Jump to content
Калькуляторы

Туннель через интернет с динамической маршрутизцией

Есть микротики 1 2 3 4. Их через интернет надо связать с микротиком 8 через микротики 5 6 7. Последние могут иногда отваливаться от сети, так что при отвале одного, надо, чтобы траф шел через другие. У всех микротиков белые динамические адреса. На 8 можно сделать статический, если иначе никак. Как лучше реализовать? EoIP+RSTP ? Или OSPF ? В последней я ни бум бум, но есть желание освоить. Трафик не большой (netflow и радиус). Да, кстати, обязательно хоть какое нибудь шифрование. За 8 микротиком (будет нат) стоит тазик с радиусом и netflow коллектором.

И ещё, как (кроме netflow) можно снять статистику интерфейсов микротиков 1 2 3 4 ? Сколько МБ принято, сколько отправлено. Через mikbill получится?

Безымянный.jpg

Edited by Diamont

Share this post


Link to post
Share on other sites

Есть микротики 1 2 3 4. Их через интернет надо связать с микротиком 8 через микротики 5 6 7. Последние могут иногда отваливаться от сети, так что при отвале одного, надо, чтобы траф шел через другие. У всех микротиков белые динамические адреса. На 8 можно сделать статический, если иначе никак. Как лучше реализовать? EoIP+RSTP ? Или OSPF ? В последней я ни бум бум, но есть желание освоить. Трафик не большой (netflow и радиус). Да, кстати, обязательно хоть какое нибудь шифрование. За 8 микротиком (будет нат) стоит тазик с радиусом и netflow коллектором.

И ещё, как (кроме netflow) можно снять статистику интерфейсов микротиков 1 2 3 4 ? Сколько МБ принято, сколько отправлено. Через mikbill получится?

Стесняюсь спросить, а зачем такая "наркоманская" схема ?! Что вы хотите получить в конечном итоге ????

Share this post


Link to post
Share on other sites

Не вижу ничего наркоманского в резервировании. По сути есть чо ответить? Судя по всему, придется ждать Сааба.

Share this post


Link to post
Share on other sites

Не вижу ничего наркоманского в резервировании. По сути есть чо ответить? Судя по всему, придется ждать Сааба.

Если хотите по сути, то физически делайте топологию двойного кольца и запиливайте osfp для избыточности, а то что вы нарисовали, это реальная "каша", которая в конце концов наделает ненужных петель. Рекомендую вам погуглить "топология построения локальных сетей" или что-то в этом роде. Кстати, зачем вам шифрование траффика между своими роутерами ??? Опасаетесь, что вас будет мониторить госдеп ???

Edited by rdmitrich

Share this post


Link to post
Share on other sites

Откуда там взяться петлям? "Что-то в этом роде" вы уже погуглили, судя по ответу))

Share this post


Link to post
Share on other sites

Есть микротики 1 2 3 4. Их через интернет надо связать с микротиком 8 через микротики 5 6 7. Последние могут иногда отваливаться от сети, так что при отвале одного, надо, чтобы траф шел через другие. У всех микротиков белые динамические адреса. На 8 можно сделать статический, если иначе никак. Как лучше реализовать?

 

На всех микротиках в меню Routing-OSPF на вкладке Network вбиваете свои локальные сети, можно с большой маской, после чего они соединятся друг с другом.

Далее на тех, у кого интернет, создаете L2TP туннели на центральный (или любые другие, PPTP, SSTP, на которых шифрование есть). Соответственно по IP адресов туннелей они и установят связь с центром.

 

Дальше не ясно, вам трафик абонентов нужно на этот микротик отправлять, или сливать через местные каналы? Если отправлять, то анонсируете по OSPF дефолтный маршрут, на микротиках с туннелями

 

/routing filter

add chain=ospf-in prefix=0.0.0.0 prefix-length=0 set-routing-mark=to_center

 

И по этой маркировке отправляете манглами трафик в центр, при этом сделав условие, что бы локальный трафик под нее не попадал, он и так знает куда ходить.

 

Трафик не большой (netflow и радиус). Да, кстати, обязательно хоть какое нибудь шифрование.

 

Шифрование занимает ресурсы процессора, 400мгц на RB750 и т.п. прокачает около 20 мегабит и не более того. Поэтому посчитайте нужно ли оно вам.

 

И ещё, как (кроме netflow) можно снять статистику интерфейсов микротиков 1 2 3 4 ? Сколько МБ принято, сколько отправлено. Через mikbill получится?

