[Dark Dude]

Доброго времени суток, возник вопрос с разделением сети, так как придя в одну фирму, у них здесь творится непонятно что.

 

Что мы имеем сейчас:

 

Приходят 2 провайдера, подключение через PPPoE (ip динамика, возможно в дальнейшем удастся взять статичный ip)

 

ISP1 - провайдер подключен через обычный маршрутизатор тплинк и раздает инет через него всему офису по вайфаю.
ISP2 - провайдер подключен тоже через обычный маршрутизатор зиксель и раздает инет в хаб а тот уже на бухгалтерские компы.

 

Сейчас начал переделывать всё в проводную сеть (вайфай на мороз для смартфонов), что у бухов, что в других отделах офиса.

 

А значит будет как минимум 2 коммутатора (3 под вопросом)

 

LAN1. Коммутатор для всего офиса
LAN2. Коммутатор для бухов
LAN3. Возможно ещё один коммутатор для дальнейшего расширения, либо просто взять для бухов коммутатор с большим количеством портов и там сделать изоляцию разделение портов или vlan  (Кстати что лучше, изоляцию портов сделать или vlan?)

 

И будет 1 маршрутизатор Mikrotik RB3011UiAS-RM

 

Задача разделить разные провайдеры для сервера и коммутаторов:

 

Например:

 

ISP1 подключить через ether1 Mikrotik и отдавать инет через ether2 в сервер с доменом и оттуда уже в LAN1 коммутатора

ISP2 подключить через ether6 Mikrotik и отдавать инет через ether7 для LAN2 коммутатора для бухов

 

Ну или возможно есть вариант получше?

 

DHCP скорее всего будет настроен на сервере с доменом

 

Тыкните или подскажите как правильней это всё настроить на самом Mikrotik

[Saab95]

Вам нужно 2 микротика для приема провайдеров, если там до 100М каналы то любые, хоть RB750, хоть хексы. Ну или что посерьезнее, если бюджет позволяет.

На раздачу в офисы подойдет один или 2 многопортовых коммутатора от микротика, например CRS326-24G-2S+RM.

 

На первых двух микротиках настраиваете прием каналов - то есть туда подключите кабели провайдеров, поднимите интернет, настроите НАТ.

На коммутаторе (настроенном через роутер ос), настроите разделение трафика от нужных компьютеров в нужные внешние каналы. При этом функционал коммутатора можете вообще не использовать, указывая IP адреса напрямую на порту и включив DHCP.

 

Но вы написали что есть какой-то там домен - а значит он должен раздавать IP адреса компьютерам?

 

2 часа назад, Dark Dude сказал:

И будет 1 маршрутизатор Mikrotik RB3011UiAS-RM

Берите лучше 4011 он чуть дороже, зато быстрее.

[Dark Dude]

@Saab95 Спасибо за ваш ответ. Увы, 2 микротик возможность купить сейчас нет, поэтому и задал вопрос, можно ли разделить на одном? Через тот же bridge и в дальнейшем адресацию?

 

9 минут назад, Saab95 сказал:

Берите лучше 4011 он чуть дороже, зато быстрее.

 

Увы, когда оборудование было закуплено, в наличии для заказа не было данной модели

[edo]

16 часов назад, Saab95 сказал:

На первых двух микротиках

идут годы, но ничего не меняется: на каждую задачу советуют поставить 100500 микротиков )))

[McSea]

@Dark Dude 

Конечно можно на одном микротике разделить, самое простое наверно диапазонами IP адресов (подсетями) через правила маршрутизации (IP/Routes/Rules), можно и отдельные IP направлять через нужного провайдера.

 

 

 

[Saab95]

Все можно, только при наличии динамических IP это сложнее, да и количество правил будет больше. По сути не выгодно держать все на одном устройстве - по производительности могут быть просадки, и разделение нагрузки на 2 устройства упростит и настройку, и работу. Одно чего только стоит порты пробросить при наличии 2-х провайдеров на одном устройстве.

[Dark Dude]

А если просто через Bridge? Создав Bridge1 для ISP1 и завернуть нужный порт и Bridge2 для ISP2 и завернуть нужный порт, правилами потом диапазоны раскидать по портам?

 

Касательно того, что нужно использовать независимые устройства для разных провайдеров, это конечно да, согласен. Но увы, на данном этапе, только вот так. В дальнейшем, если ещё больше будет расширение офиса, тогда добавлю к заявке ешё один микротик

 

 

Изменено 23 декабря, 2020 пользователем Dark Dude

[jffulcrum]

10 часов назад, edo сказал:

идут годы, но ничего не меняется: на каждую задачу советуют поставить 100500 микротиков

В русском языке нет слова "микротик" в единственном числе!

