Jump to content
Калькуляторы

Объединение офисов. Несколько вопросов

Здравствуйте!

 

Есть несколько вопросов по теме. Задача объединить два офиса по VPN, обеспечить возможность круглосуточной работы. И есть несколько проблем, хочется спросить совета в реализации.

В обоих офисах по два канала: белая статика(pppoe) + adsl с серыми ip. В одном офисе RB751U, во втором hapLite. И к обоим сложно подключить напрямую в порт adsl-модем. Т.е. от роутера в сеть приходит только один физический кабель. В одном из офисов можно подключить модем к роутеру, во втором практически никак, т.к. роутер стоит в другом здании и соединен с офисом по радиоканалу. Вариант только перенести роутер в наше здание, а кабель провайдера запустить в радиоканал.

Теперь к вопросам. Я думаю сделать связку "модем_adsl-RB250GS-сеть_предприятия-роутер", на роутере поднять vlan и на этом vlan поднять pppoe. Стоит ли реализовывать? Каким образом потом отслеживать падение одного из каналов? Как-то мне не очень нравится данная схема, особенно по причине слабого понимания работы vlan :) Опыт настройки есть, но он небольшой.

Т.к. резервный канал с серым Ip, то каким образом достукиваться по vpn к роутеру? Задействовать cloud? Или лучше сторонний сервис типа no-ip и скриптом обновлять?

Или заморочиться и протянуть кабели, подключить классически в eth1 первый линк, eth2 второй, а сеть в eth3?

И сразу посоветуйте протокол для vpn. На первом месте скорость работы, т.к. канал нужен в первую очередь для приема данных с оборудования и удаленной работы сотрудников.

Share this post


Link to post
Share on other sites

У вас PPPoE и подключение по IP - все это можно загнать в один порт без всяких вланов, лишь бы операторское оборудование не поймало чужие STP и не стало отрубать порты. Поэтому все же самая лучшая схема это использовать отдельные порты. Если протянута одна витая пара, то ее можно обжать в 2 коннектора с каждой стороны и получить 2 физических линка (в кабеле 4 пар проводов, для работы на 100М используются только 2). В том месте где радиоканал, можно терминацию подключения сделать перед радио, а до роутера уже придет чистый IP.

 

Если у вас есть белый IP с каждой стороны, тогда настраиваете туннели на подключение к белому, тогда при падении белого канала на одном роутере, соединение поднимется через серый адрес оператора и все продолжит работать. Падение PPPoE отработает само по себе, если прервется связь, однако часто случается так, что у оператора соединение есть, а доступа в интернет нет - такое проверить можно только скриптами с пингом.

 

Самый правильный вариант это использовать промежуточную точку с белым IP, которая всегда работает, тогда каждый офис устанавливает соединения с ней и все. В каждом офисе целесообразно поставить по 2 роутера, каждый подключаете к своему провайдеру, настраиваете туннели и включаете поверх OSPF - этот протокол сам и маршруты обновит и согласует, и не работающий канал отключит.

 

Туннели самое лучшее это L2TP, если он по каким-то причинам не проходит через операторов, то PPTP и SSTP - последний с гарантированной доставкой пакетов и шифрованием, поэтому скорость через него будет ниже из-за загрузки процессора и передачи лишних данных.

 

Если подразумевается удаленная работа сотрудников, которые тоже подключаются по PPP, то тут вариант либо PPTP, либо SSTP - современные версии винды поддерживают оба.

Share this post


Link to post
Share on other sites

У вас PPPoE и подключение по IP - все это можно загнать в один порт без всяких вланов, лишь бы операторское оборудование не поймало чужие STP и не стало отрубать порты. Поэтому все же самая лучшая схема это использовать отдельные порты. Если протянута одна витая пара, то ее можно обжать в 2 коннектора с каждой стороны и получить 2 физических линка (в кабеле 4 пар проводов, для работы на 100М используются только 2). В том месте где радиоканал, можно терминацию подключения сделать перед радио, а до роутера уже придет чистый IP.

 

Если у вас есть белый IP с каждой стороны, тогда настраиваете туннели на подключение к белому, тогда при падении белого канала на одном роутере, соединение поднимется через серый адрес оператора и все продолжит работать. Падение PPPoE отработает само по себе, если прервется связь, однако часто случается так, что у оператора соединение есть, а доступа в интернет нет - такое проверить можно только скриптами с пингом.

