[thebooblik]

Здравствуйте!

 

Есть несколько вопросов по теме. Задача объединить два офиса по VPN, обеспечить возможность круглосуточной работы. И есть несколько проблем, хочется спросить совета в реализации.

В обоих офисах по два канала: белая статика(pppoe) + adsl с серыми ip. В одном офисе RB751U, во втором hapLite. И к обоим сложно подключить напрямую в порт adsl-модем. Т.е. от роутера в сеть приходит только один физический кабель. В одном из офисов можно подключить модем к роутеру, во втором практически никак, т.к. роутер стоит в другом здании и соединен с офисом по радиоканалу. Вариант только перенести роутер в наше здание, а кабель провайдера запустить в радиоканал.

Теперь к вопросам. Я думаю сделать связку "модем_adsl-RB250GS-сеть_предприятия-роутер", на роутере поднять vlan и на этом vlan поднять pppoe. Стоит ли реализовывать? Каким образом потом отслеживать падение одного из каналов? Как-то мне не очень нравится данная схема, особенно по причине слабого понимания работы vlan :) Опыт настройки есть, но он небольшой.

Т.к. резервный канал с серым Ip, то каким образом достукиваться по vpn к роутеру? Задействовать cloud? Или лучше сторонний сервис типа no-ip и скриптом обновлять?

Или заморочиться и протянуть кабели, подключить классически в eth1 первый линк, eth2 второй, а сеть в eth3?

И сразу посоветуйте протокол для vpn. На первом месте скорость работы, т.к. канал нужен в первую очередь для приема данных с оборудования и удаленной работы сотрудников.

[Saab95]

У вас PPPoE и подключение по IP - все это можно загнать в один порт без всяких вланов, лишь бы операторское оборудование не поймало чужие STP и не стало отрубать порты. Поэтому все же самая лучшая схема это использовать отдельные порты. Если протянута одна витая пара, то ее можно обжать в 2 коннектора с каждой стороны и получить 2 физических линка (в кабеле 4 пар проводов, для работы на 100М используются только 2). В том месте где радиоканал, можно терминацию подключения сделать перед радио, а до роутера уже придет чистый IP.

 

Если у вас есть белый IP с каждой стороны, тогда настраиваете туннели на подключение к белому, тогда при падении белого канала на одном роутере, соединение поднимется через серый адрес оператора и все продолжит работать. Падение PPPoE отработает само по себе, если прервется связь, однако часто случается так, что у оператора соединение есть, а доступа в интернет нет - такое проверить можно только скриптами с пингом.

 

Самый правильный вариант это использовать промежуточную точку с белым IP, которая всегда работает, тогда каждый офис устанавливает соединения с ней и все. В каждом офисе целесообразно поставить по 2 роутера, каждый подключаете к своему провайдеру, настраиваете туннели и включаете поверх OSPF - этот протокол сам и маршруты обновит и согласует, и не работающий канал отключит.

 

Туннели самое лучшее это L2TP, если он по каким-то причинам не проходит через операторов, то PPTP и SSTP - последний с гарантированной доставкой пакетов и шифрованием, поэтому скорость через него будет ниже из-за загрузки процессора и передачи лишних данных.

 

Если подразумевается удаленная работа сотрудников, которые тоже подключаются по PPP, то тут вариант либо PPTP, либо SSTP - современные версии винды поддерживают оба.

[thebooblik]

У вас PPPoE и подключение по IP - все это можно загнать в один порт без всяких вланов, лишь бы операторское оборудование не поймало чужие STP и не стало отрубать порты. Поэтому все же самая лучшая схема это использовать отдельные порты. Если протянута одна витая пара, то ее можно обжать в 2 коннектора с каждой стороны и получить 2 физических линка (в кабеле 4 пар проводов, для работы на 100М используются только 2). В том месте где радиоканал, можно терминацию подключения сделать перед радио, а до роутера уже придет чистый IP.

 

Если у вас есть белый IP с каждой стороны, тогда настраиваете туннели на подключение к белому, тогда при падении белого канала на одном роутере, соединение поднимется через серый адрес оператора и все продолжит работать. Падение PPPoE отработает само по себе, если прервется связь, однако часто случается так, что у оператора соединение есть, а доступа в интернет нет - такое проверить можно только скриптами с пингом.

