Туннель через интернет

[Diamont]

Есть микротики 1 2 3 4. Их через интернет надо связать с микротиком 8 через микротики 5 6 7. Последние могут иногда отваливаться от сети, так что при отвале одного, надо, чтобы траф шел через другие. У всех микротиков белые динамические адреса. На 8 можно сделать статический, если иначе никак. Как лучше реализовать? EoIP+RSTP ? Или OSPF ? В последней я ни бум бум, но есть желание освоить. Трафик не большой (netflow и радиус). Да, кстати, обязательно хоть какое нибудь шифрование. За 8 микротиком (будет нат) стоит тазик с радиусом и netflow коллектором.

И ещё, как (кроме netflow) можно снять статистику интерфейсов микротиков 1 2 3 4 ? Сколько МБ принято, сколько отправлено. Через mikbill получится?

Edited August 27, 2014 by Diamont

[rdmitrich]

Есть микротики 1 2 3 4. Их через интернет надо связать с микротиком 8 через микротики 5 6 7. Последние могут иногда отваливаться от сети, так что при отвале одного, надо, чтобы траф шел через другие. У всех микротиков белые динамические адреса. На 8 можно сделать статический, если иначе никак. Как лучше реализовать? EoIP+RSTP ? Или OSPF ? В последней я ни бум бум, но есть желание освоить. Трафик не большой (netflow и радиус). Да, кстати, обязательно хоть какое нибудь шифрование. За 8 микротиком (будет нат) стоит тазик с радиусом и netflow коллектором.

И ещё, как (кроме netflow) можно снять статистику интерфейсов микротиков 1 2 3 4 ? Сколько МБ принято, сколько отправлено. Через mikbill получится?

Стесняюсь спросить, а зачем такая "наркоманская" схема ?! Что вы хотите получить в конечном итоге ????

[Diamont]

Не вижу ничего наркоманского в резервировании. По сути есть чо ответить? Судя по всему, придется ждать Сааба.

[rdmitrich]

Не вижу ничего наркоманского в резервировании. По сути есть чо ответить? Судя по всему, придется ждать Сааба.

Если хотите по сути, то физически делайте топологию двойного кольца и запиливайте osfp для избыточности, а то что вы нарисовали, это реальная "каша", которая в конце концов наделает ненужных петель. Рекомендую вам погуглить "топология построения локальных сетей" или что-то в этом роде. Кстати, зачем вам шифрование траффика между своими роутерами ??? Опасаетесь, что вас будет мониторить госдеп ???

Edited August 27, 2014 by rdmitrich

[Diamont]

Откуда там взяться петлям? "Что-то в этом роде" вы уже погуглили, судя по ответу))

[Saab95]

Есть микротики 1 2 3 4. Их через интернет надо связать с микротиком 8 через микротики 5 6 7. Последние могут иногда отваливаться от сети, так что при отвале одного, надо, чтобы траф шел через другие. У всех микротиков белые динамические адреса. На 8 можно сделать статический, если иначе никак. Как лучше реализовать?

 

На всех микротиках в меню Routing-OSPF на вкладке Network вбиваете свои локальные сети, можно с большой маской, после чего они соединятся друг с другом.

Далее на тех, у кого интернет, создаете L2TP туннели на центральный (или любые другие, PPTP, SSTP, на которых шифрование есть). Соответственно по IP адресов туннелей они и установят связь с центром.

 

Дальше не ясно, вам трафик абонентов нужно на этот микротик отправлять, или сливать через местные каналы? Если отправлять, то анонсируете по OSPF дефолтный маршрут, на микротиках с туннелями

 

/routing filter

add chain=ospf-in prefix=0.0.0.0 prefix-length=0 set-routing-mark=to_center

 

И по этой маркировке отправляете манглами трафик в центр, при этом сделав условие, что бы локальный трафик под нее не попадал, он и так знает куда ходить.

 

Трафик не большой (netflow и радиус). Да, кстати, обязательно хоть какое нибудь шифрование.

 

Шифрование занимает ресурсы процессора, 400мгц на RB750 и т.п. прокачает около 20 мегабит и не более того. Поэтому посчитайте нужно ли оно вам.

 

И ещё, как (кроме netflow) можно снять статистику интерфейсов микротиков 1 2 3 4 ? Сколько МБ принято, сколько отправлено. Через mikbill получится?

 

Через netflow лучше всего, т.к. опрашивать статистику через монитор по ssh не очень удобно, да и получить не верные показания можно.

