[myth]

и третий, чтоб между ними включить))

[Collector]

Ребята, ну хорош ерундой заниматься: уволь админ, ищу специалсита..

Все на словах супермэны, а на деле сразу "уволь админа". Как вижу вы сами не знайте как это делать, а лишь можете критиковать.

 

А что мешает на серваке два ip поднять?? Все знают один ip и второй. На каком работать - выбирают манагеры сами.

А как такое возможно? на сервере (роутере) иметь 2 белых IP?

У нас сеть так будет устроена: интернет >шлюз(чекпоинт) > локальный сеть(сервер 1С). возможно между "интернет" и "шлюз" будет DSL модем. Хотя на чекпоинте в настройках "wan" интерфейса видел PPoE подключение, но не уверен как будет работать.

 

Сейчас переделываю сеть, удаленных менеджеров хочу подключить по VPN, а по VPN уже программа по внутреннему IP чтоб подключился. может буду делать для клиентов 2 профиля, с разными настройками на подключение по VPN?

Тут всеравно остается ручное перетыкание проводов и поднятие второго интернета.

 

Нужно всем удаленным выдать по микротику, который будет поднимать 2 VPN туннеля на каждый из белых IP в центре. В центре так же ставите микротик и настраиваете на нем учетки для всех удаленных пользователей. Микротики удаленщиков подключатся к центральному, создав 2 VPN канала, однако данные пойдут по тому, который работает на оптике. Если оптика отключится, все автоматически перейдет на второй туннель.

 

Внутри сети выделите серую адресацию для удаленных пользователей и сервера 1С, они уже будут подключаться по этому адресу. Тут в плюсах изоляция 1С извне, и удобное отключение тех удаленных пользователей, которые в чем-то провинились.

Спасибо за адекватный подход.

Мы никогда микротиком не работали. В итоге сколько аппаратов нам надо купить? можете назвать модель?

И как понять "всем менеджерам по микротику"? т.е. ставить VPN клиенты от микротика?

У нас планируется "VPN капсула" подключения для менеджеров, чтоб они подключились через корпоративный файрвол.

[edo]

Все на словах супермэны, а на деле сразу "уволь админа". Как вижу вы сами не знайте как это делать, а лишь можете критиковать.

вам говорят, что ваши посты вызывают сомнения в способности справиться самостоятельно с задачей.

 

А как такое возможно? на сервере (роутере) иметь 2 белых IP?

господи...

 

Спасибо за адекватный подход.

Мы никогда микротиком не работали. В итоге сколько аппаратов нам надо купить? можете назвать модель?

боже

ну купите вы их - а дальше? оно само заработает?

[Saab95]

Мы никогда микротиком не работали. В итоге сколько аппаратов нам надо купить? можете назвать модель?

И как понять "всем менеджерам по микротику"? т.е. ставить VPN клиенты от микротика?

У нас планируется "VPN капсула" подключения для менеджеров, чтоб они подключились через корпоративный файрвол.

 

Тут надо смотреть, какая скорость общая требуется. Если финансы позволяют, в центр лучше взять CCR1009-7G-1C-1S+, у него сразу и оптика есть - можно в него оптический интернет воткнуть. Далее встает вопрос - может ли ваш оптический провайдер пропускать запросы с чужого IP адреса - если может то больше никакое оборудование не нужно, если не может, то на медленный канал нужен еще любой слабенький микротик, например RB951Ui-2HnD, и его соединяете с основным микротиком. Заодно он может параллельно точкой доступа wi-fi работать.

 

В удаленные офисы - RB951Ui-2nD - это самая оптимальная модель по соотношению цена/производительность, есть вайфай. Еще есть HAP Lite, совсем дешевенький.

 

Тогда схема работы будет такая - в центре у вас интернет. Туда же подключаются удаленные офисы, точнее микротики, которые там установлены - сразу на 2 IP адреса. При обрыве любого канала связь до центра останется. Если надо подключаться удаленным пользователям со своих ноутбуков, тогда они создают 2 ярлыка для подключений - на оптический и резервный канал, если связь с оптикой пропадет, соединение по VPN у них оборвется, и они запустят второе резервное. В настройках программ IP адрес сервера уже менять не потребуется.