 

Самый правильный вариант это использовать промежуточную точку с белым IP, которая всегда работает, тогда каждый офис устанавливает соединения с ней и все. В каждом офисе целесообразно поставить по 2 роутера, каждый подключаете к своему провайдеру, настраиваете туннели и включаете поверх OSPF - этот протокол сам и маршруты обновит и согласует, и не работающий канал отключит.

 

Туннели самое лучшее это L2TP, если он по каким-то причинам не проходит через операторов, то PPTP и SSTP - последний с гарантированной доставкой пакетов и шифрованием, поэтому скорость через него будет ниже из-за загрузки процессора и передачи лишних данных.

 

Если подразумевается удаленная работа сотрудников, которые тоже подключаются по PPP, то тут вариант либо PPTP, либо SSTP - современные версии винды поддерживают оба.

 

Спасибо за развернутый ответ!

Про OSPF почитал, вариант отличный, но найти точку с белым IP, которая всегда в сети пока не представляется возможным. Запланирую данный вариант на будущее, попробую поговорить с провайдерами, чтобы разместить у них свою железку.

Я правильно понял, что на данный момент лучшим вариантом будет настройка туннелей от серого к белому, т.е. перекрестно?

Пока что переделаю подключения так, чтобы провод провайдера приходил непосредственно в микротики. Про протоколы тоже понял, настраивал оба варианта на микротиках. L2TP у нас работает замечательно, задействую именно его. Работа пользователей из дома удаленно тоже планируется.

[Saab95]

Если у вас на каждом роутере 2 подключения, то данные, обычно, уходят через один какой-то канал. Вы можете просто создать туннель на белый адрес, тогда при работе основного канала, например белого адреса, будет все идти через него, если канал перестанет работать, то его надо выключить, и туннель переподключиться уже через серый адрес. Что бы сразу работало 2 активных подключения, нужно либо 2 микротика, либо по 2 белых адреса с каждой стороны, тогда вы второй белый адрес заворачиваете статическим маршрутом на провайдера с серым адресом.

[myth]

Может не стоит плодить сущности и настроить таки vlan?

[thebooblik]

А что если арендовать виртуалку в облаке с белым IP, поставить на нее MikrotikOS и ее использовать как "корневой"? И потом все таки пока что не плодить железки, а в каждом офисе подключить по два канала к микротику, поднять туннель до корневого роутера.. Доступность канала проверить можно разными способами, либо стандарно, либо со скриптами.

[thebooblik]

Продолжу тему. На данный момент в офисах стоит по 751-му микротику, терминация сделана по радио и на каждой железке поднят pppoe. Провайдер - Ростелеком. Это как-бы "оптика". Ещё есть по каналу adsl того же Ростелекома, но я что-то с полпинка не смог сделать failover. Поругайте?

Adsl модемы в бридже, должны выдавать ip на интерфейс микротика, верно? Далее на микротике на интерфейсе с модемом поднимаю pppoe, снимаю галку "add default route". Ну и в pppoe с оптикой тоже её убираю. И затем что-то типа:

/ip route add dst-address=0.0.0.0/0 gateway=<IP ISP1 "pppoe1"> distance=1 check-gateway=ping

/ip route add dst-address=0.0.0.0/0 gateway=<IP ISP2 "pppoe2"> distance=2 check-gateway=ping

Только кажется Ростелеком меняет адрес шлюза, т.е в строке gateway я пишу не IP адрес, а указываю интерфейс pppoe? Или это бред и в моем случае только скрипты помогут?

Подскажите, уже плохо соображаю. От вида витой пары и скакания по крышам начинает подташнивать :)

[thebooblik]

Забыл главное. Арендован VPS, на нем установлена RouterOS. На микротиках в офисах поднят l2tp до VPS, поверх поднят OSPF. Ресурсы обоих сетей доступны из любого офиса. Осталось решить проблему failover'a на случай отключения одного из каналов. А эти случаи происходят с периодичностью раз в три дня.

[Saab95]

То есть при падении одного канала происходит 40 секундная пауза? Так в OSPF время регулируется, поставьте там 1 секунду.