 

Самый правильный вариант это использовать промежуточную точку с белым IP, которая всегда работает, тогда каждый офис устанавливает соединения с ней и все. В каждом офисе целесообразно поставить по 2 роутера, каждый подключаете к своему провайдеру, настраиваете туннели и включаете поверх OSPF - этот протокол сам и маршруты обновит и согласует, и не работающий канал отключит.

 

Туннели самое лучшее это L2TP, если он по каким-то причинам не проходит через операторов, то PPTP и SSTP - последний с гарантированной доставкой пакетов и шифрованием, поэтому скорость через него будет ниже из-за загрузки процессора и передачи лишних данных.

 

Если подразумевается удаленная работа сотрудников, которые тоже подключаются по PPP, то тут вариант либо PPTP, либо SSTP - современные версии винды поддерживают оба.

 

Спасибо за развернутый ответ!

Про OSPF почитал, вариант отличный, но найти точку с белым IP, которая всегда в сети пока не представляется возможным. Запланирую данный вариант на будущее, попробую поговорить с провайдерами, чтобы разместить у них свою железку.

Я правильно понял, что на данный момент лучшим вариантом будет настройка туннелей от серого к белому, т.е. перекрестно?

Пока что переделаю подключения так, чтобы провод провайдера приходил непосредственно в микротики. Про протоколы тоже понял, настраивал оба варианта на микротиках. L2TP у нас работает замечательно, задействую именно его. Работа пользователей из дома удаленно тоже планируется.

Share this post


Link to post
Share on other sites

Если у вас на каждом роутере 2 подключения, то данные, обычно, уходят через один какой-то канал. Вы можете просто создать туннель на белый адрес, тогда при работе основного канала, например белого адреса, будет все идти через него, если канал перестанет работать, то его надо выключить, и туннель переподключиться уже через серый адрес. Что бы сразу работало 2 активных подключения, нужно либо 2 микротика, либо по 2 белых адреса с каждой стороны, тогда вы второй белый адрес заворачиваете статическим маршрутом на провайдера с серым адресом.

Share this post


Link to post
Share on other sites

Может не стоит плодить сущности и настроить таки vlan?

Share this post


Link to post
Share on other sites

А что если арендовать виртуалку в облаке с белым IP, поставить на нее MikrotikOS и ее использовать как "корневой"? И потом все таки пока что не плодить железки, а в каждом офисе подключить по два канала к микротику, поднять туннель до корневого роутера.. Доступность канала проверить можно разными способами, либо стандарно, либо со скриптами.

Share this post


Link to post
Share on other sites

Продолжу тему. На данный момент в офисах стоит по 751-му микротику, терминация сделана по радио и на каждой железке поднят pppoe. Провайдер - Ростелеком. Это как-бы "оптика". Ещё есть по каналу adsl того же Ростелекома, но я что-то с полпинка не смог сделать failover. Поругайте?

Adsl модемы в бридже, должны выдавать ip на интерфейс микротика, верно? Далее на микротике на интерфейсе с модемом поднимаю pppoe, снимаю галку "add default route". Ну и в pppoe с оптикой тоже её убираю. И затем что-то типа:

/ip route add dst-address=0.0.0.0/0 gateway=<IP ISP1 "pppoe1"> distance=1 check-gateway=ping

/ip route add dst-address=0.0.0.0/0 gateway=<IP ISP2 "pppoe2"> distance=2 check-gateway=ping

Только кажется Ростелеком меняет адрес шлюза, т.е в строке gateway я пишу не IP адрес, а указываю интерфейс pppoe? Или это бред и в моем случае только скрипты помогут?

Подскажите, уже плохо соображаю. От вида витой пары и скакания по крышам начинает подташнивать :)

Share this post


Link to post
Share on other sites

Забыл главное. Арендован VPS, на нем установлена RouterOS. На микротиках в офисах поднят l2tp до VPS, поверх поднят OSPF. Ресурсы обоих сетей доступны из любого офиса. Осталось решить проблему failover'a на случай отключения одного из каналов. А эти случаи происходят с периодичностью раз в три дня.

Share this post


Link to post
Share on other sites

То есть при падении одного канала происходит 40 секундная пауза? Так в OSPF время регулируется, поставьте там 1 секунду.