 

Сам интернет в офисах может идти либо через центр, либо через свой местный, а в центр пойдут только запросы к серверам. Так же в каждом офисе делаете свою уникальную серую адресацию, и в центре можете создать файрвол, указав список IP, которые могут подключаться к серверу. А все остальные пользователи смогут обмениваться данные между собой по серым адресам - это тоже можно запретить.

[Collector]

Saab95

у него сразу и оптика есть - можно в него оптический интернет воткнуть.

оптика 2 луча заходят в свич, оттуда один порт по изернету к нам приходит, второй к соседу. туда лезть не сможем :) К нам выходит изернет просто. по этому если есть дешевый вариант без оптики, можно его.

 

Далее встает вопрос - может ли ваш оптический провайдер пропускать запросы с чужого IP адреса

Если так и спрошу в техподдержку провайдера, они поймут о чем идет речь? Я лично не понял это это такое..

 

В удаленные офисы - RB951Ui-2nD - это самая оптимальная модель по соотношению цена/производительность, есть вайфай. Еще есть HAP Lite, совсем дешевенький.

Ну удаленные офисы не так критично, тут главное менеджеры с планшетами чтоб смогли подключится.

 

Тогда схема работы будет такая - в центре у вас интернет. Туда же подключаются удаленные офисы, точнее микротики, которые там установлены - сразу на 2 IP адреса.

Имейте ввиду, удаленные менеджеры работают с планшетов (на андроид). к ним ставить микротик - нереально )))) это нам надо купить 20 микротиков, создать мобильную платформу в чемодане, чтоб таскали ? )))

[pppoetest]

Наймите специалиста, сэкономите время, нервы и деньги.

[Yurkink]

Создать у удаленного пользователя 2 ярлыка рдп с разными айпишниками. Ничего перепрописывать не надо. Один ярлык не открывает, значит другой. Профит.

[DRiVen]

Collector, любой роутер, умеющий резервировать аплинки, ddns-клиент на сервер и подключайте ваших манагеров по fqdn, "1с агент плюс" спокойно работает по доменному имени, максимальное время простоя - интервал обновления записи ddns-клиентом, имхо минута вам вполне подойдет. Админу за подход к проблеме, как уже говорилось, кол.

[Saab95]

по этому если есть дешевый вариант без оптики, можно его.

 

Поставьте RB951Ui-2HnD в центр. Если не хватит производительности - поменяете.

 

Если так и спрошу в техподдержку провайдера, они поймут о чем идет речь? Я лично не понял это это такое..

 

У вас есть 3 решения для подключения 2-х каналов:

1. Поставить 2 микротика, каждый канал подключить в свой.

2. Поставить 1 микротик, в него подключить 2 канала, но шлюз по умолчанию (в сторону интернета) будет только 1, который пойдет через оптический канал. При поступлении запросов на резервный канал ответы пойдут через оптический, и провайдер не должен их блокировать.

3. Поставить 1 микротик, в него подключить 2 канала, настроить 2 шлюза и отслеживание по соединениям кто куда подключается - этот вариант потребует от роутера более высокой производительности, то есть например в случаях 1 и 2 указанный RB951 пропустит 100М по туннелям, а во втором случае всего 50М.

 

Имейте ввиду, удаленные менеджеры работают с планшетов (на андроид). к ним ставить микротик - нереально )))) это нам надо купить 20 микротиков, создать мобильную платформу в чемодане, чтоб таскали ? )))

 

Для андроида есть возможность устанавливать VPN соединения и тут микротики не нужны.

 

Collector, любой роутер, умеющий резервировать аплинки, ddns-клиент на сервер

 

Ага, как все любят халяву в виде ddns. Это самое плохое, что можно придумать.

[NikAlexAn]

Имейте ввиду, удаленные менеджеры работают с планшетов (на андроид). к ним ставить микротик - нереально )))) это нам надо купить 20 микротиков, создать мобильную платформу в чемодане, чтоб таскали ? )))

 

Для андроида есть возможность устанавливать VPN соединения и тут микротики не нужны.

 

Ну дак тогда вся твоя идея идёт лесом - доступ менеджеров то так не автоматизировать.

