thebooblik Posted August 25, 2016 · Report post Здравствуйте! Есть несколько вопросов по теме. Задача объединить два офиса по VPN, обеспечить возможность круглосуточной работы. И есть несколько проблем, хочется спросить совета в реализации. В обоих офисах по два канала: белая статика(pppoe) + adsl с серыми ip. В одном офисе RB751U, во втором hapLite. И к обоим сложно подключить напрямую в порт adsl-модем. Т.е. от роутера в сеть приходит только один физический кабель. В одном из офисов можно подключить модем к роутеру, во втором практически никак, т.к. роутер стоит в другом здании и соединен с офисом по радиоканалу. Вариант только перенести роутер в наше здание, а кабель провайдера запустить в радиоканал. Теперь к вопросам. Я думаю сделать связку "модем_adsl-RB250GS-сеть_предприятия-роутер", на роутере поднять vlan и на этом vlan поднять pppoe. Стоит ли реализовывать? Каким образом потом отслеживать падение одного из каналов? Как-то мне не очень нравится данная схема, особенно по причине слабого понимания работы vlan :) Опыт настройки есть, но он небольшой. Т.к. резервный канал с серым Ip, то каким образом достукиваться по vpn к роутеру? Задействовать cloud? Или лучше сторонний сервис типа no-ip и скриптом обновлять? Или заморочиться и протянуть кабели, подключить классически в eth1 первый линк, eth2 второй, а сеть в eth3? И сразу посоветуйте протокол для vpn. На первом месте скорость работы, т.к. канал нужен в первую очередь для приема данных с оборудования и удаленной работы сотрудников. Share this post Link to post Share on other sites
Saab95 Posted August 26, 2016 · Report post У вас PPPoE и подключение по IP - все это можно загнать в один порт без всяких вланов, лишь бы операторское оборудование не поймало чужие STP и не стало отрубать порты. Поэтому все же самая лучшая схема это использовать отдельные порты. Если протянута одна витая пара, то ее можно обжать в 2 коннектора с каждой стороны и получить 2 физических линка (в кабеле 4 пар проводов, для работы на 100М используются только 2). В том месте где радиоканал, можно терминацию подключения сделать перед радио, а до роутера уже придет чистый IP. Если у вас есть белый IP с каждой стороны, тогда настраиваете туннели на подключение к белому, тогда при падении белого канала на одном роутере, соединение поднимется через серый адрес оператора и все продолжит работать. Падение PPPoE отработает само по себе, если прервется связь, однако часто случается так, что у оператора соединение есть, а доступа в интернет нет - такое проверить можно только скриптами с пингом. Самый правильный вариант это использовать промежуточную точку с белым IP, которая всегда работает, тогда каждый офис устанавливает соединения с ней и все. В каждом офисе целесообразно поставить по 2 роутера, каждый подключаете к своему провайдеру, настраиваете туннели и включаете поверх OSPF - этот протокол сам и маршруты обновит и согласует, и не работающий канал отключит. Туннели самое лучшее это L2TP, если он по каким-то причинам не проходит через операторов, то PPTP и SSTP - последний с гарантированной доставкой пакетов и шифрованием, поэтому скорость через него будет ниже из-за загрузки процессора и передачи лишних данных. Если подразумевается удаленная работа сотрудников, которые тоже подключаются по PPP, то тут вариант либо PPTP, либо SSTP - современные версии винды поддерживают оба. Share this post Link to post Share on other sites
thebooblik Posted August 27, 2016 · Report post У вас PPPoE и подключение по IP - все это можно загнать в один порт без всяких вланов, лишь бы операторское оборудование не поймало чужие STP и не стало отрубать порты. Поэтому все же самая лучшая схема это использовать отдельные порты. Если протянута одна витая пара, то ее можно обжать в 2 коннектора с каждой стороны и получить 2 физических линка (в кабеле 4 пар проводов, для работы на 100М используются только 2). В том месте где радиоканал, можно терминацию подключения сделать перед радио, а до роутера уже придет чистый IP. Если у вас есть белый IP с каждой стороны, тогда настраиваете туннели на подключение к белому, тогда при падении белого канала на одном роутере, соединение поднимется через серый адрес оператора и все продолжит работать. Падение PPPoE