 

Кроме всего не забывайте на всех микротиках, где не требуется НАТ, выполнять команду

 

/ip firewall connection tracking

set enabled=no

 

Что бы увеличить производительность по пропуску трафика.

[eugenesch]

С бубном, костылями и через жопу можно.(нужно ли другой вопрос)

Ровно по схеме.

На тазике поднять BIND с динамической зоной типа dyn.lalallala.bybyby.

Роутеры 1234 и 567 скриптом обновляют свои записи там либо напрямую через

tool dns-update

,

либо делают

tool fetch [s]super[/s]secretdnsupdate.php?gw=1234&secret=qqq123www

(там чето делает и пишет в BIND А записи, этакий аналог dyndns ).

т.е. теперь все IP более-менее актуальные есть в одном месте, m1.dyn.lalallala.bybyby. и т.д.

Далее пилим.

на каждом микротике делаем бридж, ничего в него не включаем, называем loopback вешаем адрес 10.1.2.Х/32.

вкл OSPF

/routing ospf instance
set [ find default=yes ] redistribute-other-ospf=as-type-1 router-id=10.1.2.Х
/routing ospf network
add area=backbone comment=Loopback network=10.1.2.Х/32

 

на 5678 поднять эээмммээм OOOO openvpn-server. Адреса клиентов жестко зафиксировать.

на 1234 openvpn туннели к 567.

На 567 соответственно к 8.

Конечные адреса туннелей обновлять скриптом, адрес брать

put [:resolve server=IP.T.А.За m1.dyn.lalallala.bybyby]

Всё, теперь кругом адреса статичные.

Теперь поверх openvpn туннелей поднять EoIP.

На 1234 к 567, на 567 к 8. На EoIP интерфейсы навешать IP 10.5.6.Х/30

Допилить OSPF

/routing ospf network

add area=backbone network=10.5.6.0/24

Добавить статик маршрут в null, чтоб при переключениях всяких трафик не шлялся куда не попадя.

/ip route
add distance=254 dst-address=10.1.2.0/24 type=blackhole
add distance=254 dst-address=10.5.6.0/24 type=blackhole

ну и openvpn сеть сюда-же.

add distance=254 dst-address=o.v.p.n/24 type=blackhole

 

Както так. Покритикуйте если что.

Итого все роутеры доступны по адресу mХ.dyn.lalallala.bybyby,(Х-номер роутера) это по внешнему адресу, если все сломалось.

Также они доступны по внутренним адресам 10.1.2.Х.

MTU кругом 1500.(что оно внутри vpn сфрагментируется никому не скажем).

OpenVpn заодно еще и трафик шифровать будет.... (на самом деле просто его можно на любой порт повесить, а про производительность ничего не было сказано)

Ну а OSPF худо-бедно сбалансирует трафик.

Edited August 27, 2014 by eugenesch

[Diamont]

Всем спасибо, будем пробовать оспф.

 

Дальше не ясно, вам трафик абонентов нужно на этот микротик отправлять, или сливать через местные каналы?

Трафик абонентов через местный канал, через тот же, который используется для связки микротиков. На 8 только нетфлоу и радиус.

 

Шифрование занимает ресурсы процессора, 400мгц на RB750 и т.п. прокачает около 20 мегабит и не более того.

Большинство как раз с 400 мгц. Некоторые из 5 6 7 8 с 600 мгц. Но шифровать надо только служебный трафик, так что 20 мбит имхо хватит.

 

Кроме всего не забывайте на всех микротиках, где не требуется НАТ, выполнять команду

Нат на всех.

[eugenesch]

Нат на всех.

Тогда обязательно все служебные подсети исключить из ната.

А абоненты за 1234? или 567 тоже? просто не понятно вообще зачем они нужны. если все роутеры в интернете чего им сразу на 8 не стучаться?

[rdmitrich]

Откуда там взяться петлям? "Что-то в этом роде" вы уже погуглили, судя по ответу))

Ну да, старым стал ))) Не обратил внимание, что они связаны через инет ))

 

С бубном, костылями и через жопу можно.(нужно ли другой вопрос)

Ровно по схеме.

На тазике поднять BIND с динамической зоной типа dyn.lalallala.bybyby.

Роутеры 1234 и 567 скриптом обновляют свои записи там либо напрямую через

tool dns-update

,

либо делают

tool fetch [s]super[/s]secretdnsupdate.php?gw=1234&secret=qqq123www

(там чето делает и пишет в BIND А записи, этакий аналог dyndns ).

