tits Опубликовано 8 июня, 2015 · Жалоба 10 филиалов. В центре 2 Isp в филиалах по 1 isp Нужно объединить все филиалы в единую сеть. И в случае падения в центре одного из isp, чтобы трафик гнался через рабочий isp. В туннеле гонится voip, авторизация в ad и самба voip не нужно шифровать, шары нужно шифровать В какую сторону глядеть? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Constantin Опубликовано 9 июня, 2015 · Жалоба ipoe туннели...и никаких проблем, хоть единый бродкаст делайте для автоматизации на клиенте юзаете netwatch который по падению в центре одного прова перепишет remote адрес на туннеле на второго и по поднятию услуги вернет его на место Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SOs Опубликовано 9 июня, 2015 · Жалоба tits А пров что дает? l3vpn? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 9 июня, 2015 · Жалоба 10 филиалов. В центре 2 Isp в филиалах по 1 isp Нужно объединить все филиалы в единую сеть. И в случае падения в центре одного из isp, чтобы трафик гнался через рабочий isp. Ставите 2 микротика в центре, на каждом внешний IP. Удаленные клиенты устанавливают по L2TP туннелю на каждый из центральных микротиков, включаете OSPF и трафик на внутренние ресурсы сам пойдет по вашим туннелям, если нужно пустить туда и запросы в интернет, то маркируете манглами маршруты в сторону дефолта OSPF. Если вам нужны какие-то привязки по адресам, то в удаленных офисах создаете бридж и вешаете туда какой-то адрес, например 10.10.10.2/32, по этому адресу и будете обращаться к устройству. На одном из центральных микротиках вешаете адрес 10.10.10.1/32 и адресуетесь на него, если нужно EoIP туннели сделать что бы прогнать вланы. Но в таком случае, если у вас сломается одно из центральных устройств, на которых этот адрес указан, то связь пропадет. Тут выгодно поставить в центре еще и третий микротик, на котором установите этот адрес и все будет работать при полном выходе из строя любого центрального микротика, подключенного к каналам провайдера. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tits Опубликовано 10 июня, 2015 · Жалоба Saab95, а почему l2tp, а не gre? Какой микротик ставить в центр если будет 20 филиалов. в центре 10-20 мегабит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 10 июня, 2015 · Жалоба Saab95, а почему l2tp, а не gre? Потому что в центре включите L2TP сервер. На вкладке Secrets заведете учетные записи для своих офисов, каждому укажете свой уникальный IP адрес. После на центральном микротике в списке регистраций будут показаны все подключенные офисы, их аптайм и т.п. При этом со стороны офисов не требуется иметь белый адрес. GRE туннель требует двух фиксированных адресов для своей работы. Некоторые занимаются ерундой и делают еще туннели поверх L2TP =). Какой микротик ставить в центр если будет 20 филиалов. в центре 10-20 мегабит. Если у вас там канал в 20 мбит то хватит и RB951G-2HnD или RB2011, процессоры у них одинаковые, отличаются только количеством портов. Целесообразно взять первую модель, т.к. если в будущем канал расширят и устройство перестанет справляться, его можно снять и поставить домой в качестве вайфай роутера, или поставить в один из офисов, а в центр купить более мощную железку. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tits Опубликовано 10 июня, 2015 · Жалоба Вот вопрос, что в центре ставить? А если в центре линухи в hyper-v? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
^rage^ Опубликовано 10 июня, 2015 · Жалоба Удаленные клиенты устанавливают по L2TP туннелю т.е. шифрования не будет. ооок! Вот вопрос, что в центре ставить? А если в центре линухи в hyper-v? SaaB95 продает микротики и пытается окучить еще одного клиента вне зависимости от его хотелок. вам L3 надо или хочется большой броадкаст-домен? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tits Опубликовано 10 июня, 2015 · Жалоба ^rage^ один большой бродкас домен наверное плоховато. Полосы пропускания маловаты. Скорей всего L3 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
^rage^ Опубликовано 10 июня, 2015 · Жалоба ^rage^ один большой бродкас домен наверное плоховато. Полосы пропускания маловаты. Скорей всего L3 если вам шифрования не надо и каких-либо требований к безопасности нет - берите l2tp. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tits Опубликовано 10 июня, 2015 · Жалоба я не понимаю почему нельзя использовать gre например? почему любят использовать l2tp? Шифровать внутри трафик нужно определенный. Наверное можно пустить для этого поверх Ipsec? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SSD Опубликовано 10 июня, 2015 · Жалоба я не понимаю почему нельзя использовать gre например? почему любят использовать l2tp? Шифровать внутри трафик нужно определенный. Наверное можно пустить для этого поверх Ipsec? Саб gre в глаза не видел поэтому так категорично настроен. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 10 июня, 2015 · Жалоба Вот вопрос, что в центре ставить? Микротик, в зависимости от пропускной способности разные модели. А если в центре линухи в hyper-v? Тогда вы наживаете себе проблемы. т.