отработает само по себе, если прервется связь, однако часто случается так, что у оператора соединение есть, а доступа в интернет нет - такое проверить можно только скриптами с пингом. Самый правильный вариант это использовать промежуточную точку с белым IP, которая всегда работает, тогда каждый офис устанавливает соединения с ней и все. В каждом офисе целесообразно поставить по 2 роутера, каждый подключаете к своему провайдеру, настраиваете туннели и включаете поверх OSPF - этот протокол сам и маршруты обновит и согласует, и не работающий канал отключит. Туннели самое лучшее это L2TP, если он по каким-то причинам не проходит через операторов, то PPTP и SSTP - последний с гарантированной доставкой пакетов и шифрованием, поэтому скорость через него будет ниже из-за загрузки процессора и передачи лишних данных. Если подразумевается удаленная работа сотрудников, которые тоже подключаются по PPP, то тут вариант либо PPTP, либо SSTP - современные версии винды поддерживают оба. Спасибо за развернутый ответ! Про OSPF почитал, вариант отличный, но найти точку с белым IP, которая всегда в сети пока не представляется возможным. Запланирую данный вариант на будущее, попробую поговорить с провайдерами, чтобы разместить у них свою железку. Я правильно понял, что на данный момент лучшим вариантом будет настройка туннелей от серого к белому, т.е. перекрестно? Пока что переделаю подключения так, чтобы провод провайдера приходил непосредственно в микротики. Про протоколы тоже понял, настраивал оба варианта на микротиках. L2TP у нас работает замечательно, задействую именно его. Работа пользователей из дома удаленно тоже планируется. Share this post Link to post Share on other sites
Saab95 Posted August 28, 2016 · Report post Если у вас на каждом роутере 2 подключения, то данные, обычно, уходят через один какой-то канал. Вы можете просто создать туннель на белый адрес, тогда при работе основного канала, например белого адреса, будет все идти через него, если канал перестанет работать, то его надо выключить, и туннель переподключиться уже через серый адрес. Что бы сразу работало 2 активных подключения, нужно либо 2 микротика, либо по 2 белых адреса с каждой стороны, тогда вы второй белый адрес заворачиваете статическим маршрутом на провайдера с серым адресом. Share this post Link to post Share on other sites
myth Posted September 1, 2016 · Report post Может не стоит плодить сущности и настроить таки vlan? Share this post Link to post Share on other sites
thebooblik Posted September 2, 2016 · Report post А что если арендовать виртуалку в облаке с белым IP, поставить на нее MikrotikOS и ее использовать как "корневой"? И потом все таки пока что не плодить железки, а в каждом офисе подключить по два канала к микротику, поднять туннель до корневого роутера.. Доступность канала проверить можно разными способами, либо стандарно, либо со скриптами. Share this post Link to post Share on other sites
thebooblik Posted September 20, 2016 · Report post Продолжу тему. На данный момент в офисах стоит по 751-му микротику, терминация сделана по радио и на каждой железке поднят pppoe. Провайдер - Ростелеком. Это как-бы "оптика". Ещё есть по каналу adsl того же Ростелекома, но я что-то с полпинка не смог сделать failover. Поругайте? Adsl модемы в бридже, должны выдавать ip на интерфейс микротика, верно? Далее на микротике на интерфейсе с модемом поднимаю pppoe, снимаю галку "add default route". Ну и в pppoe с оптикой тоже её убираю. И затем что-то типа: /ip route add dst-address=0.0.0.0/0 gateway=<IP ISP1 "pppoe1"> distance=1 check-gateway=ping /ip route add dst-address=0.0.0.0/0 gateway=<IP ISP2 "pppoe2"> distance=2 check-gateway=ping Только кажется Ростелеком меняет адрес шлюза, т.е в строке gateway я пишу не IP адрес, а указываю интерфейс pppoe? Или это бред и в моем случае только скрипты помогут? Подскажите, уже плохо соображаю. От вида витой пары и скакания по крышам начинает подташнивать :) Share this post Link to post Share on other sites
thebooblik Posted September 20, 2016 · Report post Забыл главное. Арендован VPS, на нем установлена RouterOS. На микротиках в офисах поднят l2tp до VPS, поверх поднят OSPF. Ресурсы обоих сетей доступны из любого офиса. Осталось решить проблему failover'a на случай отключения одного из каналов. А эти случаи происходят с периодичностью раз в три дня. Share this post Link to post Share on other sites
