокол с шифрованием и гарантированной доставкой данных.

Share this post


Link to post
Share on other sites

т.е. шифрования не будет. ооок!

Зачем оно нужно? Все приложения, работающие с важными данными, сами их шифруют.

как много вы видели шифрованного SMB-трафика?

 

Обычно требования к шифрованию идут от не верно составленного ТЗ. К нам часто обращаются с такими вопросами, хотят канал между офисами со скоростью 100мбит через интернет с шифрованием, однако, когда понимают, что им потребуется поставить как минимум 2 микротика CCR, сразу спрашивают - "а если без шифрования"? Тогда RB951G хватит.

это говорит лишь о том, что железо слабое и нет криптоакселераторов :)

 

IPSEC это не протокол туннельной передачи данных

а как же tunnel mode?

 

 

 

а механизм шифрования, вы его можете пустить поверх любого IP протокола.

расскажите, как вы его пустите поверх icmp или tcp.

 

Кроме всего он уже устаревший.

srsly?!! а что ж тогда оно есть _везде_, даже в новой-новой windows 10?

 

Еще этот протокол блокируют некоторые провайдеры с аппаратным натом, если нужно шифрование самое оптимальное решение это SSTP. Протокол с шифрованием и гарантированной доставкой данных.

Сааб, ну а как у этого( и у l2tp) щщастя с mitm? вот подниму я свой l2tp/sstp сервер и заверну трафик на него. любые пароли от клиента принимаем(а лучше релеим к целевому серверу) и спокойно слуашаем всё что внутри туннеля.

Share this post


Link to post
Share on other sites

как много вы видели шифрованного SMB-трафика?

 

Я не видел.

 

это говорит лишь о том, что железо слабое и нет криптоакселераторов :)

 

Зато цена низкая.

 

а как же tunnel mode?

 

Это на каких устройствах такое работает?

 

расскажите, как вы его пустите поверх icmp или tcp.

 

Имелся в виду тот же IPSEC, достаточно поднять любой IP канал, а поверх него запустить устаревший протокол.

 

srsly?!! а что ж тогда оно есть _везде_, даже в новой-новой windows 10?

 

Там еще много чего имеется для совместимости со старыми приложениями.

 

Сааб, ну а как у этого( и у l2tp) щщастя с mitm? вот подниму я свой l2tp/sstp сервер и заверну трафик на него. любые пароли от клиента принимаем(а лучше релеим к целевому серверу) и спокойно слуашаем всё что внутри туннеля.

 

Все отлично, как вы через интернет пакеты на свой сервер завернуть сможете?

Share this post


Link to post
Share on other sites

как много вы видели шифрованного SMB-трафика?

 

Я не видел.

 

И как вы тогда представляете такое без шифрования?

 

а как же tunnel mode?

Это на каких устройствах такое работает?

Cisco, Juniper, Linux... да много кто.

 

расскажите, как вы его пустите поверх icmp или tcp.

Имелся в виду тот же IPSEC, достаточно поднять любой IP канал, а поверх него запустить устаревший протокол.

Больше оверхеда для бога оверхеда!

 

srsly?!! а что ж тогда оно есть _везде_, даже в новой-новой windows 10?

Там еще много чего имеется для совместимости со старыми приложениями.

например, pptp/l2tp

 

Сааб, ну а как у этого( и у l2tp) щщастя с mitm? вот подниму я свой l2tp/sstp сервер и заверну трафик на него. любые пароли от клиента принимаем(а лучше релеим к целевому серверу) и спокойно слуашаем всё что внутри туннеля.

Все отлично, как вы через интернет пакеты на свой сервер завернуть сможете?

сходу - потравить днс. вклиниться не проблема. так как же клиенту быть уверенным, что он подключился _именно к тому_ серверу?

Share this post


Link to post
Share on other sites

сходу - потравить днс. вклиниться не проблема. так как же клиенту быть уверенным, что он подключился _именно к тому_ серверу?

 

Сейчас почти все сайты по HTTPS работают.

Share this post


Link to post
Share on other sites

Сейчас почти все сайты по HTTPS работают.

Сааб - мастер уводить неприятный разговор в сторону, ахха. Речь вообще-то была про l2tp...

Share this post


Link to post
Share on other sites

сходу - потравить днс. вклиниться не проблема

ДНС у нормального прова травить устанете, и с чего вы уверены, что туннель все по мнемонике поднимают, а не по IP?

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this