Allan Stark Опубликовано 17 июля, 2017 (изменено) · Жалоба Здравствуйте. С Микротиком до недавнего времени вплотную сталкиваться не приходилось, только недавно попал в руки "битый" RB951G-2HnD, впечатления честно сказать смешанные... А тут как раз и "кейс" подвернулся. Есть одна старая организация с лет 10 назад поднятой филиальной инфраструктурой в виде VPN подключений. Филиалы (~30 шт.) через один из своих ПК с установленным древнючим Kerio WinRoute подключаются к vpn серверу в центральном офисе. Эти vpn подключения используются для удаленного администрирования и для проброса в центральный офис видео с видеокамер. Через этот же Kerio WinRoute, выполняющего функции "гейта" и одновременно точки подключения к тому "административному" VPN 1 персонал филиалов подключен к сети Интернет. Филиал - 3-5 ПК, один из которых и является тем самым "гейтом", включенным круглосуточно. В каждом филиале 3-4 видеокамеры низкого разрешения (до 720p), подключенные к HDCVI DVR. Все филиалы имеют одинаковое адресное пространство в своих локальных сетях вида 192.168.0.х Средствами Kerio оставлен доступ только к нескольким профильным отраслевым сайтам и корпоративной почте, все остальное зарублено. Антивирус - сетевой, обновляется с сервера VPN центрального офиса. В центральном офисе стоит сервер с СУБД, которой необходима прямая линковка в строго определенном адресном диапазоне с серверами СУБД филиалов. Таковы требования учетной системы, которая работает в реальном времени. Поэтому развернут второй (VPN 2), который связывает все эти сервера в единую сеть. Этот второй vpn реализован в виде виртуальной машины в главном офисе, в которую ввернут pfSense. Со стороны центрального офиса последняя миля оформлена в виде симметричной 100 Мбит/с оптики, со стороны филиалов - как Бог на душу положит, чаще всего обычные "домовые" провайдеры с медью и непривилегированным IP диапазоном (для чего собственно наверно и подымался для администрирования и видеонаблюдения старый VPN 1). Нагрузка на каналы со стороны филиалов - минимальна. До 10 МБит/с на филиал в случае одновременного просмотра видеокамер из центрального офиса да еще параллельно выгрузки чего-то тяжелого типа товарного отчета или синхронизации справочников. Доступ к камерам видеонаблюдения из центрального офиса есть буквально у пары-тройки человек, а все тяжелые операции синхронизации БД происходят строго последовательно. В среднем по предоставленной статистике - 2-3 Мбит/с в всплеске в процессе синхронизации БД. Еще на центральном VPN 1 сервере есть "публикация" видеонаблюдения наружу (в Inet) для iPad-а владельца предприятия. Разные DVR-ы разнесены на разные порты. Оба vpn-а - l2tp. Схема существующей сети прилагается: Вот такой изврат, господа... Поставлена задача весь этот бардак извести, да с очень минимальным бюджетом. Ни о каких Sofos, Fortinet и прочих Checkpoint тут речи не идет, максимум что потянет заказчик - это Mikrotik и иже с ним. Пока для себя набросал вот такую схему: В центральный офис - Mikrotik RB2011UiAS-RM (https://mikrotik.com/product/RB2011UiAS-RM), в филиалы - Mikrotik hEX lite (https://mikrotik.com/product/RB750r2). Задачи останутся те же: доступ сотрудников филиалов к Инету на несколько сайтов, административный vpn, проброс видео в офис и наружу в планшет собственника. Разница только в том, что выкидываются pfSense и старый сервер VPN 1 с Kerio, с ПК филиалов снимаются Kerio-гейты и заменяются на Mikrotik. Оба VPN-а с двумя разными IP диапазонами должны таким образом быть подняты на одном устройстве - центральном Mikrotik RB2011UiAS-RM. Планируется оставить l2tp, но если железки потянут ipsec, то хорошо. Финальный вопрос: потянет ли все это указанные Mikrotik-и и насколько стабильно работают эти железки? Потому как впечатления разные, знакомые "цисководы" смотрят на них откровенно презрительно и рассказывают ужастики об их слабой пропускной способности, особенно в ipsec и в качестве локального коммутатора (без использования изврата в виде локально впаянной микросхемы switch-а с отрубанием одного из аппаратных портов), но в то же время знаю ряд небольших контор, где они служат в качестве роутеров верой и правдой. Прошу прощения за долгий сказ, но хотел донести все детали. Изменено 18 июля, 2017 пользователем Allan Stark Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 17 июля, 2017 · Жалоба 2011-й для центра слаб, смотрите на CCR1009, RB1100AHx4, ну или на худой конец RB750Gr3(hEX) можно попробовать (не потянет - пристроите в филиал). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 18 июля, 2017 · Жалоба Возможно в центр придётся ставить два один под фаерволы и Нат другой под ван. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Allan Stark Опубликовано 18 июля, 2017 · Жалоба Забыл добавить, что в центральном офисе сервер VPN не используется для обеспечения доступа офиса к Инету, он на выделенном канале занимается исключительно связкой филиалов в vpn сеть. Для доступа к инету там отдельный канал и другая железка. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 18 июля, 2017 · Жалоба Для начала ставите в центре хекс и настраиваете все на нем, в филиалы ставите такие же. Каждый филиал соединяется по L2TP с центром, в каждом филиале выделяете серую сетку вида 192.168.х.0/24, через OSPF синхронизируете маршруты, тем самым избавив себя от необходимости каких-то ручных настроек. Для каждого офиса заводите учетку для подключения с фиксированным адресом. В офисах настраиваете нат и дефолтный маршрут в сторону интернета, а маршруты внутренней сети автоматически подтянутся из OSPF. Естественно, нужно не забыть исключить работу НАТ по адресам локалки. Все будет отлично работать. Если в центре будут перегрузы указанного устройства, просто поменяете его на более производительное, например CCR1009. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Allan Stark Опубликовано 18 июля, 2017 · Жалоба Подскажите, а с Windows vpn-подключение к Mikrotik (ipsec или l2tp) нормально живет? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 18 июля, 2017 · Жалоба L2TP, SSTP и PPTP нормально работают. Только лучше при настройках соединения на windows жестко указывать тип протокола, т.к. в случае обрывов она начинает перебирать все доступные протоколы, что увеличивает время переподключения. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...