Сеть предприятия Win+AD+Mikrotik

[dang]

Доброго времени суток, уважаемые.

 

Прошу помощи в "причёсывании" сети.

Досталось предприятие с ~500 хостами. Основное здание (~350 хостов) и 5 филиалов (по ~30 хостов).

 

Основное здание:

Аплинк 100 мбит, vlan, приходит в первую сетевуху сервера "шлюз": win 2008, Traffic Inspector. Вторая сетевуха смотрит в локалку. Локалка на L1 D-Link'ах, 22 подсеть.

В TI авторизация пользователей по ip-адресам (адреса статические, DHCP отсутствует "в мерах безопасности").

Юзеры авторизуются через AD. Присутствует грядка локальных серверов (БД, файлопомойки).

 

Филиалы:

Аплинки от того же оператора, тот же vlan, адреса из той же подсети, статические.

 

Планирую:

1. Перевести сеть на DHCP, в TI перейти на авторизацию по учётной записи из AD;

2. Уйти от vlan'ов оператора к VPN. В филиалы куплены Mikrotik 2011UiAS-2HnD-IN в качестве VPN-клиента. VPN-сервером выставить TI или отдельную железку?.

3. Разграничить трафик из филиалов. Тут 2 направления: 1 - локальные ресурсы, ходить на которые необходимо через "шлюз" и 2 - внешний интернет, куда можно ходить через провайдера, в обход моего "шлюза".

4. Отсеивание левых устройств. Тут кроме привязки ip-mac или ipsec ничего в голову не приходит.

 

Основной вопрос по 3 пункту:

Микротик умеет работать с AD, как с Radius-сервером. Но в случае потери связи с AD (такое случается), у пользователей в филиалах не будет ни локальных ресурсов, ни интернета. Заводить локальный radius на каждом микротике и при необходимости править юзеров руками на них?

Какие есть выходы из данной ситуации?

 

По 2 пункту:

Оставить пользователей в той же сети или для каждого филиала сделать свою подсеть с микротиком в качестве шлюза? Тут нужна помощь по маршрутам. Не силён в этом.

 

Посоветуйте, как сделать "правильно и красиво", пожалуйста.

Edited September 23, 2014 by dang

[Ivan_83]

А что вы хотите получить вообще то?

[Alteron]

Вот мне не понятно, вот скажите, как лучше.

Не знаешь... Сейчас работает... Все довольны? Дак не трогай!

[slepnoga]

По сети не скажу ;) ( т.к не понятно чего хотите ), но с точки зрения мелкомягких в филиалы надо впендюривать DS или RODS, чем проблема и закрывается.

[Ivan_83]

Если в ти юзеры по ип авторизауются то нафиг нужен вообще ти, когда такое же без проблем делается на фре/линухе.

Этот же тазик сможет и впн сервером быть. И днс (кеширующий рекурсер) и дхцп...

В ад юзеры авторизуются явно не для инета.

[Sergeylo]

Ну если АД отсох, то вообще никакого кина не будет, и локальный кеш не спасёт. Слейвы АД нужно ставить, да. Хоть там стопицот каналов - они не собственные.