 

@Dark Dude Делать надо нормально, т.е. управляемые коммутаторы, VLAN (WiFi тоже можно будет тогда в отдельный VLAN загнать, как и сервера в отдельный) . На MT делаете тоже VLAN, настраиваете списки адресов в Firewall и правила SRC-NAT с указанием выходного интерфейса и внешнего IP соответствующего провайдера. Там же в Firewall правилами Forward разграничиваете, кто к кому сможет ходить, то есть, например, WIFi только в интернет, офис и бухгалтерия  - к серверам и в Интернет, но не друг к другу.

 

 

[Dark Dude]

@jffulcrum Спасибо за подсказку.

 

В целом в голове представил как это сделать, но, как говорится знающий человек быстрей сможет сделать и показать.

 

Если возможно, на пальцах реализацию вашего предложения можно? Просто каков смысл по вашему мнению громоздить столько виланов?

 

И указать внешний ип постоянно не получится возможный, динамика же. А будет ли статика, вопрос открытый.

 

 

 

[jffulcrum]

49 минут назад, Dark Dude сказал:

И указать внешний ип постоянно не получится возможный, динамика же.

Желательно статикой все же обзавестись. Ибо маскарадинг не всегда работает хорошо, особенно при отпадании линка. Но начать можно и с просто фильтров на out интерфейс.

 

50 минут назад, Dark Dude сказал:

Просто каков смысл по вашему мнению громоздить столько виланов?

Если у вас нет задачи разделения сетей друг от друга, можно и без VLAN. Но потом все равно понадобятся. например когда захочется иметь и внутреннюю, и гостевую сеть WiFi одновременно. Также на VLAN удобно вешаются лимиты скорости, буде такая потребность.

[Dark Dude]

В 24.12.2020 в 02:02, jffulcrum сказал:

Желательно статикой все же обзавестись.

Да, постараюсь этим заняться уже после нового года. Сам понимаю, PPPoE с динамикой такое себе.

 

В 24.12.2020 в 02:02, jffulcrum сказал:

Если у вас нет задачи разделения сетей друг от друга, можно и без VLAN. Но потом все равно понадобятся. например когда захочется иметь и внутреннюю, и гостевую сеть WiFi одновременно. Также на VLAN удобно вешаются лимиты скорости, буде такая потребность.

На данный момент задача по разделению одна, разделить бухов от офиса. Так как во 1 - им приходит свой инет, во 2 - им не нужен доступ к файлам офиса, а офису не нужен доступ к файлам бухов. (А раздел на новые виланы, возможно в будущем будет иметь место).

 

Сейчас творится ад, приходит 2 инета.

 

1 инет уходит на wi-fi роутер на котором и поднято подключение по PPPoE. Потом этот инет уходит на 3 других wi-fi роутера в офисе, так и сидят сотрудники.

2 инет уходит на wi-fi роутер бухгалтеров на котором тоже поднято подключение по PPPoE, Потом инет уходит на компы от этого роутера по проводам.

 

Придя в этот офис, как то пытался навести порядок, но там не знают какие настройки стоят, а там какая админка и прочее. Сразу сказал, к чёрту wi-fi, нужно тянуть витую пару к каждому компу, это и стабильность, и шара папок, да и бэкап и архивация.

 

Сейчас что я хочу сделать:

 

srv1 с AD доменом, dhcp, принт сервер, впн сервер на вируталку, зеркало обновления антивиря и прочее

srv2, репликация данных с 1 сервера, и по мелочи задачи

srv3, под сетевой рендер макса или полноценно для ревит сервера, или как то совместить, это посмотрим

NAS сервер отдельно, для бэкапа важных данных

 

Из железок для сети, что куплено (увы, что то докупить пока нет возможности)

1. Mikrotik RB3011UiAS-RM

2. SNR-S2985G-48T

3. SNR-S2982G-24T

 

Задача:

 

На микротике разделить инет офис/бухгалтерия (так как приходят разные провода и разный инет)

srv1 с AD доменом, желательно через него dhcp настроить для офиса. (Получается инет приходит на Микротик eth1, PPPoE подключение срабатывает, уходит на порт eth2, с которого идёт в srv1, там в 1 сетевуху настройка dhcp и прочего берётся, и из 2 сетевухи уже идёт в коммутатор snr 48 портовый).

dhcp для бухов будет сам микротик раздавать.

srv1 с AD и nas (для бэкапа) должны иметь доступ к бухам и их вилану.

