[Mike84]

Добрый день всем!

Думаю создать вот такую сеть, которая включает два отдаленных здания. Между ними есть оптика, но обязательно нужно запасной беспроводной канал связи. все компьютеры (одного и второго зданий) находятся в одной сети (к примеру 192.168.0.0/24) (в сети до 10 пользователей - не так много). Что можно предпринять, чтобы если использовать беспроводное соединение, чтобы оно было достаточно защищенное? Конечно можно создать закрытое беспроводное соединение, скажем WPA2, использую пароль. Но этого маловато..., хотелось бы еще как-то защитить линию связи между коммутаторами (создать туннель vpn или...). Подскажите пожалуйста что-то дельное, лучше по инструкции.

Коммутатор № 1 - D-Link DGS-1210-10, коммутатор № 2 - MikroTik RB260GS, маршрутизатор - MikroTik hEX RB750Gr3. Оборудование не панацея. 

[alibek]

С коммутаторами - ничего.

[semop]

в здании Б меняете 260 на 750 и переделываете транспорт ВОЛС/вифи на EoIP/mpls/vpn/ipsec

[Mike84]

Пожалуйста, если можно ответьте поподробней. Чем нужно заменить коммутаторы? что конкретно сделать?

[jffulcrum]

В качестве беспроводного оборудования для моста берете что-нибудь вроде SXTsq 5 ac, имеющие поддержку IPSEC. Настраиваете между ними IPsec туннель.

[dvb2000]

Во первых нужны коммутаторы которые вменяемо поддерживают протокол который будет переключать линки между собой. Такой протокол это например MSTP или же в худшем случае RSTP. И это конечно же не могут быть микротики. Кроме того нужно два устройства которые создадут L2 шифрованной туннель, например OpenVPN в режиме TAP. Это могут быть два специализированных компьютера на которых установлен PFSense например. Есть конечно и другие опции как скажем MACSec, но они менее приемлемы.

[ShyLion]

17 hours ago, Mike84 said:

скажем WPA2, использую пароль. Но этого маловато...

И почему же маловато? Если есть что скрывать или есть официальные требования, то ваш огород и так на свалку сразу. А как защита от дурака, то и так достаточно. PSK приличный сделайте. Или сертификаты используйте.

[Mike84]

4 часа назад, dvb2000 сказал:

Во первых нужны коммутаторы которые вменяемо поддерживают протокол который будет переключать линки между собой. Такой протокол это например MSTP или же в худшем случае RSTP. И это конечно же не могут быть микротики. Кроме того нужно два устройства которые создадут L2 шифрованной туннель, например OpenVPN в режиме TAP. Это могут быть два специализированных компьютера на которых установлен PFSense например. Есть конечно и другие опции как скажем MACSec, но они менее приемлемы.

Спасибо, обязательно учту!

3 часа назад, ShyLion сказал:

PSK приличный сделайте. Или сертификаты используйте.

Спасибо!

[Merridius]

On 7/31/2019 at 9:53 AM, dvb2000 said:

Такой протокол это например MSTP или же в худшем случае RSTP.

И чем же хуже RSTP, кроме того, что не умеет инстансы?

[Ivan_83]

Есть такие устройства, называются шифраторы или криптошлюзы, они там всякий IPSec умеют - вам туда с такими хотелками.

Можно наколхозить на своём роутере впн.