Jump to content
Калькуляторы

проброс белых IP через VPN (BGP over VPN)

есть корпоративная сеть, с удаленными филиалами подключенными по VPN.

сейчас филиалы ходят инет каждый через своего провайдера(белый IP), и локалка с основным офисом по VPN(pptp + eoip) построена.

 

хотим поднять в основном офисе BGP, получить у LIRа себе Ipv4/24 + AS и разнести IP на филиалы.(LIR готов выделить)

 

поднимать BGP в каждом филиале дорого, возможно ли использовать VPN тунели что бы пробросить по 10-15 наших IP-шников.

 

основная цель проекта: сделать что бы сотрудники удаленных офисов работали с выделенных им наших белых IP.

 

в этой сфере не очень силен, подскажите, как можно организовать такое?

 

по всех офисах стоят Mikrotik ROS с лицензией 5 уровня.

Edited by eugeny32

Share this post


Link to post
Share on other sites

В каждом городе bgp вы и не сможете поднять с пиром, так как минимальный анонс одна /24 сетка. Поднимайте на ipv/6 (если конечно пиры смогут) - для корпоративщика самое оно.

В остальном - это из разряда фантастики, иначе все будут ходить через головный офис - то, что вы bgp получите в одном месте - это мертвому припарка. :)

Share this post


Link to post
Share on other sites

Если в головном офисе цена на интернет большая, то можно поставить железки в датацентре, туда же взять подсеть и вытянуть vpn со всех офисов. Обычно в дц связность лучше, чем у конечных провайдеров, интернет дешевле и можно взять гигабитный порт.

Share this post


Link to post
Share on other sites

а сам вариант поднять BGP через VPN возможен?

возможно попробуем выбить на каждый офис по /24

ipv6 пока не подходят, сейчас нужны именно ipv4.

 

в удаленных офисах в принципе нужно выделить наши IP только на 5-10 компах, остальные могут и за натом сидеть.

 

сам инет с BGP стоит в два раза дороже чем без него, не думаю что смогу раскрутить начальство на это для всех филиалов.

 

насчёт того что бы они сидели в Инете через VPN я думал, но канала не хватит.

Связность офисов хорошая, пинг 8мс.

Edited by eugeny32

Share this post


Link to post
Share on other sites

сейчас стоимость аренды/покупки ipv4 настолько дорогая что вам намного выгоднее будет сделать(как выше советовали) - сервер в аренду в ДЦ. И с сервера уже делать анонс автономки и префиксов. На сервер можно поставить все тот же уже знакомый вам ROS.

 

Сервер можно взять даже на виртуалке(xen). ROS его поддерживает.

Share this post


Link to post
Share on other sites

сейчас стоимость аренды/покупки ipv4 настолько дорогая что вам намного выгоднее будет сделать(как выше советовали) - сервер в аренду в ДЦ. И с сервера уже делать анонс автономки и префиксов. На сервер можно поставить все тот же уже знакомый вам ROS.

 

Сервер можно взять даже на виртуалке(xen). ROS его поддерживает.

Можно даже железный микротик поставить. Вероятно, будет чуть дешевле, так как потребляет электричества меньше и всего 1U занимает.

Share this post


Link to post
Share on other sites

цель всего сделать в офисах для некоторых сотрудников доступ к сети Интернет с наших внешних IP. (в идеале одной /24 хватит что бы раздать все сотрудникам белые IP)Там сотрудники работают с зарубежными компаниями, которые разрешают доступ к своим сервисам, только из корпоративных сетей компании. Соответственно мы никак не можем их убедить что это Россия и что тут не все так просто как у них за бугром. В итоге приняли решение что нам проще самим поднять BGP и получить IPшники, чем пытаться убедить иностранцев в обратном.

 

зачем арендовать где то сервер и платить за него кучу денег? когда он уже есть и есть для него места в головном офисе, там хорошая связь с Инетом и с офисами(канал 50мбит/сек) в офисах канал по 5-10Мбит/сек.

