Перейти к содержимому
Калькуляторы

Ipsec и Gre

10 филиалов.

В центре 2 Isp в филиалах по 1 isp

 

Нужно объединить все филиалы в единую сеть. И в случае падения в центре одного из isp, чтобы трафик гнался через рабочий isp.

 

В туннеле гонится voip, авторизация в ad и самба

voip не нужно шифровать, шары нужно шифровать

 

В какую сторону глядеть?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ipoe туннели...и никаких проблем, хоть единый бродкаст делайте

 

для автоматизации на клиенте юзаете netwatch который по падению в центре одного прова перепишет remote адрес на туннеле на второго

 

и по поднятию услуги вернет его на место

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

10 филиалов.

В центре 2 Isp в филиалах по 1 isp

 

Нужно объединить все филиалы в единую сеть. И в случае падения в центре одного из isp, чтобы трафик гнался через рабочий isp.

 

Ставите 2 микротика в центре, на каждом внешний IP. Удаленные клиенты устанавливают по L2TP туннелю на каждый из центральных микротиков, включаете OSPF и трафик на внутренние ресурсы сам пойдет по вашим туннелям, если нужно пустить туда и запросы в интернет, то маркируете манглами маршруты в сторону дефолта OSPF.

 

Если вам нужны какие-то привязки по адресам, то в удаленных офисах создаете бридж и вешаете туда какой-то адрес, например 10.10.10.2/32, по этому адресу и будете обращаться к устройству. На одном из центральных микротиках вешаете адрес 10.10.10.1/32 и адресуетесь на него, если нужно EoIP туннели сделать что бы прогнать вланы. Но в таком случае, если у вас сломается одно из центральных устройств, на которых этот адрес указан, то связь пропадет. Тут выгодно поставить в центре еще и третий микротик, на котором установите этот адрес и все будет работать при полном выходе из строя любого центрального микротика, подключенного к каналам провайдера.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Saab95, а почему l2tp, а не gre?

 

Какой микротик ставить в центр если будет 20 филиалов. в центре 10-20 мегабит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Saab95, а почему l2tp, а не gre?

 

Потому что в центре включите L2TP сервер. На вкладке Secrets заведете учетные записи для своих офисов, каждому укажете свой уникальный IP адрес. После на центральном микротике в списке регистраций будут показаны все подключенные офисы, их аптайм и т.п.

При этом со стороны офисов не требуется иметь белый адрес. GRE туннель требует двух фиксированных адресов для своей работы. Некоторые занимаются ерундой и делают еще туннели поверх L2TP =).

 

 

Какой микротик ставить в центр если будет 20 филиалов. в центре 10-20 мегабит.

 

Если у вас там канал в 20 мбит то хватит и RB951G-2HnD или RB2011, процессоры у них одинаковые, отличаются только количеством портов. Целесообразно взять первую модель, т.к. если в будущем канал расширят и устройство перестанет справляться, его можно снять и поставить домой в качестве вайфай роутера, или поставить в один из офисов, а в центр купить более мощную железку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вот вопрос, что в центре ставить?

 

А если в центре линухи в hyper-v?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Удаленные клиенты устанавливают по L2TP туннелю

т.е. шифрования не будет. ооок!

 

Вот вопрос, что в центре ставить?

 

А если в центре линухи в hyper-v?

SaaB95 продает микротики и пытается окучить еще одного клиента вне зависимости от его хотелок.

 

вам L3 надо или хочется большой броадкаст-домен?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

^rage^ один большой бродкас домен наверное плоховато. Полосы пропускания маловаты.

Скорей всего L3

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

^rage^ один большой бродкас домен наверное плоховато. Полосы пропускания маловаты.

Скорей всего L3

если вам шифрования не надо и каких-либо требований к безопасности нет - берите l2tp.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

я не понимаю почему нельзя использовать gre например? почему любят использовать l2tp?

 

Шифровать внутри трафик нужно определенный. Наверное можно пустить для этого поверх Ipsec?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

я не понимаю почему нельзя использовать gre например? почему любят использовать l2tp?

 

Шифровать внутри трафик нужно определенный. Наверное можно пустить для этого поверх Ipsec?

Саб gre в глаза не видел поэтому так категорично настроен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вот вопрос, что в центре ставить?

 

Микротик, в зависимости от пропускной способности разные модели.

 

А если в центре линухи в hyper-v?

 

Тогда вы наживаете себе проблемы.

 

т.е. шифрования не будет. ооок!

 

Зачем оно нужно? Все приложения, работающие с важными данными, сами их шифруют.

Обычно требования к шифрованию идут от не верно составленного ТЗ. К нам часто обращаются с такими вопросами, хотят канал между офисами со скоростью 100мбит через интернет с шифрованием, однако, когда понимают, что им потребуется поставить как минимум 2 микротика CCR, сразу спрашивают - "а если без шифрования"? Тогда RB951G хватит.

 

я не понимаю почему нельзя использовать gre например? почему любят использовать l2tp?

 

Есть протоколы клиент-сервер, а есть клиент-клиент.

