[Allan Stark]

Здравствуйте.

С Микротиком до недавнего времени вплотную сталкиваться не приходилось, только недавно попал в руки "битый" RB951G-2HnD, впечатления честно сказать смешанные...

А тут как раз и "кейс" подвернулся.

 

Есть одна старая организация с лет 10 назад поднятой филиальной инфраструктурой в виде VPN подключений.

Филиалы (~30 шт.) через один из своих ПК с установленным древнючим Kerio WinRoute подключаются к vpn серверу в центральном офисе.

Эти vpn подключения используются для удаленного администрирования и для проброса в центральный офис видео с видеокамер.

Через этот же Kerio WinRoute, выполняющего функции "гейта" и одновременно точки подключения к тому "административному" VPN 1 персонал филиалов подключен к сети Интернет.

Филиал - 3-5 ПК, один из которых и является тем самым "гейтом", включенным круглосуточно. В каждом филиале 3-4 видеокамеры низкого разрешения (до 720p), подключенные к HDCVI DVR.

Все филиалы имеют одинаковое адресное пространство в своих локальных сетях вида 192.168.0.х

Средствами Kerio оставлен доступ только к нескольким профильным отраслевым сайтам и корпоративной почте, все остальное зарублено.

Антивирус - сетевой, обновляется с сервера VPN центрального офиса.

 

В центральном офисе стоит сервер с СУБД, которой необходима прямая линковка в строго определенном адресном диапазоне с серверами СУБД филиалов.

Таковы требования учетной системы, которая работает в реальном времени.

Поэтому развернут второй (VPN 2), который связывает все эти сервера в единую сеть. Этот второй vpn реализован в виде виртуальной машины в главном офисе, в которую ввернут pfSense.

 

Со стороны центрального офиса последняя миля оформлена в виде симметричной 100 Мбит/с оптики, со стороны филиалов - как Бог на душу положит, чаще всего обычные "домовые" провайдеры с медью и непривилегированным IP диапазоном (для чего собственно наверно и подымался для администрирования и видеонаблюдения старый VPN 1).

Нагрузка на каналы со стороны филиалов - минимальна. До 10 МБит/с на филиал в случае одновременного просмотра видеокамер из центрального офиса да еще параллельно выгрузки чего-то тяжелого типа товарного отчета или синхронизации справочников.

Доступ к камерам видеонаблюдения из центрального офиса есть буквально у пары-тройки человек, а все тяжелые операции синхронизации БД происходят строго последовательно.

В среднем по предоставленной статистике - 2-3 Мбит/с в всплеске в процессе синхронизации БД.

Еще на центральном VPN 1 сервере есть "публикация" видеонаблюдения наружу (в Inet) для iPad-а владельца предприятия. Разные DVR-ы разнесены на разные порты.

Оба vpn-а - l2tp.

 

Схема существующей сети прилагается:

 

Вот такой изврат, господа...

 

Поставлена задача весь этот бардак извести, да с очень минимальным бюджетом.

Ни о каких Sofos, Fortinet и прочих Checkpoint тут речи не идет, максимум что потянет заказчик - это Mikrotik и иже с ним.

 

Пока для себя набросал вот такую схему:

 

В центральный офис - Mikrotik RB2011UiAS-RM (https://mikrotik.com/product/RB2011UiAS-RM), в филиалы - Mikrotik hEX lite (https://mikrotik.com/product/RB750r2).

Задачи останутся те же: доступ сотрудников филиалов к Инету на несколько сайтов, административный vpn, проброс видео в офис и наружу в планшет собственника.

Разница только в том, что выкидываются pfSense и старый сервер VPN 1 с Kerio, с ПК филиалов снимаются Kerio-гейты и заменяются на Mikrotik.

Оба VPN-а с двумя разными IP диапазонами должны таким образом быть подняты на одном устройстве - центральном Mikrotik RB2011UiAS-RM.

Планируется оставить l2tp, но если железки потянут ipsec, то хорошо.

 

Финальный вопрос: потянет ли все это указанные Mikrotik-и и насколько стабильно работают эти железки?

Потому как впечатления разные, знакомые "цисководы" смотрят на них откровенно презрительно и рассказывают ужастики об их слабой пропускной способности, особенно в ipsec и в качестве локального коммутатора (без использования изврата в виде локально впаянной микросхемы switch-а с отрубанием одного из аппаратных портов), но в то же время знаю ряд небольших контор, где они служат в качестве роутеров верой и правдой.

 

Прошу прощения за долгий сказ, но хотел донести все детали.

Edited July 18, 2017 by Allan Stark

[DRiVen]

2011-й для центра слаб, смотрите на CCR1009, RB1100AHx4, ну или на худой конец RB750Gr3(hEX) можно попробовать (не потянет - пристроите в филиал).

[pingz]

Возможно в центр придётся ставить два один под фаерволы и Нат другой под ван.

[Allan Stark]

Забыл добавить, что в центральном офисе сервер VPN не используется для обеспечения доступа офиса к Инету, он на выделенном канале занимается исключительно связкой филиалов в vpn сеть.

Для доступа к инету там отдельный канал и другая железка.

[Saab95]

Для начала ставите в центре хекс и настраиваете все на нем, в филиалы ставите такие же. Каждый филиал соединяется по L2TP с центром, в каждом филиале выделяете серую сетку вида 192.168.х.0/24, через OSPF синхронизируете маршруты, тем самым избавив себя от необходимости каких-то ручных настроек. Для каждого офиса заводите учетку для подключения с фиксированным адресом. В офисах настраиваете нат и дефолтный маршрут в сторону интернета, а маршруты внутренней сети автоматически подтянутся из OSPF. Естественно, нужно не забыть исключить работу НАТ по адресам локалки. Все будет отлично работать. Если в центре будут перегрузы указанного устройства, просто поменяете его на более производительное, например CCR1009.

[Allan Stark]

Подскажите, а с Windows vpn-подключение к Mikrotik (ipsec или l2tp) нормально живет?

[Saab95]

L2TP, SSTP и PPTP нормально работают. Только лучше при настройках соединения на windows жестко указывать тип протокола, т.к. в случае обрывов она начинает перебирать все доступные протоколы, что увеличивает время переподключения.