[nkusnetsov]

thebooblik, если поднято по два l2tp-линка, можно не трогать таймеры OSPF. Просто для оперативного реагирования на падения каналов есть BFD. В свойствах всех линковочных OSPF-интерфейсов включаете "Use BFD".

P.S. или у Вас всего на одному l2tp-туннелю поднято?

Edited September 21, 2016 by nkusnetsov

[thebooblik]

Поднято по одному l2tp туннелю. Не совсем понял про сразу два туннеля - предлагаете поднять сразу два на одном микротике к одному vps? Т.е каждый туннель поднимается по отдельному интернет-каналу? Не доходит до меня что-то.. :)

И можно поподробнее про 1 секунду в OSPF? Где про это посмотреть?

На самом деле 1 секунда - это вообще космос. Хотелось бы чтобы канал переключался хотя бы в течении 10 секунд.

[WY6EPT]

Почитай в гугле bfd ospf.

Из настроек одна галочка. Остальное по дефолту можно оставить :)

Мы сейчас пробуем уложить переключение в 1.3 секунды, что бы tcp сессия не рвалась.

Кстати в ospf при правильных настройках приоритетов можно оба канала утилизировать :)

Edited September 21, 2016 by WY6EPT

[thebooblik]

Почитай в гугле bfd ospf.

Из настроек одна галочка. Остальное по дефолту можно оставить :)

Мы сейчас пробуем уложить переключение в 1.3 секунды, что бы tcp сессия не рвалась.

Кстати в ospf при правильных настройках приоритетов можно оба канала утилизировать :)

 

Почитал, галочку нашел. Но не нашел сходу как это применить в моей конфигурации... Нужно удалить динамически созданные интерфейсы в разделе OSPF и добавить свои с включенным bdf ospf? И как это повлияет на скорость переключения на резервный pppoe?

[Saab95]

Почитал, галочку нашел. Но не нашел сходу как это применить в моей конфигурации... Нужно удалить динамически созданные интерфейсы в разделе OSPF и добавить свои с включенным bdf ospf? И как это повлияет на скорость переключения на резервный pppoe?

 

Вводите команду

/routing ospf interface add interface=all use-bfd=yes

 

И все само заработает. Динамические интерфейсы сами пропадут если руками создадите настройки для каждого интерфейса. Только на сервере в центре динамически учетки не привяжите от туннелей, поэтому руками лучше ничего не настраивать. Имеется в виду привязки к туннелям. Пусть все работает и создается автоматически.

[DRiVen]

Только кажется Ростелеком меняет адрес шлюза

Если у вас псевдостатические адреса, то вряд ли, но

т.е в строке gateway я пишу не IP адрес, а указываю интерфейс pppoe?

в случае рррое и надо указывать не ip, а интерфейс туннеля.

[thebooblik]

Подниму-ка свою старую тему. Помогите поднять резервный канал на микротике? Чет я совсем крышей поехал...

На МТ есть два стула  канала pppoe, описано в первом посте, только теперь основной с белым IP. ADLS не вывозит, затянули вторую линию. Ну как затянули... провайдер поставил приемную wifi-антенну на вышке, настроили ее роутером с внутренним адресом 192.168.2.1 и торжественно передали кусок провода в руки. А дальше у меня ступор: dhcp-клиент настроил, masquerade сделал, маршрут прописал и ничего дальше шлюза мой микротик не пингует через этот интерфейс. ЧЯДНТ?

Интернет на кабеле имеется, при подключении любого другого оборудования адрес выдается автоматом и все работает.

Вот конфа(поубирал лишнее), 1 и 10 порты под pppoe, 8-й - static ip.