 

L2TP это клиент-сервер, а другие, например GRE туннель, IP-IP туннель, EoIP туннель и т.п., клиент-клиент, то есть требуют указания IP адресов противоположных устройств. Если в центре у вас будет внешний адрес, то в удаленных офисах он может быть не всегда, либо за него требуется платить. Именно из-за любви к подобным протоколам, многие юрлица требуют белый адрес, хотя при использовании нормальных протоколов, могли бы получить интернет за меньшие деньги.

 

Шифровать внутри трафик нужно определенный. Наверное можно пустить для этого поверх Ipsec?

 

IPSEC это не протокол туннельной передачи данных, а механизм шифрования, вы его можете пустить поверх любого IP протокола. Кроме всего он уже устаревший.

 

Саб gre в глаза не видел поэтому так категорично настроен.

 

Еще этот протокол блокируют некоторые провайдеры с аппаратным натом, если нужно шифрование самое оптимальное решение это SSTP. Протокол с шифрованием и гарантированной доставкой данных.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

т.е. шифрования не будет. ооок!

Зачем оно нужно? Все приложения, работающие с важными данными, сами их шифруют.

как много вы видели шифрованного SMB-трафика?

 

Обычно требования к шифрованию идут от не верно составленного ТЗ. К нам часто обращаются с такими вопросами, хотят канал между офисами со скоростью 100мбит через интернет с шифрованием, однако, когда понимают, что им потребуется поставить как минимум 2 микротика CCR, сразу спрашивают - "а если без шифрования"? Тогда RB951G хватит.

это говорит лишь о том, что железо слабое и нет криптоакселераторов :)

 

IPSEC это не протокол туннельной передачи данных

а как же tunnel mode?

 

 

 

а механизм шифрования, вы его можете пустить поверх любого IP протокола.

расскажите, как вы его пустите поверх icmp или tcp.

 

Кроме всего он уже устаревший.

srsly?!! а что ж тогда оно есть _везде_, даже в новой-новой windows 10?

 

Еще этот протокол блокируют некоторые провайдеры с аппаратным натом, если нужно шифрование самое оптимальное решение это SSTP. Протокол с шифрованием и гарантированной доставкой данных.

Сааб, ну а как у этого( и у l2tp) щщастя с mitm? вот подниму я свой l2tp/sstp сервер и заверну трафик на него. любые пароли от клиента принимаем(а лучше релеим к целевому серверу) и спокойно слуашаем всё что внутри туннеля.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

как много вы видели шифрованного SMB-трафика?

 

Я не видел.

 

это говорит лишь о том, что железо слабое и нет криптоакселераторов :)

 

Зато цена низкая.

 

а как же tunnel mode?

 

Это на каких устройствах такое работает?

 

расскажите, как вы его пустите поверх icmp или tcp.

 

Имелся в виду тот же IPSEC, достаточно поднять любой IP канал, а поверх него запустить устаревший протокол.

 

srsly?!! а что ж тогда оно есть _везде_, даже в новой-новой windows 10?

 

Там еще много чего имеется для совместимости со старыми приложениями.

 

Сааб, ну а как у этого( и у l2tp) щщастя с mitm? вот подниму я свой l2tp/sstp сервер и заверну трафик на него. любые пароли от клиента принимаем(а лучше релеим к целевому серверу) и спокойно слуашаем всё что внутри туннеля.

 

Все отлично, как вы через интернет пакеты на свой сервер завернуть сможете?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

как много вы видели шифрованного SMB-трафика?

 

Я не видел.

 

И как вы тогда представляете такое без шифрования?

 

а как же tunnel mode?

Это на каких устройствах такое работает?

Cisco, Juniper, Linux... да много кто.

 

расскажите, как вы его пустите поверх icmp или tcp.

Имелся в виду тот же IPSEC, достаточно поднять любой IP канал, а поверх него запустить устаревший протокол.

Больше оверхеда для бога оверхеда!

 

srsly?!! а что ж тогда оно есть _везде_, даже в новой-новой windows 10?

Там еще много чего имеется для совместимости со старыми приложениями.

например, pptp/l2tp

 

Сааб, ну а как у этого( и у l2tp) щщастя с mitm? вот подниму я свой l2tp/sstp сервер и заверну трафик на него. любые пароли от клиента принимаем(а лучше релеим к целевому серверу) и спокойно слуашаем всё что внутри туннеля.

Все отлично, как вы через интернет пакеты на свой сервер завернуть сможете?

сходу - потравить днс. вклиниться не проблема. так как же клиенту быть уверенным, что он подключился _именно к тому_ серверу?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

сходу - потравить днс. вклиниться не проблема. так как же клиенту быть уверенным, что он подключился _именно к тому_ серверу?

 

Сейчас почти все сайты по HTTPS работают.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сейчас почти все сайты по HTTPS работают.

Сааб - мастер уводить неприятный разговор в сторону, ахха. Речь вообще-то была про l2tp...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

сходу - потравить днс. вклиниться не проблема

ДНС у нормального прова травить устанете, и с чего вы уверены, что туннель все по мнемонике поднимают, а не по IP?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.