faq4272 Posted October 8, 2015 · Report post Добрый день форумчане, хочу у вас спросить совета. Есть задача сделать для ~500 mikrotikов, едиными правила firewall, так как необходимость сменить какое-нибудь 1 правило превращается в ад. Вариант решения с применением ssh pytty, и подобные им мне кажутся излишне сложными. Решил попробовать следующее: Сами микротики соединены между собой l2tp. Я при помощи mangle маркирую трафик какого-то одного из них, и всем остальным говорю ходить через него, так же благодаря манглам. Проблема такого решение состоит в том, что l2tp отъедает ~60% пропускной способности канала. То есть, если у нас у микротика А канал в сотку, и у микротика Б тоже канал в сотку, то передача файла через l2tp между ними будет где-то 30. И соответственно если мы назначим всем шлюз через l2tp то все, мягко говоря, удивятся своей новой скорости интернета. У всех микротиков, кроме "шлюза" динамические ip. Что бы вы посоветовали в подобной ситуации? Может есть какой-то другой способ объединить микротики для подобной задачи? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Liner's Posted October 8, 2015 · Report post прошу уточнить, я не понял, выход в инет может быть через любой из 500 микротиков? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
faq4272 Posted October 8, 2015 (edited) · Report post прошу уточнить, я не понял, выход в инет может быть через любой из 500 микротиков? Да, в данный момент каждый микротик имеет выход в интернет. И клиенты используют как шлюз микротик который находится у них локально. И у всех свои правила выхода в интернет. А я хочу чтобы они использовали "удаленный" шлюз с едиными для всех правилами firewall, и ходили в интернет через него. Но при этом ничего не менять у них в интерфейсе на компьютере. Edited October 8, 2015 by faq4272 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alexaaa Posted October 8, 2015 (edited) · Report post 500 Микротиков!!! Микротик на Микротик! и ёщё раз Микротик! Edited October 8, 2015 by alexaaa Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Liner's Posted October 8, 2015 · Report post это похоже на какое то использование сети оператора для своих нужд в немалом масштабе Вы коллега или не то хотите, или не так обьясняете Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
faq4272 Posted October 8, 2015 · Report post это похоже на какое то использование сети оператора для своих нужд в немалом масштабе Вы коллега или не то хотите, или не так обьясняете Ну хорошо, давайте конктретизируем немного, так как соглашусь может не совсем ясно ставлю задачу. Есть N точек по России, где нет вообще нормального интернета, но есть 3g. А поддержка им нужна. Поэтому в каждой такой точке есть связка 3g модем + rb951. Но так как канал интернета ооочень маленький у 3g, да и в целом пользователям интернет в широком смысле не нужен, он у них отключен за исключением нескольких гос. сайтов. То есть в каждой точке интернет служит для доступа к этим сайтам и поддержке пользователей(ammyy admin, team viewer, vnc), ну и собственно мониторинга самого микротика(для этого l2tp, чтобы к микротику был доступ по туннельному ip) l2tp сервер находится в центральном офисе откуда это все дело мониторится и поддерживается. А теперь представим наше славное государство обязует вести учет чего либо на новом сайте который у нас нигде не прописан. И нам приходится править правила firewall на каждом микротике, что не очень хорошо. Основная задача сейчас управлять доступом в интернет всех узлов централизовано из одной точки парой кликов, без скриптов. Как это реализовать без подмены шлюза я незнаю. Если вы видите какой то другой вариант,озвучьте пожалуйста. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vurd Posted October 8, 2015 · Report post Все свести в центр, файрволить в центре. Можно выделить несколько "центральных узлов" для географического деления. Если нужен доступ к ряду сайтов, то значит трафика там копейки, вот и свести куда-нить с более-менее широким каналом и всё порезать лишнее. Обычный hub&spoke. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted October 18, 2015 · Report post Вам надо в центре где-то найти канал интернета с хорошей скоростью, все удаленные микротики будут подключаться туда по L2TP и весь трафик интернета пойдет в центр, там уже и будете резать, ограничивать и т.п. Если связь с центром пропадет, то у всех ваших удаленных микротиков ничего работать не будет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
g3fox Posted October 19, 2015 · Report post Очередной деревянный "спец" из гос. конторы. В вашей реализации всё очень сильно будет зависеть от одного устройства в центре. Это проблема решаемая, но по вашим вопросам видно, что не для вас. Чтобы править конфиг на 500 микротиках можно прибегнуть к автоматизации, да-да, есть такое понятие "автоматизация". Попробуйте над ним поразмышлять. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vlad11 Posted October 19, 2015 · Report post Кстати, мне на конференции, магистралы доказывали, что так нельзя делать. Надо покупать у них дорогую, качественную последнюю милю :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dsk Posted October 19, 2015 · Report post В центре поднимайте ftp или web сервер, куда будут выложен файл с правилами файрвола. На микротиках поднимайте скрипт, который будет, допустим, раз в сутки выгружать этот файл и заливать правила файрвола из него. Куда уже проще и без извращений. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted October 20, 2015 · Report post В центре поднимайте ftp или web сервер, куда будут выложен файл с правилами файрвола. На микротиках поднимайте скрипт, который будет, допустим, раз в сутки выгружать этот файл и заливать правила файрвола из него. Куда уже проще и без извращений. Как раз самое извращенное из того, что можно придумать. Если у каждого устройства есть связь в центр, то нужно из центра отправлять команды на них, а не делать так, что бы они загружали какой-то там файл. Кто будет отслеживать загрузили его или нет? По логам FTP? =) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dsk Posted October 20, 2015 · Report post Это самое простое из всего возможного. Если бюджетники, то вполне могут заказать и написание NMS, и слить еще и бюджет под конец года. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Serejka Posted October 20, 2015 · Report post Это самое простое из всего возможного. Если бюджетники, то вполне могут заказать и написание NMS, и слить еще и бюджет под конец года. Это самое "ну его нахер". Скрипты и микротик лучше не мешать, или вас проклянут, несчастливые обладатели этого костыля, возможно, не сразу. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...