Jump to content
Калькуляторы

Сеть предприятия Win+AD+Mikrotik

Доброго времени суток, уважаемые.

 

Прошу помощи в "причёсывании" сети.

Досталось предприятие с ~500 хостами. Основное здание (~350 хостов) и 5 филиалов (по ~30 хостов).

 

Основное здание:

Аплинк 100 мбит, vlan, приходит в первую сетевуху сервера "шлюз": win 2008, Traffic Inspector. Вторая сетевуха смотрит в локалку. Локалка на L1 D-Link'ах, 22 подсеть.

В TI авторизация пользователей по ip-адресам (адреса статические, DHCP отсутствует "в мерах безопасности").

Юзеры авторизуются через AD. Присутствует грядка локальных серверов (БД, файлопомойки).

 

Филиалы:

Аплинки от того же оператора, тот же vlan, адреса из той же подсети, статические.

 

Планирую:

1. Перевести сеть на DHCP, в TI перейти на авторизацию по учётной записи из AD;

2. Уйти от vlan'ов оператора к VPN. В филиалы куплены Mikrotik 2011UiAS-2HnD-IN в качестве VPN-клиента. VPN-сервером выставить TI или отдельную железку?.

3. Разграничить трафик из филиалов. Тут 2 направления: 1 - локальные ресурсы, ходить на которые необходимо через "шлюз" и 2 - внешний интернет, куда можно ходить через провайдера, в обход моего "шлюза".

4. Отсеивание левых устройств. Тут кроме привязки ip-mac или ipsec ничего в голову не приходит.

 

Основной вопрос по 3 пункту:

Микротик умеет работать с AD, как с Radius-сервером. Но в случае потери связи с AD (такое случается), у пользователей в филиалах не будет ни локальных ресурсов, ни интернета. Заводить локальный radius на каждом микротике и при необходимости править юзеров руками на них?

Какие есть выходы из данной ситуации?

 

По 2 пункту:

Оставить пользователей в той же сети или для каждого филиала сделать свою подсеть с микротиком в качестве шлюза? Тут нужна помощь по маршрутам. Не силён в этом.

 

Посоветуйте, как сделать "правильно и красиво", пожалуйста.

Edited by dang

Share this post


Link to post
Share on other sites

Вот мне не понятно, вот скажите, как лучше.

Не знаешь... Сейчас работает... Все довольны? Дак не трогай!

Share this post


Link to post
Share on other sites

По сети не скажу ;) ( т.к не понятно чего хотите ), но с точки зрения мелкомягких в филиалы надо впендюривать DS или RODS, чем проблема и закрывается.

Share this post


Link to post
Share on other sites

Если в ти юзеры по ип авторизауются то нафиг нужен вообще ти, когда такое же без проблем делается на фре/линухе.

Этот же тазик сможет и впн сервером быть. И днс (кеширующий рекурсер) и дхцп...

В ад юзеры авторизуются явно не для инета.

Share this post


Link to post
Share on other sites

Ну если АД отсох, то вообще никакого кина не будет, и локальный кеш не спасёт. Слейвы АД нужно ставить, да. Хоть там стопицот каналов - они не собственные.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this