 

Через netflow лучше всего, т.к. опрашивать статистику через монитор по ssh не очень удобно, да и получить не верные показания можно.

 

Кроме всего не забывайте на всех микротиках, где не требуется НАТ, выполнять команду

 

/ip firewall connection tracking

set enabled=no

 

Что бы увеличить производительность по пропуску трафика.

Share this post


Link to post
Share on other sites

С бубном, костылями и через жопу можно.(нужно ли другой вопрос)

Ровно по схеме.

На тазике поднять BIND с динамической зоной типа dyn.lalallala.bybyby.

Роутеры 1234 и 567 скриптом обновляют свои записи там либо напрямую через

tool dns-update

,

либо делают

tool fetch [s]super[/s]secretdnsupdate.php?gw=1234&secret=qqq123www

(там чето делает и пишет в BIND А записи, этакий аналог dyndns ).

т.е. теперь все IP более-менее актуальные есть в одном месте, m1.dyn.lalallala.bybyby. и т.д.

Далее пилим.

на каждом микротике делаем бридж, ничего в него не включаем, называем loopback вешаем адрес 10.1.2.Х/32.

вкл OSPF

/routing ospf instance
set [ find default=yes ] redistribute-other-ospf=as-type-1 router-id=10.1.2.Х
/routing ospf network
add area=backbone comment=Loopback network=10.1.2.Х/32

 

на 5678 поднять эээмммээм OOOO openvpn-server. Адреса клиентов жестко зафиксировать.

на 1234 openvpn туннели к 567.

На 567 соответственно к 8.

Конечные адреса туннелей обновлять скриптом, адрес брать

put [:resolve server=IP.T.А.За m1.dyn.lalallala.bybyby]

Всё, теперь кругом адреса статичные.

Теперь поверх openvpn туннелей поднять EoIP.

На 1234 к 567, на 567 к 8. На EoIP интерфейсы навешать IP 10.5.6.Х/30

Допилить OSPF

/routing ospf network

add area=backbone network=10.5.6.0/24

Добавить статик маршрут в null, чтоб при переключениях всяких трафик не шлялся куда не попадя.

/ip route
add distance=254 dst-address=10.1.2.0/24 type=blackhole
add distance=254 dst-address=10.5.6.0/24 type=blackhole

ну и openvpn сеть сюда-же.

add distance=254 dst-address=o.v.p.n/24 type=blackhole

 

Както так. Покритикуйте если что.

Итого все роутеры доступны по адресу mХ.dyn.lalallala.bybyby,(Х-номер роутера) это по внешнему адресу, если все сломалось.

Также они доступны по внутренним адресам 10.1.2.Х.

MTU кругом 1500.(что оно внутри vpn сфрагментируется никому не скажем).

OpenVpn заодно еще и трафик шифровать будет.... (на самом деле просто его можно на любой порт повесить, а про производительность ничего не было сказано)

Ну а OSPF худо-бедно сбалансирует трафик.

Edited by eugenesch

Share this post


Link to post
Share on other sites

Всем спасибо, будем пробовать оспф.

 

Дальше не ясно, вам трафик абонентов нужно на этот микротик отправлять, или сливать через местные каналы?

Трафик абонентов через местный канал, через тот же, который используется для связки микротиков. На 8 только нетфлоу и радиус.

 

Шифрование занимает ресурсы процессора, 400мгц на RB750 и т.п. прокачает около 20 мегабит и не более того.

Большинство как раз с 400 мгц. Некоторые из 5 6 7 8 с 600 мгц. Но шифровать надо только служебный трафик, так что 20 мбит имхо хватит.

 

Кроме всего не забывайте на всех микротиках, где не требуется НАТ, выполнять команду

Нат на всех.

Share this post


Link to post
Share on other sites

Нат на всех.

Тогда обязательно все служебные подсети исключить из ната.

А абоненты за 1234? или 567 тоже? просто не понятно вообще зачем они нужны. если все роутеры в интернете чего им сразу на 8 не стучаться?

Share this post


Link to post
Share on other sites

Откуда там взяться петлям? "Что-то в этом роде" вы уже погуглили, судя по ответу))

Ну да, старым стал ))) Не обратил внимание, что они связаны через инет ))

 

С бубном, костылями и через жопу можно.(нужно ли другой вопрос)

Ровно по схеме.

На тазике поднять BIND с динамической зоной типа dyn.lalallala.bybyby.

Роутеры 1234 и 567 скриптом обновляют свои записи там либо напрямую через

tool dns-update

,

либо делают

tool fetch [s]super[/s]secretdnsupdate.php?gw=1234&secret=qqq123www

(там чето делает и пишет в BIND А записи, этакий аналог dyndns ).