Saab95 Posted September 20, 2016 · Report post То есть при падении одного канала происходит 40 секундная пауза? Так в OSPF время регулируется, поставьте там 1 секунду. Share this post Link to post Share on other sites
nkusnetsov Posted September 21, 2016 (edited) · Report post thebooblik, если поднято по два l2tp-линка, можно не трогать таймеры OSPF. Просто для оперативного реагирования на падения каналов есть BFD. В свойствах всех линковочных OSPF-интерфейсов включаете "Use BFD". P.S. или у Вас всего на одному l2tp-туннелю поднято? Edited September 21, 2016 by nkusnetsov Share this post Link to post Share on other sites
thebooblik Posted September 21, 2016 · Report post Поднято по одному l2tp туннелю. Не совсем понял про сразу два туннеля - предлагаете поднять сразу два на одном микротике к одному vps? Т.е каждый туннель поднимается по отдельному интернет-каналу? Не доходит до меня что-то.. :) И можно поподробнее про 1 секунду в OSPF? Где про это посмотреть? На самом деле 1 секунда - это вообще космос. Хотелось бы чтобы канал переключался хотя бы в течении 10 секунд. Share this post Link to post Share on other sites
WY6EPT Posted September 21, 2016 (edited) · Report post Почитай в гугле bfd ospf. Из настроек одна галочка. Остальное по дефолту можно оставить :) Мы сейчас пробуем уложить переключение в 1.3 секунды, что бы tcp сессия не рвалась. Кстати в ospf при правильных настройках приоритетов можно оба канала утилизировать :) Edited September 21, 2016 by WY6EPT Share this post Link to post Share on other sites
thebooblik Posted September 29, 2016 · Report post Почитай в гугле bfd ospf. Из настроек одна галочка. Остальное по дефолту можно оставить :) Мы сейчас пробуем уложить переключение в 1.3 секунды, что бы tcp сессия не рвалась. Кстати в ospf при правильных настройках приоритетов можно оба канала утилизировать :) Почитал, галочку нашел. Но не нашел сходу как это применить в моей конфигурации... Нужно удалить динамически созданные интерфейсы в разделе OSPF и добавить свои с включенным bdf ospf? И как это повлияет на скорость переключения на резервный pppoe? Share this post Link to post Share on other sites
Saab95 Posted September 29, 2016 · Report post Почитал, галочку нашел. Но не нашел сходу как это применить в моей конфигурации... Нужно удалить динамически созданные интерфейсы в разделе OSPF и добавить свои с включенным bdf ospf? И как это повлияет на скорость переключения на резервный pppoe? Вводите команду /routing ospf interface add interface=all use-bfd=yes И все само заработает. Динамические интерфейсы сами пропадут если руками создадите настройки для каждого интерфейса. Только на сервере в центре динамически учетки не привяжите от туннелей, поэтому руками лучше ничего не настраивать. Имеется в виду привязки к туннелям. Пусть все работает и создается автоматически. Share this post Link to post Share on other sites
DRiVen Posted September 29, 2016 · Report post Только кажется Ростелеком меняет адрес шлюза Если у вас псевдостатические адреса, то вряд ли, но т.е в строке gateway я пишу не IP адрес, а указываю интерфейс pppoe? в случае рррое и надо указывать не ip, а интерфейс туннеля. Share this post Link to post Share on other sites
thebooblik Posted March 22, 2018 · Report post Подниму-ка свою старую тему. Помогите поднять резервный канал на микротике? Чет я совсем крышей поехал... На МТ есть два стула канала pppoe, описано в первом посте, только теперь основной с белым IP. ADLS не вывозит, затянули вторую линию. Ну как затянули... провайдер поставил приемную wifi-антенну на вышке, настроили ее роутером с внутренним адресом 192.168.2.1 и торжественно передали кусок провода в руки. А дальше у меня ступор: dhcp-клиент настроил, masquerade сделал, маршрут прописал и ничего дальше шлюза мой микротик не пингует через этот интерфейс. ЧЯДНТ? Интернет на кабеле имеется, при подключении любого другого оборудования адрес выдается автоматом и все работает. Вот конфа(поубирал лишнее), 1 и 10 порты под pppoe, 8-й - static ip. /interface l2tp-server add name=***** user=******* add name=******* user=******* /interface