Share this post


Link to post
Share on other sites

thebooblik, если поднято по два l2tp-линка, можно не трогать таймеры OSPF. Просто для оперативного реагирования на падения каналов есть BFD. В свойствах всех линковочных OSPF-интерфейсов включаете "Use BFD".

P.S. или у Вас всего на одному l2tp-туннелю поднято?

Edited by nkusnetsov

Share this post


Link to post
Share on other sites

Поднято по одному l2tp туннелю. Не совсем понял про сразу два туннеля - предлагаете поднять сразу два на одном микротике к одному vps? Т.е каждый туннель поднимается по отдельному интернет-каналу? Не доходит до меня что-то.. :)

И можно поподробнее про 1 секунду в OSPF? Где про это посмотреть?

На самом деле 1 секунда - это вообще космос. Хотелось бы чтобы канал переключался хотя бы в течении 10 секунд.

Share this post


Link to post
Share on other sites

Почитай в гугле bfd ospf.

Из настроек одна галочка. Остальное по дефолту можно оставить :)

Мы сейчас пробуем уложить переключение в 1.3 секунды, что бы tcp сессия не рвалась.

Кстати в ospf при правильных настройках приоритетов можно оба канала утилизировать :)

Edited by WY6EPT

Share this post


Link to post
Share on other sites

Почитай в гугле bfd ospf.

Из настроек одна галочка. Остальное по дефолту можно оставить :)

Мы сейчас пробуем уложить переключение в 1.3 секунды, что бы tcp сессия не рвалась.

Кстати в ospf при правильных настройках приоритетов можно оба канала утилизировать :)

 

Почитал, галочку нашел. Но не нашел сходу как это применить в моей конфигурации... Нужно удалить динамически созданные интерфейсы в разделе OSPF и добавить свои с включенным bdf ospf? И как это повлияет на скорость переключения на резервный pppoe?

Share this post


Link to post
Share on other sites

Почитал, галочку нашел. Но не нашел сходу как это применить в моей конфигурации... Нужно удалить динамически созданные интерфейсы в разделе OSPF и добавить свои с включенным bdf ospf? И как это повлияет на скорость переключения на резервный pppoe?

 

Вводите команду

/routing ospf interface add interface=all use-bfd=yes

 

И все само заработает. Динамические интерфейсы сами пропадут если руками создадите настройки для каждого интерфейса. Только на сервере в центре динамически учетки не привяжите от туннелей, поэтому руками лучше ничего не настраивать. Имеется в виду привязки к туннелям. Пусть все работает и создается автоматически.

Share this post


Link to post
Share on other sites
Только кажется Ростелеком меняет адрес шлюза

Если у вас псевдостатические адреса, то вряд ли, но

т.е в строке gateway я пишу не IP адрес, а указываю интерфейс pppoe?

в случае рррое и надо указывать не ip, а интерфейс туннеля.

Share this post


Link to post
Share on other sites

Подниму-ка свою старую тему. Помогите поднять резервный канал на микротике? Чет я совсем крышей поехал...

На МТ есть два стула  канала pppoe, описано в первом посте, только теперь основной с белым IP. ADLS не вывозит, затянули вторую линию. Ну как затянули... провайдер поставил приемную wifi-антенну на вышке, настроили ее роутером с внутренним адресом 192.168.2.1 и торжественно передали кусок провода в руки. А дальше у меня ступор: dhcp-клиент настроил, masquerade сделал, маршрут прописал и ничего дальше шлюза мой микротик не пингует через этот интерфейс. ЧЯДНТ?

Интернет на кабеле имеется, при подключении любого другого оборудования адрес выдается автоматом и все работает.

Вот конфа(поубирал лишнее), 1 и 10 порты под pppoe, 8-й - static ip.