/interface l2tp-server
add name=***** user=*******
add name=******* user=*******
/interface bridge
add name=bridge-local
add admin-mac=D4:CA:6D:B4:31:79 auto-mac=no disabled=yes name=bridge-local
/interface ethernet
set [ find default-name=ether1 ] name=ether1-gateway
set [ find default-name=ether2 ] name=ether2-vbr
set [ find default-name=ether3 ] name=ether3-bonding
set [ find default-name=ether4 ] name=ether4-bonding
set [ find default-name=ether5 ] name=ether5-slave-local
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce \
    disabled=no distance=indoors frequency=auto mode=ap-bridge ssid=local \
    wireless-protocol=802.11
/interface pppoe-client
add disabled=no interface=ether1-gateway max-mru=1480 max-mtu=1480 mrru=1600 \
    name=pppoe-out1 password=******** user=*********
add disabled=no interface=ether10 name=pppoe-out2 password=******** user=\
    *******
/interface bonding
add mode=broadcast name=bonding_server slaves=ether3-bonding,ether4-bonding \
    transmit-hash-policy=layer-2-and-3
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk eap-methods="" \
    mode=dynamic-keys wpa-pre-shared-key=****** wpa2-pre-shared-key=\
    ******
/ip pool
add name=vpn ranges=192.168.89.2-192.168.89.255
add name=local ranges=192.168.1.215-192.168.1.254
add name=pool1 next-pool=local ranges=192.168.1.150-192.168.1.197
/ip dhcp-server
add address-pool=pool1 disabled=no interface=bridge-local lease-time=8h \
    name=local
/ppp profile
set *0 use-ipv6=default
add name=filial3 use-compression=yes
set *FFFFFFFE local-address=192.168.89.1 remote-address=vpn
/interface l2tp-client
add allow=mschap2 connect-to=95.215.110.115 disabled=no name=****** \
    password=****** profile=filial3 user=*******
/interface pptp-client
add connect-to=212.12.30.170 mrru=1600 name=pptp-out1 password=******* \
    profile=default user=***
/interface bridge port
add bridge=bridge-local interface=wlan1
add bridge=bridge-local interface=ether5-slave-local
add bridge=bridge-local interface=ether6
add bridge=bridge-local interface=ether7
add bridge=bridge-local disabled=yes interface=ether8-ISP2
add bridge=bridge-local interface=ether9
add bridge=bridge-local interface=bonding_server
add bridge=bridge-local interface=ether2-vbr
/interface sstp-server server
set default-profile=default-encryption enabled=yes
/ip address
add address=192.168.1.1/24 interface=bridge-local network=192.168.1.0
add address=192.168.2.2 disabled=yes interface=ether8-ISP2 network=\
    192.168.2.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add dhcp-options=hostname,clientid interface=ether1-gateway
add add-default-route=no dhcp-options=hostname,clientid disabled=no \
    interface=ether8-ISP2 use-peer-ntp=no
/ip dhcp-server network
add address=192.168.1.0/24 gateway=192.168.1.1 netmask=24
/ip dns
set servers=212.12.0.3,212.12.0.2
/ip firewall filter
add action=accept chain=input protocol=tcp
add action=accept chain=forward
/ip firewall mangle
add action=mark-connection chain=prerouting disabled=yes new-connection-mark=\
    UDP passthrough=yes protocol=udp
add action=mark-packet chain=prerouting disabled=yes new-packet-mark=\
    UDP_Packet passthrough=yes protocol=udp
add action=mark-routing chain=prerouting comment="Mark packet for WCCP" \
    disabled=yes dst-address=!192.168.0.0/24 dst-port=80 new-routing-mark=web \
    passthrough=yes protocol=tcp
add action=mark-packet chain=forward comment=LAN dst-address-list=LAN \
    new-packet-mark=LAN passthrough=yes
/ip firewall nat
add action=masquerade chain=srcnat comment="Masquerade PPPOE" out-interface=\
    pppoe-out1
add action=masquerade chain=srcnat comment="Masquerade PPPOE" out-interface=\
    pppoe-out2
add action=masquerade chain=srcnat comment="Masquerade STATIC IP" \
    out-interface=ether8-ISP2
/ip proxy
set cache-on-disk=yes cache-path=primary-master
/ip route
add check-gateway=ping distance=1 gateway=pppoe-out1
add check-gateway=ping distance=3 gateway=pppoe-out2
add check-gateway=ping distance=5 gateway=ether8-ISP2
add check-gateway=ping disabled=yes distance=2 dst-address=192.168.2.0/24 \
    gateway=ether8-ISP2

 

[thebooblik]

Поставил hAP Lite в качестве pppoe-сервера и забыл о проблеме