На 48 портовом SNR, будут весить сервера/принтеры/wi-fi/мониторинг юпс и что то может ещё (по подсчётам 48 портов уже заняты)

На 24 портовом SNR, 6 портов уходят в офис, так как докупили принтеры и пару ПК, 6 портов уходят для бухов. (12 портов остаются в резерв)

 

На 24 портовом уже 6 портов бухов загнал для теста в VLAN. Имеет ли смысл загонять все порты из 48 SNR и оставшиеся 6 портов из 24 SNR в единый vlan (они будут использоваться только для офиса по сути. Шаринг папок, принтеров через AD по сути можно сделать)?

 

Возможно, в дальнейшем какой то отдел потребуется загнать в отдельный вилан. Принтеры загнать или wi-fi по отдельным виланам. (оставить возможность)

 

Извиняюсь за сумбурность. Если где-то нужно дописать, допишу. Надеюсь поможете всё раскидать правильно с настройками и конфигами.

Изменено 24 декабря, 2020 пользователем Dark Dude

[McSea]

3 hours ago, Dark Dude said:

(Получается инет приходит на Микротик eth1, PPPoE подключение срабатывает, уходит на порт eth2, с которого идёт в srv1, там в 1 сетевуху настройка dhcp и прочего берётся, и из 2 сетевухи уже идёт в коммутатор snr 48 портовый).

А с какой целью нужно из сервера маршрутизатор делать, к тому же он контроллер домена (получается т.н. multihomed контроллер) ? 

 

[Saab95]

Тут вопрос в том что на форумы надо заходить на начальном этапе, а не когда уже оборудование куплено.

 

Можно было бы, даже оставить 3011 микротик, а вместо SNR купить 2 коммутатора от микротика. Тогда один канал провайдера можно было воткнуть в 3011, а второй в микротик коммутатор и все - каждый бы поднимал свой канал и все без проблем работало. И можно было без проблем дать один канал для бухгалтерии, другой канал всем остальным. И простым правилом проверки доступности отключать маршрут 0.0.0.0/0 на роутере, где пропал интернет, и весь трафик побежит на оставшийся канал через OSPF.

 

А теперь с коммутаторами нужно на 3011 создать десяток вланов, каждый для своей задачи, и на коммутаторах каждые порты добавлять в эти нужные вланы - что не так и удобно.

По сути правильно будет каждый порт каждого коммутатора загнать в уникальный влан, все вланы завести на микротике и на них заводить IP адреса, не объединяя вместе - тогда весь трафик пойдет только через микротик и им легко управлять.

[vvertexx]

@Saab95 

Мэтр, не позорьтесь.

[VolanD666]

ТС, а какой смысл делать Инет то? Может воткнуть два канала в микрот и следить, если один отвалился- то переезжать на другой? Если таки хотите жестко разделить трафик, то делайте вланы и запихивайте их все в разные VRF. В этом случае не нужно будет плодить ACL, а все красиво разрулится- каждый в своем облаке. В микроте VRF конечно сделан через одно место, но в принципе функционала должно хватать.

 

ЗЫ: Свичи вы правильные выбрали, одного микротика у вас должно хватить (тут нужно по трафику смотреть). И последний совет, не слушайте бред адепта выше, он вам щас насоветует костылей.

[Dark Dude]

@VolanD666 Спасибо за ответ.

 

Касательно vrf, может легче добавить правила в fw или нет?

 

Оба инета независимы друг от друга должны быть. 2 инет не резерв для 1. Так как 1 офисный инет, почти всегда забит, а для работы бухов инет нужен свободный, вот и сделали ещё до меня, отдельный 2 инет для бухов.

 

Как вы думаете, как лучше виланы разделить и потом всё это дать скушать микротику?

1вилан для серверов, схд,

2вилан для офиса,

3вилан для бухов,

4вилан загнать принтеры сетевые возможно и потом принтсервер повесить на сервер где будет AD и прочее

5-6 вилан возможно на другой отдел, если нужно будет.

 

1вилан будет использовать 1 инет, но в тоже время, по сети должен иметь будет доступ к другим виланам, и даже к вилану бухов (там свой инет2), хотя инет бухов не нужен для серверов, так как использовать будет 1 инет.

 

Если не составит вам труда, распишите свой пример реализации (конфиги примерные), по моим параметрам, которые я дал в

 

 

Изменено 24 декабря, 2020 пользователем Dark Dude