Jump to content
Калькуляторы

Mikrotik, l2tp, 1 общий шлюз на всю сеть.

Добрый день форумчане, хочу у вас спросить совета.

Есть задача сделать для ~500 mikrotikов, едиными правила firewall, так как необходимость сменить какое-нибудь 1 правило превращается в ад. Вариант решения с применением ssh pytty, и подобные им мне кажутся излишне сложными.

Решил попробовать следующее:

Сами микротики соединены между собой l2tp. Я при помощи mangle маркирую трафик какого-то одного из них, и всем остальным говорю ходить через него, так же благодаря манглам.

Проблема такого решение состоит в том, что l2tp отъедает ~60% пропускной способности канала. То есть, если у нас у микротика А канал в сотку, и у микротика Б тоже канал в сотку, то передача файла через l2tp между ними будет где-то 30. И соответственно если мы назначим всем шлюз через l2tp то все, мягко говоря, удивятся своей новой скорости интернета.

У всех микротиков, кроме "шлюза" динамические ip.

Что бы вы посоветовали в подобной ситуации? Может есть какой-то другой способ объединить микротики для подобной задачи?

Share this post


Link to post
Share on other sites

прошу уточнить, я не понял, выход в инет может быть через любой из 500 микротиков?

Share this post


Link to post
Share on other sites

прошу уточнить, я не понял, выход в инет может быть через любой из 500 микротиков?

Да, в данный момент каждый микротик имеет выход в интернет. И клиенты используют как шлюз микротик который находится у них локально. И у всех свои правила выхода в интернет. А я хочу чтобы они использовали "удаленный" шлюз с едиными для всех правилами firewall, и ходили в интернет через него. Но при этом ничего не менять у них в интерфейсе на компьютере.

Edited by faq4272

Share this post


Link to post
Share on other sites

500 Микротиков!!! Микротик на Микротик! и ёщё раз Микротик!

Edited by alexaaa

Share this post


Link to post
Share on other sites

это похоже на какое то использование сети оператора для своих нужд в немалом масштабе

Вы коллега или не то хотите, или не так обьясняете

Share this post


Link to post
Share on other sites

это похоже на какое то использование сети оператора для своих нужд в немалом масштабе

Вы коллега или не то хотите, или не так обьясняете

Ну хорошо, давайте конктретизируем немного, так как соглашусь может не совсем ясно ставлю задачу.

Есть N точек по России, где нет вообще нормального интернета, но есть 3g. А поддержка им нужна. Поэтому в каждой такой точке есть связка 3g модем + rb951. Но так как канал интернета ооочень маленький у 3g, да и в целом пользователям интернет в широком смысле не нужен, он у них отключен за исключением нескольких гос. сайтов. То есть в каждой точке интернет служит для доступа к этим сайтам и поддержке пользователей(ammyy admin, team viewer, vnc), ну и собственно мониторинга самого микротика(для этого l2tp, чтобы к микротику был доступ по туннельному ip)

l2tp сервер находится в центральном офисе откуда это все дело мониторится и поддерживается. А теперь представим наше славное государство обязует вести учет чего либо на новом сайте который у нас нигде не прописан. И нам приходится править правила firewall на каждом микротике, что не очень хорошо.

Основная задача сейчас управлять доступом в интернет всех узлов централизовано из одной точки парой кликов, без скриптов. Как это реализовать без подмены шлюза я незнаю. Если вы видите какой то другой вариант,озвучьте пожалуйста.

Share this post


Link to post
Share on other sites

Все свести в центр, файрволить в центре. Можно выделить несколько "центральных узлов" для географического деления.

Если нужен доступ к ряду сайтов, то значит трафика там копейки, вот и свести куда-нить с более-менее широким каналом и всё порезать лишнее. Обычный hub&spoke.

Share this post


Link to post
Share on other sites

Вам надо в центре где-то найти канал интернета с хорошей скоростью, все удаленные микротики будут подключаться туда по L2TP и весь трафик интернета пойдет в центр, там уже и будете резать, ограничивать и т.п. Если связь с центром пропадет, то у всех ваших удаленных микротиков ничего работать не будет.

Share this post


Link to post
Share on other sites

Очередной деревянный "спец" из гос. конторы.

В вашей реализации всё очень сильно будет зависеть от одного устройства в центре. Это проблема решаемая, но по вашим вопросам видно, что не для вас.

Чтобы править конфиг на 500 микротиках можно прибегнуть к автоматизации, да-да, есть такое понятие "автоматизация". Попробуйте над ним поразмышлять.

Share this post


Link to post
Share on other sites

Кстати, мне на конференции, магистралы доказывали, что так нельзя делать. Надо покупать у них дорогую, качественную последнюю милю :)

Share this post


Link to post
Share on other sites

В центре поднимайте ftp или web сервер, куда будут выложен файл с правилами файрвола. На микротиках поднимайте скрипт, который будет, допустим, раз в сутки выгружать этот файл и заливать правила файрвола из него. Куда уже проще и без извращений.

Share this post


Link to post
Share on other sites

В центре поднимайте ftp или web сервер, куда будут выложен файл с правилами файрвола. На микротиках поднимайте скрипт, который будет, допустим, раз в сутки выгружать этот файл и заливать правила файрвола из него. Куда уже проще и без извращений.

 

Как раз самое извращенное из того, что можно придумать. Если у каждого устройства есть связь в центр, то нужно из центра отправлять команды на них, а не делать так, что бы они загружали какой-то там файл. Кто будет отслеживать загрузили его или нет? По логам FTP? =)

Share this post


Link to post
Share on other sites

Это самое простое из всего возможного. Если бюджетники, то вполне могут заказать и написание NMS, и слить еще и бюджет под конец года.

Share this post


Link to post
Share on other sites

Это самое простое из всего возможного. Если бюджетники, то вполне могут заказать и написание NMS, и слить еще и бюджет под конец года.

 

Это самое "ну его нахер". Скрипты и микротик лучше не мешать, или вас проклянут, несчастливые обладатели этого костыля, возможно, не сразу.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this