т.е. теперь все IP более-менее актуальные есть в одном месте, m1.dyn.lalallala.bybyby. и т.д.

Далее пилим.

на каждом микротике делаем бридж, ничего в него не включаем, называем loopback вешаем адрес 10.1.2.Х/32.

вкл OSPF

/routing ospf instance
set [ find default=yes ] redistribute-other-ospf=as-type-1 router-id=10.1.2.Х
/routing ospf network
add area=backbone comment=Loopback network=10.1.2.Х/32

 

на 5678 поднять эээмммээм OOOO openvpn-server. Адреса клиентов жестко зафиксировать.

на 1234 openvpn туннели к 567.

На 567 соответственно к 8.

Конечные адреса туннелей обновлять скриптом, адрес брать

put [:resolve server=IP.T.А.За m1.dyn.lalallala.bybyby]

Всё, теперь кругом адреса статичные.

Теперь поверх openvpn туннелей поднять EoIP.

На 1234 к 567, на 567 к 8. На EoIP интерфейсы навешать IP 10.5.6.Х/30

Допилить OSPF

/routing ospf network

add area=backbone network=10.5.6.0/24

Добавить статик маршрут в null, чтоб при переключениях всяких трафик не шлялся куда не попадя.

/ip route
add distance=254 dst-address=10.1.2.0/24 type=blackhole
add distance=254 dst-address=10.5.6.0/24 type=blackhole

ну и openvpn сеть сюда-же.

add distance=254 dst-address=o.v.p.n/24 type=blackhole

 

Както так. Покритикуйте если что.

Итого все роутеры доступны по адресу mХ.dyn.lalallala.bybyby,(Х-номер роутера) это по внешнему адресу, если все сломалось.

Также они доступны по внутренним адресам 10.1.2.Х.

MTU кругом 1500.(что оно внутри vpn сфрагментируется никому не скажем).

OpenVpn заодно еще и трафик шифровать будет.... (на самом деле просто его можно на любой порт повесить, а про производительность ничего не было сказано)

Ну а OSPF худо-бедно сбалансирует трафик.

Не проще сделать один тик ядром, поднять на нем L2TP сервер и соответственно все терминировать на нем ??? Никакой мороки с днс, только прописать статическую маршрутизацию , в качестве дополнительного профита, уменьшение нагрузки на железки с over400 мегагерцным процессором

Share this post


Link to post
Share on other sites

Не проще сделать один тик ядром, поднять на нем L2TP сервер и соответственно все терминировать на нем ??? Никакой мороки с днс, только прописать статическую маршрутизацию , в качестве дополнительного профита, уменьшение нагрузки на железки с over400 мегагерцным процессором

Проще. Надежнее. Скрость будет выше, особенно если шифрование отрубить. Вот и спрашиваю у ТС зачем там вообще 567.

Share this post


Link to post
Share on other sites

MTU кругом 1500.(что оно внутри vpn сфрагментируется никому не скажем).

 

У PPP туннелей есть параметр MRRU, который позволяет так же пропускать пакеты 1500 байт без фрагментации со стороны сетевых приложений. Поэтому EoIP туннели не нужны.

Share this post


Link to post
Share on other sites

У PPP туннелей есть параметр MRRU, который позволяет так же пропускать пакеты 1500 байт без фрагментации со стороны сетевых приложений. Поэтому EoIP туннели не нужны.

Можно поподробнее? А то что то 1500 вызывают панические "запоры" в тунеле при не самой большой нагрузке.

Share this post


Link to post
Share on other sites

У PPP туннелей есть параметр MRRU, который позволяет так же пропускать пакеты 1500 байт без фрагментации со стороны сетевых приложений. Поэтому EoIP туннели не нужны.

Можно поподробнее? А то что то 1500 вызывают панические "запоры" в тунеле при не самой большой нагрузке.

 

Значит у вас в сети оператора либо большие пакеты не проходят, либо их очередность изменяется. Запустите тест пакетами 1300 байт, а потом 1500 байт, если будет писать corrupted, значит очередность нарушена и работа с такими параметрами не возможна, либо у вышестоящего просто большие пакеты периодически теряются, тогда помогает уменьшение MTU на туннеле. Производить изменения нужно и на сервере и на всех клиентах.

 

Если вы эти параметры не трогаете, то фрагментацией занимаются протоколы более высокого уровня по отношению к каналу, и им потеря очередности в туннеле уже не страшна.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this