[t0rik]

Добрый день, многоуважаемый ALL!

 

 

Вот уже несколько недель ломаю моск каким образом сделать следующую весч. Имеется Mikrotik 951-2n. Wifi в нем выключен за ненадобностью. на WAN белый айпи. 2-й порт локальная сеть офиса. Поднят PPTP-сервер.

 

Задачка вот в чем. Есть сеть филиалов (около 120) которые являются просто автономными офисами подключенными к инету по ADSL (динамика). И мне надо как-то мониторить их присутствие/отсутсвие у них инета (грубо говоря видеть их по впну). Мысли остановились на VPN (для того и поставил микротик). Сервера офисов обычные десктопные винды/линухи. Каким образом организовть этот самый ВПН? PPTP/L2TP/OpenVPN? Вагон тунелей или просто одна виртуальная сеть? Филиалы не обязательно должны друг-друга видеть, главное чтобы я их мог пинговать из своей локалки. Какие у кого будут мысли по данному поводу?

 

Зараннее благодарен...

[danilbal]

А в чем, собственно, проблема?

Выделяете сеть, отличную от локалки, создаете для каждого secrets со статическим адресом в этой сети и все... Собственно, этот адрес и пингуйте. Или просто в винбоксе смотрите на наличие филиала в активных подключениях PPP :)

Возможно, стоит профиль сервера настроить с отключением шифрования, хотя трафик наверное небольшой будет и не поплохеет микротику от 120 туннелей.

Я бы использовал PPTP, просто из соображений совместимости зоопарка ваших филиалов, с тем же OpenVPN могут возникнуть вопросы в ходе настройки на 120 удаленных точках.

[eugenesch]

мысли...

1. Чегото сомнения что этот 951 потянет столько туннелей. Хотяяяя если только попинговать и не нагружать его при этом НАТом локалки(т.е. один для локалки один в качестве ВПН сервера).

2. Тока для проверки есть ли в филиале инет- поднять вебсервер на нем 2 скрипта к первому обращаются филиалы по крону раз там в минуту-две, заносят код филиала и время. Второй скрипт собственно мониторит и показывает когда ктобыл отвалиля и т.д.

3. С ВПНми собственно ничего сложного: на микротике включить любой тип сервера по вкусу. l2tp даст меньшую нагрузку. ovpn - пролезет через через пару натов или по произвольному порту.

4. Не будет если хватать производительности - поднять тоже самое на виртуалке или физическом компе.

Изменено 8 октября, 2014 пользователем eugenesch

[Saab95]

Потянет. Лучше делать pptp, т.к. l2tp могут резать провайдеры. Естественно все без шифрования. Создаете сеть например 192.168.100.х, первый адрес указываете в профиле как local address, далее этот профиль используете для создания секретов, указывая remote address начиная от 2 и вверх. Трафик между этими адресами блокируете в файрволе, что бы они данные не передавали через устройство.

 

Далее устанавливаете The DUDE на компьютер, забиваете IP адреса филиалов и подписываете их, в случае проблем будет уведомление.

 

Но лучше всего поставить в центре мощный микротик, всем в филиалы по маленькому, настроить связь с OSPF и все остальное, тогда сможете всей сетью легко управлять.

[t0rik]

NAT-ом для локалки занимается другой микротик. Так что этот кроме тунелей делать ничего не будет. Просто столкнулся с заковыкой. 1-й pptp клиент конектится, пингуется все окей. А вот следующие клиенты конектятся но не пингуются (((

[danilbal]

А с микротика пингуются?

показали бы настройки уже, раз вопросы пошли конкретней:)

[Saab95]

NAT-ом для локалки занимается другой микротик. Так что этот кроме тунелей делать ничего не будет. Просто столкнулся с заковыкой. 1-й pptp клиент конектится, пингуется все окей. А вот следующие клиенты конектятся но не пингуются (((

 

Скорее всего у них либо адреса не правильно выделены, либо дальние клиенты не знают что у вас в центре.

[t0rik]

Все решилось ) Клиенты не знали внутреннюю сеть ) Докинулся маршрут и все стало хорошо. 30 туннелей полет нормальный.