bridge add name=bridge-local add admin-mac=D4:CA:6D:B4:31:79 auto-mac=no disabled=yes name=bridge-local /interface ethernet set [ find default-name=ether1 ] name=ether1-gateway set [ find default-name=ether2 ] name=ether2-vbr set [ find default-name=ether3 ] name=ether3-bonding set [ find default-name=ether4 ] name=ether4-bonding set [ find default-name=ether5 ] name=ether5-slave-local /interface wireless set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce \ disabled=no distance=indoors frequency=auto mode=ap-bridge ssid=local \ wireless-protocol=802.11 /interface pppoe-client add disabled=no interface=ether1-gateway max-mru=1480 max-mtu=1480 mrru=1600 \ name=pppoe-out1 password=******** user=********* add disabled=no interface=ether10 name=pppoe-out2 password=******** user=\ ******* /interface bonding add mode=broadcast name=bonding_server slaves=ether3-bonding,ether4-bonding \ transmit-hash-policy=layer-2-and-3 /interface wireless security-profiles set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk eap-methods="" \ mode=dynamic-keys wpa-pre-shared-key=****** wpa2-pre-shared-key=\ ****** /ip pool add name=vpn ranges=192.168.89.2-192.168.89.255 add name=local ranges=192.168.1.215-192.168.1.254 add name=pool1 next-pool=local ranges=192.168.1.150-192.168.1.197 /ip dhcp-server add address-pool=pool1 disabled=no interface=bridge-local lease-time=8h \ name=local /ppp profile set *0 use-ipv6=default add name=filial3 use-compression=yes set *FFFFFFFE local-address=192.168.89.1 remote-address=vpn /interface l2tp-client add allow=mschap2 connect-to=95.215.110.115 disabled=no name=****** \ password=****** profile=filial3 user=******* /interface pptp-client add connect-to=212.12.30.170 mrru=1600 name=pptp-out1 password=******* \ profile=default user=*** /interface bridge port add bridge=bridge-local interface=wlan1 add bridge=bridge-local interface=ether5-slave-local add bridge=bridge-local interface=ether6 add bridge=bridge-local interface=ether7 add bridge=bridge-local disabled=yes interface=ether8-ISP2 add bridge=bridge-local interface=ether9 add bridge=bridge-local interface=bonding_server add bridge=bridge-local interface=ether2-vbr /interface sstp-server server set default-profile=default-encryption enabled=yes /ip address add address=192.168.1.1/24 interface=bridge-local network=192.168.1.0 add address=192.168.2.2 disabled=yes interface=ether8-ISP2 network=\ 192.168.2.0 /ip cloud set ddns-enabled=yes /ip dhcp-client add dhcp-options=hostname,clientid interface=ether1-gateway add add-default-route=no dhcp-options=hostname,clientid disabled=no \ interface=ether8-ISP2 use-peer-ntp=no /ip dhcp-server network add address=192.168.1.0/24 gateway=192.168.1.1 netmask=24 /ip dns set servers=212.12.0.3,212.12.0.2 /ip firewall filter add action=accept chain=input protocol=tcp add action=accept chain=forward /ip firewall mangle add action=mark-connection chain=prerouting disabled=yes new-connection-mark=\ UDP passthrough=yes protocol=udp add action=mark-packet chain=prerouting disabled=yes new-packet-mark=\ UDP_Packet passthrough=yes protocol=udp add action=mark-routing chain=prerouting comment="Mark packet for WCCP" \ disabled=yes dst-address=!192.168.0.0/24 dst-port=80 new-routing-mark=web \ passthrough=yes protocol=tcp add action=mark-packet chain=forward comment=LAN dst-address-list=LAN \ new-packet-mark=LAN passthrough=yes /ip firewall nat add action=masquerade chain=srcnat comment="Masquerade PPPOE" out-interface=\ pppoe-out1 add action=masquerade chain=srcnat comment="Masquerade PPPOE" out-interface=\ pppoe-out2 add action=masquerade chain=srcnat comment="Masquerade STATIC IP" \ out-interface=ether8-ISP2 /ip proxy set cache-on-disk=yes cache-path=primary-master /ip route add check-gateway=ping distance=1 gateway=pppoe-out1 add check-gateway=ping distance=3 gateway=pppoe-out2 add check-gateway=ping distance=5 gateway=ether8-ISP2 add check-gateway=ping disabled=yes distance=2 dst-address=192.168.2.0/24 \ gateway=ether8-ISP2 Share this post Link to post Share on other sites
thebooblik Posted March 27, 2018 · Report post Поставил hAP Lite в качестве pppoe-сервера и забыл о проблеме Share this post Link to post Share on other sites