И зачем вообще собсно сервер? два железных микротика RB2011-UAS легко и непринужденно держат 20 pptp офисов и натят 40ПК основного офиса, + сайт компании. В офисах по 5-10пк, также проблем с микротиками нигде нет, там микротиковские 24 портовые CRS стоят (с WiFi который). Наша корп. сеть везде на оборудовании не ниже L3 построена и планируется использовать эту инфраструктуру для того что бы реализовать эту задачу.

 

Прокинуть в головной офис BGP что бы анонсить наши IP - нет проблем. В филиалах вопрос по BGP-присоединению нужно еще обсуждать с провами и это наверняка в итоге будет недешево, т.к. города в основном небольшие. В головном офисе уже все договорено с провом и не составляет проблемы.

 

Я щас немогу придумать как мне проанонсить(прокинуть) наши IP в удаленных офисах, где нет прямого BGP присоединения, т.е. через VPN или еще как-то.

 

Вариант с использованием VPN к основному офсиу и дать доступ в Интернет филиалам через головной офис - считаю глупым. И даже трудно прикинуть как это медлено будет и какие нужны будут каналы в офисах.

Edited by eugeny32

Share this post


Link to post
Share on other sites

Боже, да не нужен вам BGP _между офисами_! Наймите админа уже, который вам расскажет что надо с центра анонсить весь префикс в апстрим, а с филиалов поднять pptp/openvpn/ipip/дачтоугодно и статикой им выделить внутри /28 (или сколько надо) от вашей /24. На втором уровне дзена можно поднять еще ospf, и резерв воткнуть в филиалы. Всё. БГП надо только в одном месте.

 

Вы просто не понимаете, наверное, что никто вам не даст мельче /24 анонсить апстримам. А заанонсить одну и ту же /24 с офисов и получить anycast с его особенностями - проще сразу уволиться, не тот уровень задач для таких решений.

Share this post


Link to post
Share on other sites

Боже, да не нужен вам BGP _между офисами_! Наймите админа уже, который вам расскажет что надо с центра анонсить весь префикс в апстрим, а с филиалов поднять pptp/openvpn/ipip/дачтоугодно и статикой им выделить внутри /28 (или сколько надо) от вашей /24. На втором уровне дзена можно поднять еще ospf, и резерв воткнуть в филиалы. Всё. БГП надо только в одном месте.

 

Вы просто не понимаете, наверное, что никто вам не даст мельче /24 анонсить апстримам. А заанонсить одну и ту же /24 с офисов и получить anycast с его особенностями - проще сразу уволиться, не тот уровень задач для таких решений.

Два чая этому господину.

ТС, заплатите денег админу, который нарисует вам весь дизайн и расскажет,что, как и зачем. А еще лучше возьмите человека в штат, или хотя бы отдайтесь аутсорсерам, которые сделают вам нормальную сеть.

Share this post


Link to post
Share on other sites

Проанонсить сеть /24 из офисов по BGP - возможно.

Поднять BGP на ваших микротиках геморройно - +50-100% стоимости от настройки на линуксовой квагге.

Вам еще понадобится синхронизация траффика между офисами с помощью OSPF.

Поднять OSPF на ваших микротиках геморройно - +50-100% стоимости от настройке на линуксовой квагге.

 

зачем арендовать где то сервер и платить за него кучу денег? когда он уже есть и есть для него места в головном офисе,

Вы не в курсе цен на аренду серверов и виртуалок. Вы не платите по счетам за электроэнергию.

 

там хорошая связь с Инетом и с офисами(канал 50мбит/сек) в офисах канал по 5-10Мбит/сек.

Для глубинки, за МКАДом это очень хороший интернет.

 

И зачем вообще собсно сервер? два железных микротика RB2011-UAS легко и непринужденно держат 20 pptp офисов и натят 40ПК основного офиса, + сайт компании.

Научитесь численно описывать параметры загрузки канала и оборудования.

И Вы не поимели секса дзена с Микротиком.

Edited by vlad11

Share this post


Link to post
Share on other sites

я и так там работаю сисадмином, но с BGP я вообще никогда не работал, для меня это ново, и поэтому по нему куча вопросов.