е. шифрования не будет. ооок! Зачем оно нужно? Все приложения, работающие с важными данными, сами их шифруют. Обычно требования к шифрованию идут от не верно составленного ТЗ. К нам часто обращаются с такими вопросами, хотят канал между офисами со скоростью 100мбит через интернет с шифрованием, однако, когда понимают, что им потребуется поставить как минимум 2 микротика CCR, сразу спрашивают - "а если без шифрования"? Тогда RB951G хватит. я не понимаю почему нельзя использовать gre например? почему любят использовать l2tp? Есть протоколы клиент-сервер, а есть клиент-клиент. L2TP это клиент-сервер, а другие, например GRE туннель, IP-IP туннель, EoIP туннель и т.п., клиент-клиент, то есть требуют указания IP адресов противоположных устройств. Если в центре у вас будет внешний адрес, то в удаленных офисах он может быть не всегда, либо за него требуется платить. Именно из-за любви к подобным протоколам, многие юрлица требуют белый адрес, хотя при использовании нормальных протоколов, могли бы получить интернет за меньшие деньги. Шифровать внутри трафик нужно определенный. Наверное можно пустить для этого поверх Ipsec? IPSEC это не протокол туннельной передачи данных, а механизм шифрования, вы его можете пустить поверх любого IP протокола. Кроме всего он уже устаревший. Саб gre в глаза не видел поэтому так категорично настроен. Еще этот протокол блокируют некоторые провайдеры с аппаратным натом, если нужно шифрование самое оптимальное решение это SSTP. Протокол с шифрованием и гарантированной доставкой данных. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
^rage^ Опубликовано 11 июня, 2015 · Жалоба т.е. шифрования не будет. ооок! Зачем оно нужно? Все приложения, работающие с важными данными, сами их шифруют. как много вы видели шифрованного SMB-трафика? Обычно требования к шифрованию идут от не верно составленного ТЗ. К нам часто обращаются с такими вопросами, хотят канал между офисами со скоростью 100мбит через интернет с шифрованием, однако, когда понимают, что им потребуется поставить как минимум 2 микротика CCR, сразу спрашивают - "а если без шифрования"? Тогда RB951G хватит. это говорит лишь о том, что железо слабое и нет криптоакселераторов :) IPSEC это не протокол туннельной передачи данных а как же tunnel mode? а механизм шифрования, вы его можете пустить поверх любого IP протокола. расскажите, как вы его пустите поверх icmp или tcp. Кроме всего он уже устаревший. srsly?!! а что ж тогда оно есть _везде_, даже в новой-новой windows 10? Еще этот протокол блокируют некоторые провайдеры с аппаратным натом, если нужно шифрование самое оптимальное решение это SSTP. Протокол с шифрованием и гарантированной доставкой данных. Сааб, ну а как у этого( и у l2tp) щщастя с mitm? вот подниму я свой l2tp/sstp сервер и заверну трафик на него. любые пароли от клиента принимаем(а лучше релеим к целевому серверу) и спокойно слуашаем всё что внутри туннеля. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 11 июня, 2015 · Жалоба как много вы видели шифрованного SMB-трафика? Я не видел. это говорит лишь о том, что железо слабое и нет криптоакселераторов :) Зато цена низкая. а как же tunnel mode? Это на каких устройствах такое работает? расскажите, как вы его пустите поверх icmp или tcp. Имелся в виду тот же IPSEC, достаточно поднять любой IP канал, а поверх него запустить устаревший протокол. srsly?!! а что ж тогда оно есть _везде_, даже в новой-новой windows 10? Там еще много чего имеется для совместимости со старыми приложениями. Сааб, ну а как у этого( и у l2tp) щщастя с mitm? вот подниму я свой l2tp/sstp сервер и заверну трафик на него. любые пароли от клиента принимаем(а лучше релеим к целевому серверу) и спокойно слуашаем всё что внутри туннеля. Все отлично, как вы через интернет пакеты на свой сервер завернуть сможете? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
^rage^ Опубликовано 23 июня, 2015 · Жалоба как много вы видели шифрованного SMB-трафика? Я не видел. И как вы тогда представляете такое без шифрования? а как же tunnel mode? Это на каких устройствах такое работает? Cisco, Juniper, Linux... да много кто. расскажите, как вы его пустите поверх icmp или tcp. Имелся в виду тот же IPSEC, достаточно поднять любой IP канал, а поверх него запустить устаревший протокол. Больше оверхеда для бога оверхеда! srsly?!! а что ж тогда оно есть _везде_, даже в новой-новой windows 10? Там еще много чего имеется для совместимости со старыми приложениями. например, pptp/l2tp Сааб, ну а как у этого( и у l2tp) щщастя с mitm? вот подниму я свой l2tp/sstp сервер и заверну трафик на него. любые пароли от клиента принимаем(а лучше релеим к целевому серверу) и спокойно слуашаем всё что внутри туннеля. Все отлично, как вы через интернет пакеты на свой сервер завернуть сможете? сходу - потравить днс. вклиниться не проблема. так как же клиенту быть уверенным, что он подключился _именно к тому_ серверу? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 24 июня, 2015 · Жалоба сходу - потравить днс. вклиниться не проблема. так как же клиенту быть уверенным, что он подключился _именно к тому_ серверу? Сейчас почти все сайты по HTTPS работают. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Night_Snake Опубликовано 26 июня, 2015 · Жалоба Сейчас почти все сайты по HTTPS работают. Сааб - мастер уводить неприятный разговор в сторону, ахха. Речь вообще-то была про l2tp... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 26 июня, 2015 · Жалоба сходу - потравить днс. вклиниться не проблема ДНС у нормального прова травить устанете, и с чего вы уверены, что туннель все по мнемонике поднимают, а не по IP? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...