/interface l2tp-server
add name=***** user=*******
add name=******* user=*******
/interface bridge
add name=bridge-local
add admin-mac=D4:CA:6D:B4:31:79 auto-mac=no disabled=yes name=bridge-local
/interface ethernet
set [ find default-name=ether1 ] name=ether1-gateway
set [ find default-name=ether2 ] name=ether2-vbr
set [ find default-name=ether3 ] name=ether3-bonding
set [ find default-name=ether4 ] name=ether4-bonding
set [ find default-name=ether5 ] name=ether5-slave-local
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce \
    disabled=no distance=indoors frequency=auto mode=ap-bridge ssid=local \
    wireless-protocol=802.11
/interface pppoe-client
add disabled=no interface=ether1-gateway max-mru=1480 max-mtu=1480 mrru=1600 \
    name=pppoe-out1 password=******** user=*********
add disabled=no interface=ether10 name=pppoe-out2 password=******** user=\
    *******
/interface bonding
add mode=broadcast name=bonding_server slaves=ether3-bonding,ether4-bonding \
    transmit-hash-policy=layer-2-and-3
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk eap-methods="" \
    mode=dynamic-keys wpa-pre-shared-key=****** wpa2-pre-shared-key=\
    ******
/ip pool
add name=vpn ranges=192.168.89.2-192.168.89.255
add name=local ranges=192.168.1.215-192.168.1.254
add name=pool1 next-pool=local ranges=192.168.1.150-192.168.1.197
/ip dhcp-server
add address-pool=pool1 disabled=no interface=bridge-local lease-time=8h \
    name=local
/ppp profile
set *0 use-ipv6=default
add name=filial3 use-compression=yes
set *FFFFFFFE local-address=192.168.89.1 remote-address=vpn
/interface l2tp-client
add allow=mschap2 connect-to=95.215.110.115 disabled=no name=****** \
    password=****** profile=filial3 user=*******
/interface pptp-client
add connect-to=212.12.30.170 mrru=1600 name=pptp-out1 password=******* \
    profile=default user=***
/interface bridge port
add bridge=bridge-local interface=wlan1
add bridge=bridge-local interface=ether5-slave-local
add bridge=bridge-local interface=ether6
add bridge=bridge-local interface=ether7
add bridge=bridge-local disabled=yes interface=ether8-ISP2
add bridge=bridge-local interface=ether9
add bridge=bridge-local interface=bonding_server
add bridge=bridge-local interface=ether2-vbr
/interface sstp-server server
set default-profile=default-encryption enabled=yes
/ip address
add address=192.168.1.1/24 interface=bridge-local network=192.168.1.0
add address=192.168.2.2 disabled=yes interface=ether8-ISP2 network=\
    192.168.2.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add dhcp-options=hostname,clientid interface=ether1-gateway
add add-default-route=no dhcp-options=hostname,clientid disabled=no \
    interface=ether8-ISP2 use-peer-ntp=no
/ip dhcp-server network
add address=192.168.1.0/24 gateway=192.168.1.1 netmask=24
/ip dns
set servers=212.12.0.3,212.12.0.2
/ip firewall filter
add action=accept chain=input protocol=tcp
add action=accept chain=forward
/ip firewall mangle
add action=mark-connection chain=prerouting disabled=yes new-connection-mark=\
    UDP passthrough=yes protocol=udp
add action=mark-packet chain=prerouting disabled=yes new-packet-mark=\
    UDP_Packet passthrough=yes protocol=udp
add action=mark-routing chain=prerouting comment="Mark packet for WCCP" \
    disabled=yes dst-address=!192.168.0.0/24 dst-port=80 new-routing-mark=web \
    passthrough=yes protocol=tcp
add action=mark-packet chain=forward comment=LAN dst-address-list=LAN \
    new-packet-mark=LAN passthrough=yes
/ip firewall nat
add action=masquerade chain=srcnat comment="Masquerade PPPOE" out-interface=\
    pppoe-out1
add action=masquerade chain=srcnat comment="Masquerade PPPOE" out-interface=\
    pppoe-out2
add action=masquerade chain=srcnat comment="Masquerade STATIC IP" \
    out-interface=ether8-ISP2
/ip proxy
set cache-on-disk=yes cache-path=primary-master
/ip route
add check-gateway=ping distance=1 gateway=pppoe-out1
add check-gateway=ping distance=3 gateway=pppoe-out2
add check-gateway=ping distance=5 gateway=ether8-ISP2
add check-gateway=ping disabled=yes distance=2 dst-address=192.168.2.0/24 \
    gateway=ether8-ISP2

 

Share this post


Link to post
Share on other sites

Поставил hAP Lite в качестве pppoe-сервера и забыл о проблеме

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this