 

какие трудности могут быть с микротиком при работе по BGP?

 

про BGP в главном офисе понятно, у меня не было вопросов по нему. Как настроить его и анонсить нашу подсеть в мир я думаю что разберусь. В инете видел много инструкций для мк.

 

Я пока не понимаю как юзеры в удаленных офисах получат наши IP? Щас весь офис филиала подключается по VPN к главному, и получает тока локалку. В инет ходят через местного провайдера.

 

Если я выделю на VPN филиалам наш статический IP(или подсеть), то, для того что бы они под ним ходили в Инет, трафик нужно направлять через головной офис. иначе как у них появится наши IP?

Edited by eugeny32

Share this post


Link to post
Share on other sites

я и так там работаю сисадмином, но с BGP я вообще никогда не работал, для меня это ново, и поэтому по нему куча вопросов.

 

какие трудности могут быть с микротиком при работе по BGP?

 

про BGP в главном офисе понятно, у меня не было вопросов по нему. Как настроить его и анонсить нашу подсеть в мир я думаю что разберусь. В инете видел много инструкций для мк.

 

Я пока не понимаю как юзеры в удаленных офисах получат наши IP? Щас весь офис филиала подключается по VPN к главному, и получает тока локалку. В инет ходят через местного провайдера.

 

Если я выделю на VPN филиалам наш статический IP(или подсеть), то, для того что бы они под ним ходили в Инет, трафик нужно направлять через головной офис. иначе как у них появится наши IP?

 

Начните с литературы про базовые принципы маршрутизации. В интернетах про это намеренно умалчивают.

Share this post


Link to post
Share on other sites

Я вообще не понял. А зачем тут сеть /24. Мы даем сеть, например, /29 компании. В райпе пишем что эта сеть отдана тому-то тому-то

Далее с офисов вы подключаетесь VPN к центральному офису и ходите в инет через него. У всех офисов будет ваш IP из центрального офиса.

Share this post


Link to post
Share on other sites

В интернетах вообще сложилось мнение, что админом можно быть просто пару раз запустив линукс на лэптопе.

Это не так.

 

Если я выделю на VPN филиалам наш статический IP(или подсеть), то, для того что бы они под ним ходили в Инет, трафик нужно направлять через головной офис. иначе как у них появится наши IP?

 

Да именно так и есть. И это, на самом деле, очень даже нормальный вариант. Ибо остальные куда страшнее.

Share this post


Link to post
Share on other sites

Зачем вам вообще БГП в офисах? Чтобы было?

вот именно! да зачем? )

Share this post


Link to post
Share on other sites

Вам надо заанонсить свою сеть по BGP в центре, допустим дали /24.

Далее включаете OSPF везде и все филиалы подключаете по L2TP туннелям.

Анонсите маршрут 0.0.0.0/0 через OSPF и фильтром вешаете на него роутинг марк.

В манглах заворачиваете весь внутренний трафик в центр на основе этой маркировки.

На всех удаленных микротиках в OSPF на вкладке network указываете вашу белую сеть 17.18.19.0/24

На порт микротика в удаленном офисе вешаете адреса вида /ip address add address=17.18.19.1/32 network=17.18.19.60 interface=bridge1 - соответственно клиент может указать себе только этот адрес, если нужно 2 или более адресов, создаете необходимое количество таких записей, изменяя поле network в зависимости от необходимого адреса. Таким образом сможете раздать без потерь 253 адреса в любом месте вашей сети.

Что бы абоненты могли общаться по вашей белой адресации, нужно включить прокси арп на сетевых интерфейсах, где эта сеть указывается.

 

Начните с литературы про базовые принципы маршрутизации. В интернетах про это намеренно умалчивают.

 

Начинать надо с покупки микротика, если микротик уже есть, литературу про базовые принципы маршрутизации можно не читать.

Share this post


Link to post
Share on other sites

литературу про базовые принципы маршрутизации можно не читать.

