Jump to content
Калькуляторы

2 провайдера, как быть с удаленными офисами?

Здравствуйте.

Есть два провайдера, настроены в резервировании, основной и включаемый резервный канал только в случае отключения основного. Везде белые ip.

К данному микротику подключается еще несколько филиалов по GRE + IPSec каналу. Как организовать что бы в случае отключения Основного канала, связь с филиалами не терялась?

Share this post


Link to post
Share on other sites

1. Настроить по два туннеля в каждом филиале. При такой схеме в одно время будет поднят только один из них.

2. Скриптами. Например, менять IP главного офиса в настройках туннеля в филиалах

 

Share this post


Link to post
Share on other sites

Резервный канал полностью не  отключать.
IPSEC УБРАТЬ ВНУТРЬ ТУННЕЛЕЙ и разделить туннели маршрутизируя в мир по-протокольно:
Провайдер-1 GRE+IPSEC
Провайдер-2 IPIP+IPSEC
Поднять внутри OSPF задав цену интерфейса через IPIP туннель выше, тогда он почти не будет использоваться до падения провайдера-1.

Share this post


Link to post
Share on other sites

Нужно поставить по микротику на каждый внешний канал. С каждого поднять перекрестные туннели на адреса другого офиса. Всего будет 4 туннеля. Поверх поднимаете OSPF и все прекрасно будет само резервироваться.

Share this post


Link to post
Share on other sites

Прочитал ваши посты, спасибо всем. Решил, и в принципе сейчас уже сделал как указанно у вас всех, но не допилил. Поставил два микротика, на каждый завел свой ISP. Наcтроил VRRP между ними, являются у друг дружки Бэкапами. Но пока не проверялось вся эта система. У меня вопрос по поводу VRRP и VLAN с бриджами. 

На микротиках есть Бридж, на который назначен адрес 192.168.10.1, а так же в этом бридже есть Влан 100 с назначенным на него адресом 192.168.100.1 . Ну и на втором микроте то же самое, только на конце .... .2

1. Вообще правильно вланы кидать внутрь бриджа с локальной сетью 192.168.10.0/24?

2. VRRP интерфейс необходимо создавать на Бридже в моём случае?

3. На Вланы интерфейсы так же необходимо создавать VRRP что бы все нормально работало после переключения?

 

@nkusnetsov Можете кратко объяснить почему ВНУТРЬ Тунелей? И почему Второй провайдер IPIP, а не тот же GRE ? Т.к. я сейчас настроил тунель с другим офисом, у которого так же как у нас два провайдера, но Один микротик через два GRE с IPSEC на внешнем каналах. Но почему то работать не хочет правильно, когда у них эксперементировали с отключением одного из канала. Думаю из за настройки полностью отличной от вашей ))) 

@Saab95 @crank При такий схеме как у меня как настроить резервирования интернета на удаленном офисе, где один микротик и два провайдера? Настраивал Нетвотчем, но как то не сложилось у меня, почему то маршрутизация не поднималась...

Share this post


Link to post
Share on other sites
14 часов назад, sharik987 сказал:

На микротиках есть Бридж, на который назначен адрес 192.168.10.1, а так же в этом бридже есть Влан 100 с назначенным на него адресом 192.168.100.1 . Ну и на втором микроте то же самое, только на конце .... .2

1. Вообще правильно вланы кидать внутрь бриджа с локальной сетью 192.168.10.0/24?

2. VRRP интерфейс необходимо создавать на Бридже в моём случае?

3. На Вланы интерфейсы так же необходимо создавать VRRP что бы все нормально работало после переключения?

Нарисуйте лучше схему. Если у вас в каждом филиале и главном офисе по одному микротику и больше никакого оборудования типа управляемых свичей нет, то не понятно совсем зачем вам vlan'ы.

 

По VRRP. Он создаётся на интерфейсах той сети, для которой настраиваете резервирование. Скажем если у вас сеть 192.168.10.0/24, то адреса микротиков должны быть 2 и 3, а адрес интерфейса VRRP - 1.

 

14 часов назад, sharik987 сказал:

При такий схеме как у меня как настроить резервирования интернета на удаленном офисе, где один микротик и два провайдера? Настраивал Нетвотчем, но как то не сложилось у меня, почему то маршрутизация не поднималась...

Если именно про маршрутизацию, то настройте лучше OSPF.

Share this post


Link to post
Share on other sites
16 часов назад, sharik987 сказал:

 

@nkusnetsov Можете кратко объяснить почему ВНУТРЬ Тунелей? И почему Второй провайдер IPIP, а не тот же GRE ? Т.к. я сейчас настроил тунель с другим офисом, у которого так же как у нас два провайдера, но Один микротик через два GRE с IPSEC на внешнем каналах. Но почему то работать не хочет правильно, когда у них эксперементировали с отключением одного из канала. Думаю из за настройки полностью отличной от вашей ))) 

 

Убирание IPSec внутрь туннелей позволяет на слабых роутерах не поддерживающих аппаратное ускорение криптографии IPSec шифровать не весь трафик, а выборочно. Например шифровать только SIP/UDP и не шифровать SMB. Отсутствие шифрования "не критичных к секретности" потоков данных позволит сэкономить ресурсы процессора.
Разделние по протоколам - один туннель IPIP, второй GRE, в случае с двумя провайдерами позволяет легко маркировать в mangle исходящий туннелирующий трафик по признаку протокола и корректно отправлять его в разные таблицы маршрутизации, через двух разных провайдеров.
Кроме того, бывает, что провайдеры режут протокол GRE, а до IPIP у них руки не доходят.

Edited by nkusnetsov

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now