т.е. теперь все IP более-менее актуальные есть в одном месте, m1.dyn.lalallala.bybyby. и т.д.

Далее пилим.

на каждом микротике делаем бридж, ничего в него не включаем, называем loopback вешаем адрес 10.1.2.Х/32.

вкл OSPF

/routing ospf instance
set [ find default=yes ] redistribute-other-ospf=as-type-1 router-id=10.1.2.Х
/routing ospf network
add area=backbone comment=Loopback network=10.1.2.Х/32

 

на 5678 поднять эээмммээм OOOO openvpn-server. Адреса клиентов жестко зафиксировать.

на 1234 openvpn туннели к 567.

На 567 соответственно к 8.

Конечные адреса туннелей обновлять скриптом, адрес брать

put [:resolve server=IP.T.А.За m1.dyn.lalallala.bybyby]

Всё, теперь кругом адреса статичные.

Теперь поверх openvpn туннелей поднять EoIP.

На 1234 к 567, на 567 к 8. На EoIP интерфейсы навешать IP 10.5.6.Х/30

Допилить OSPF

/routing ospf network

add area=backbone network=10.5.6.0/24

Добавить статик маршрут в null, чтоб при переключениях всяких трафик не шлялся куда не попадя.

/ip route
add distance=254 dst-address=10.1.2.0/24 type=blackhole
add distance=254 dst-address=10.5.6.0/24 type=blackhole

ну и openvpn сеть сюда-же.

add distance=254 dst-address=o.v.p.n/24 type=blackhole

 

Както так. Покритикуйте если что.

Итого все роутеры доступны по адресу mХ.dyn.lalallala.bybyby,(Х-номер роутера) это по внешнему адресу, если все сломалось.

Также они доступны по внутренним адресам 10.1.2.Х.

MTU кругом 1500.(что оно внутри vpn сфрагментируется никому не скажем).

OpenVpn заодно еще и трафик шифровать будет.... (на самом деле просто его можно на любой порт повесить, а про производительность ничего не было сказано)

Ну а OSPF худо-бедно сбалансирует трафик.

Не проще сделать один тик ядром, поднять на нем L2TP сервер и соответственно все терминировать на нем ??? Никакой мороки с днс, только прописать статическую маршрутизацию , в качестве дополнительного профита, уменьшение нагрузки на железки с over400 мегагерцным процессором

[eugenesch]

Не проще сделать один тик ядром, поднять на нем L2TP сервер и соответственно все терминировать на нем ??? Никакой мороки с днс, только прописать статическую маршрутизацию , в качестве дополнительного профита, уменьшение нагрузки на железки с over400 мегагерцным процессором

Проще. Надежнее. Скрость будет выше, особенно если шифрование отрубить. Вот и спрашиваю у ТС зачем там вообще 567.

[Saab95]

MTU кругом 1500.(что оно внутри vpn сфрагментируется никому не скажем).

 

У PPP туннелей есть параметр MRRU, который позволяет так же пропускать пакеты 1500 байт без фрагментации со стороны сетевых приложений. Поэтому EoIP туннели не нужны.

[SOFTOLAB]

У PPP туннелей есть параметр MRRU, который позволяет так же пропускать пакеты 1500 байт без фрагментации со стороны сетевых приложений. Поэтому EoIP туннели не нужны.

Можно поподробнее? А то что то 1500 вызывают панические "запоры" в тунеле при не самой большой нагрузке.

[Saab95]

У PPP туннелей есть параметр MRRU, который позволяет так же пропускать пакеты 1500 байт без фрагментации со стороны сетевых приложений. Поэтому EoIP туннели не нужны.

Можно поподробнее? А то что то 1500 вызывают панические "запоры" в тунеле при не самой большой нагрузке.

 

Значит у вас в сети оператора либо большие пакеты не проходят, либо их очередность изменяется. Запустите тест пакетами 1300 байт, а потом 1500 байт, если будет писать corrupted, значит очередность нарушена и работа с такими параметрами не возможна, либо у вышестоящего просто большие пакеты периодически теряются, тогда помогает уменьшение MTU на туннеле. Производить изменения нужно и на сервере и на всех клиентах.

 

Если вы эти параметры не трогаете, то фрагментацией занимаются протоколы более высокого уровня по отношению к каналу, и им потеря очередности в туннеле уже не страшна.