[Saab95]

Ну дак тогда вся твоя идея идёт лесом - доступ менеджеров то так не автоматизировать.

 

Самая правильная идея это купить белый IP в туннеле, стоит такая услуга не дорого, обычно от 2000р. в месяц. Решит все проблемы.

[dignity]

Я упорно не могу понять чем не устраивает VPS + HAProxy. А, точнее, могу понять - автор не рубит и админ автора не рубит. Saab95, Объясните, как они настроят тучу микротиков, резервирующих микротики, если они не могут настроить HAProxy и DNAT или 2xL2TP VPN + routing + скрипт на 10 строк?

 

Mission critical application with zero downtime (с) PHP5 разработчики с полугодовым опытом работы.

 

[Collector]

Saab95

 

Сегодня общался с одним человеком, он именно по микротикам занимается. предлагал что то похоже на

2. Поставить 1 микротик, в него подключить 2 канала, но шлюз по умолчанию (в сторону интернета) будет только 1, который пойдет через оптический канал. При поступлении запросов на резервный канал ответы пойдут через оптический, и провайдер не должен их блокировать.

Готов помочь нам все это делать. НО есть одно НО!

У нас шлюз должен быть "чекпоинт". Можно ли на DSL модемах делать переброс всех портов на Микротик и на микротике прописать переброс всех портов на чекпоинт.

Ну чтоб все промежуточные оборудования не препятствовали к работе сети.

[Erick!]

Saab95

 

Сегодня общался с одним человеком, он именно по микротикам занимается. предлагал что то похоже на

2. Поставить 1 микротик, в него подключить 2 канала, но шлюз по умолчанию (в сторону интернета) будет только 1, который пойдет через оптический канал. При поступлении запросов на резервный канал ответы пойдут через оптический, и провайдер не должен их блокировать.

Готов помочь нам все это делать. НО есть одно НО!

У нас шлюз должен быть "чекпоинт". Можно ли на DSL модемах делать переброс всех портов на Микротик и на микротике прописать переброс всех портов на чекпоинт.

Ну чтоб все промежуточные оборудования не препятствовали к работе сети.

Сделайте ДСЛ-модем бриджом..

[ShyLion]

Оптика - нестабильно, DSL - надежно

Какой-то сюр.

[Saab95]

У нас шлюз должен быть "чекпоинт". Можно ли на DSL модемах делать переброс всех портов на Микротик и на микротике прописать переброс всех портов на чекпоинт.

Ну чтоб все промежуточные оборудования не препятствовали к работе сети.

 

А сейчас как же белый IP работает? Модем его куда-то пробрасывает? Самое правильное это настройка его в режиме бриджа и установка PPPoE или чего там у них поверх DSL, уже на микротике.

[Collector]

Saab95

 

Сегодня общался с одним человеком, он именно по микротикам занимается. предлагал что то похоже на

2. Поставить 1 микротик, в него подключить 2 канала, но шлюз по умолчанию (в сторону интернета) будет только 1, который пойдет через оптический канал. При поступлении запросов на резервный канал ответы пойдут через оптический, и провайдер не должен их блокировать.

Готов помочь нам все это делать. НО есть одно НО!

У нас шлюз должен быть "чекпоинт". Можно ли на DSL модемах делать переброс всех портов на Микротик и на микротике прописать переброс всех портов на чекпоинт.

Ну чтоб все промежуточные оборудования не препятствовали к работе сети.

Сделайте ДСЛ-модем бриджом..

А PPoE уже чтоб поднял сам микротик? он сможет параллельно 2 линка поднять по разным каналам ?

 

У нас шлюз должен быть "чекпоинт". Можно ли на DSL модемах делать переброс всех портов на Микротик и на микротике прописать переброс всех портов на чекпоинт.

Ну чтоб все промежуточные оборудования не препятствовали к работе сети.

 

А сейчас как же белый IP работает? Модем его куда-то пробрасывает? Самое правильное это настройка его в режиме бриджа и установка PPPoE или чего там у них поверх DSL, уже на микротике.

Сейчас вот сделано все через одно место, как уже сказал. DSL модем в режиме роутера, сам поднимает PPoE, получает статический IP и там сделаны переброс портов.