конечно, у микротика многое через жопу поэтому тут книги не помогут

Share this post


Link to post
Share on other sites

Проанонсить сеть /24 из офисов по BGP - возможно.

Поднять BGP на ваших микротиках геморройно - +50-100% стоимости от настройки на линуксовой квагге.

Вам еще понадобится синхронизация траффика между офисами с помощью OSPF.

Поднять OSPF на ваших микротиках геморройно - +50-100% стоимости от настройке на линуксовой квагге.

 

На микротике схема раздачи адресов настраивается ровно за 5 секунд путем заливки типового конфига.

 

конечно, у микротика многое через жопу поэтому тут книги не помогут

 

Можно взять микротик, залить в него типовой конфиг и он будет работать.

 

С линуксом все не так - сначала нужно установить линукс, поставить пакеты, поправить 10-20 файлов конфигурации и т.п. Бывают еще любители его на дешевые роутеры за 700р. ставить.

Share this post


Link to post
Share on other sites

Проанонсить сеть /24 из офисов по BGP - возможно.

Поднять BGP на ваших микротиках геморройно - +50-100% стоимости от настройки на линуксовой квагге.

Вам еще понадобится синхронизация траффика между офисами с помощью OSPF.

Поднять OSPF на ваших микротиках геморройно - +50-100% стоимости от настройке на линуксовой квагге.

 

На микротике схема раздачи адресов настраивается ровно за 5 секунд путем заливки типового конфига.

 

Не рассказывайте сказки. У микротика многие вещи работают по-другому нежели описаны в стандартах-RFC(by design). А потом, когда понадобится дэбаг настроек, Микротик сразу поднимет лапки верх и скажет, что не умеет.

P.S. Типовый конфиг надо еще иметь.

Edited by vlad11

Share this post


Link to post
Share on other sites

Начинать надо с покупки микротика, если микротик уже есть, литературу про базовые принципы маршрутизации можно не читать.

 

А лучше вообще ничего не читать, зачем плодить понимающих? Зато мы без работы не останемся, все верно Ъ

Share this post


Link to post
Share on other sites

Не рассказывайте сказки. У микротика многие вещи работают по-другому нежели описаны в стандартах-RFC(by design). А потом, когда понадобится дэбаг настроек, Микротик сразу поднимет лапки верх и скажет, что не умеет.

P.S. Типовый конфиг надо еще иметь.

 

У меня микротиков много тысяч и все работают с OSPF, при этом никаких проблем не возникает. Проблемы появляются в том случае, если кто-то пытается настроить микротик не сбросив начальный конфиг, или не понимая принципов функционирования оборудования, либо пытаются закрыться от всех бед файрволом, который для роутеров вообще не нужен.

Share this post


Link to post
Share on other sites

я не писал что у меня есть BGP во всех офисах, и написал что в них его получить крайне трудно, ибо с провайдером вопрос даже не окучивался еще.

 

я не имею большого понимаю того как работает BGP, из литературы мягко говоря ничего не ясно и формально. На момент открытия поста я считал что реальные IP мне нужно как-то проанонсить с головного офиса(где анонсится большой блок /24) маленькими блоками на IP удаленных офисов средствами BGP по VPN, а для этой идеи нужно было прокинуть bgp over vpn.

 

но вот сейчас по ответам начинаю понимать, что все же BGP не нужен в филиалах и раздать белые IP можно обычной статикой, аналогично как раздаются серые IP.

 

вопрос по емкости каналов, если пускать все через головной офис, то загрузка каналов в филиалах почти не увеличится, а тока в головном офисе загрузка на канал возрастёт на скорость канала со всех офисов, верно?

Share this post


Link to post
Share on other sites

вопрос по емкости каналов, если пускать все через головной офис, то загрузка каналов в филиалах почти не увеличится, а тока в головном офисе загрузка на канал возрастёт на скорость канала со всех офисов, верно?

 

Почти да. В реальности будет меньше, т.к. мультиплексирование. Вы главное графики стройте, чтобы полочку вовремя заметить :-)

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this