Упал оптика, перетыкаем провода, подключаем DSL линию, поднимаем опять PPoE и все. тоже сделано переброс портов для этого же подключения. Бывает надо ручной показать через какой интерфейс.. В общем геммор еще тот.

[ShyLion]

На циске можно трекать состояние канала и с помощью эвент-менеджера выполнять различные действия, например делать http запросы к DDNS из tcl скрипта, регистрируя актуальный внешний IP роутера и скидывая текущие трансляции NAT. Таким образом ничего нигде перетыкать не надо. Достаточно подходящего по производительности ISR роутера от 2851 б/у до 19хх, 29хх и 4ххх.

 

Это если внутри сети нет ничего, что может само периодически DDNS обновлять. А если есть, тот-же сервер с 1С, то еще проще. Обычная задача "2 инета в один роутер с пробросом сервиса вовнутрь", которая была обсосана 100500 раз на всевозможном оборудовании.

[DRiVen]

Ага, как все любят халяву в виде ddns. Это самое плохое, что можно придумать.

Почему халява и чем это, собственно, плохо? Халява ТС-у, так как нечем его смотивировать на покупку 100500 микротиков?

 

Это если внутри сети нет ничего, что может само периодически DDNS обновлять. А если есть, тот-же сервер с 1С, то еще проще. Обычная задача "2 инета в один роутер с пробросом сервиса вовнутрь"

Именно.

[Saab95]

А PPoE уже чтоб поднял сам микротик? он сможет параллельно 2 линка поднять по разным каналам ?

 

Микротик может поднимать много PPPoE соединений и других соединений.

[Ivan_83]

Все на словах супермэны, а на деле сразу "уволь админа". Как вижу вы сами не знайте как это делать, а лишь можете критиковать.

Вот вы пришли такой весь в белом на форум нейрохирургов и жалуетесь что ваш ветеринар уже две козы и быка загубил пока гланды через зад вырезал, и что теперь вы берёте над ним шевство и хотите делать пластические операции людям пострадавшим от укусов диких коз, но сами не разбираетесь поэтому вам надо объяснить как чтобы вы объяснили своему ветеринару.

Поймите, у вас двоих-обоих просто даже поняйтино-словарного аппарата нет по теме чтобы вам объяснять. А проводить обучение через форум никому нахрен не интересно, думаю даже за деньги - у всех местных своих хомячков до жопы.

Всё что надо по теме вам предложили, по 2-3 раза, но вы этого даже осознать не можете, это вам не понятные слова.

Сааб95 предлагает купить его херни, которая типа может всё сделать. Вам "купить" и "может всё сделать" понятно. За кадром только настройка всего этого остаётся. Вы же понимаете что наличие набора скальпелей и медикаментов вас медиком/хирургом не сделает?

Нет простого бытового решения вашей проблемы, такого чтобы купил коробку и оно дальше само. Тем более через вашу жопучекпоинт.

Нужен специалист местный - ищите у провайдеров, лучше альтернативных, они имеют достаточно знаний и опыта чтобы как минимум понять что вам тут понаписали.

 

 

А как такое возможно? на сервере (роутере) иметь 2 белых IP?

Ещё и не такое возможно.

Некоторые даже по 3 IP адреса на каждом компе имеют!

А у меня на домашнем компе IPv6 сами появляются и исчезают, когда им вздумается, повышая мою анонимность в IPv6 инете.

[SpheriX]

Оптика - нестабильно, DSL - надежно

Какой-то сюр.

 

Никакого сюра. Пров сам может сидеть на DSL аплинке, а лохам продавать оптику. Бизнес ООО "Ашот и бот Вазгена" с уставным капиталом 10000 рублей.

[vurd]

Никакого сюра. Пров сам может сидеть на DSL аплинке, а лохам продавать оптику. Бизнес ООО "Ашот и бот Вазгена" с уставным капиталом 10000 рублей.

 

А у вас больше уставной?)

[kbakenov]

вверху писали...

cisco 800 серия, с DSL+WAN

ip sla+возможно EEM

 

будет все на автомате.

[SpheriX]

А у вас больше уставной?)

А я не юрлицо, мне пофиг ;)