eugeny32 Posted November 22, 2014 (edited) · Report post есть корпоративная сеть, с удаленными филиалами подключенными по VPN. сейчас филиалы ходят инет каждый через своего провайдера(белый IP), и локалка с основным офисом по VPN(pptp + eoip) построена. хотим поднять в основном офисе BGP, получить у LIRа себе Ipv4/24 + AS и разнести IP на филиалы.(LIR готов выделить) поднимать BGP в каждом филиале дорого, возможно ли использовать VPN тунели что бы пробросить по 10-15 наших IP-шников. основная цель проекта: сделать что бы сотрудники удаленных офисов работали с выделенных им наших белых IP. в этой сфере не очень силен, подскажите, как можно организовать такое? по всех офисах стоят Mikrotik ROS с лицензией 5 уровня. Edited November 22, 2014 by eugeny32 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SyJet Posted November 22, 2014 · Report post В каждом городе bgp вы и не сможете поднять с пиром, так как минимальный анонс одна /24 сетка. Поднимайте на ipv/6 (если конечно пиры смогут) - для корпоративщика самое оно. В остальном - это из разряда фантастики, иначе все будут ходить через головный офис - то, что вы bgp получите в одном месте - это мертвому припарка. :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DVM-Avgoor Posted November 23, 2014 · Report post Ну и гоняйте инет через VPN. Зачем изобретать лишнее? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
MMM Posted November 23, 2014 · Report post Если в головном офисе цена на интернет большая, то можно поставить железки в датацентре, туда же взять подсеть и вытянуть vpn со всех офисов. Обычно в дц связность лучше, чем у конечных провайдеров, интернет дешевле и можно взять гигабитный порт. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
eugeny32 Posted November 23, 2014 (edited) · Report post а сам вариант поднять BGP через VPN возможен? возможно попробуем выбить на каждый офис по /24 ipv6 пока не подходят, сейчас нужны именно ipv4. в удаленных офисах в принципе нужно выделить наши IP только на 5-10 компах, остальные могут и за натом сидеть. сам инет с BGP стоит в два раза дороже чем без него, не думаю что смогу раскрутить начальство на это для всех филиалов. насчёт того что бы они сидели в Инете через VPN я думал, но канала не хватит. Связность офисов хорошая, пинг 8мс. Edited November 23, 2014 by eugeny32 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
adron2 Posted November 23, 2014 · Report post сейчас стоимость аренды/покупки ipv4 настолько дорогая что вам намного выгоднее будет сделать(как выше советовали) - сервер в аренду в ДЦ. И с сервера уже делать анонс автономки и префиксов. На сервер можно поставить все тот же уже знакомый вам ROS. Сервер можно взять даже на виртуалке(xen). ROS его поддерживает. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
MMM Posted November 23, 2014 · Report post сейчас стоимость аренды/покупки ipv4 настолько дорогая что вам намного выгоднее будет сделать(как выше советовали) - сервер в аренду в ДЦ. И с сервера уже делать анонс автономки и префиксов. На сервер можно поставить все тот же уже знакомый вам ROS. Сервер можно взять даже на виртуалке(xen). ROS его поддерживает. Можно даже железный микротик поставить. Вероятно, будет чуть дешевле, так как потребляет электричества меньше и всего 1U занимает. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DVM-Avgoor Posted November 23, 2014 · Report post Зачем вам вообще БГП в офисах? Чтобы было? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
eugeny32 Posted November 25, 2014 (edited) · Report post цель всего сделать в офисах для некоторых сотрудников доступ к сети Интернет с наших внешних IP. (в идеале одной /24 хватит что бы раздать все сотрудникам белые IP)Там сотрудники работают с зарубежными компаниями, которые разрешают доступ к своим сервисам, только из корпоративных сетей компании. Соответственно мы никак не можем их убедить что это Россия и что тут не все так просто как у них за бугром. В итоге приняли решение что нам проще самим поднять BGP и получить IPшники, чем пытаться убедить иностранцев в обратном. зачем арендовать где то сервер и платить за него кучу денег? когда он уже есть и есть для него места в головном офисе, там хорошая связь с Инетом и с офисами(канал 50мбит/сек) в офисах канал по 5-10Мбит/сек. И зачем вообще собсно сервер? два железных микротика RB2011-UAS легко и непринужденно держат 20 pptp офисов и натят 40ПК основного офиса, + сайт компании. В офисах по 5-10пк, также проблем с микротиками нигде нет, там микротиковские 24 портовые CRS стоят (с WiFi который). Наша корп. сеть везде на оборудовании не ниже L3 построена и планируется использовать эту инфраструктуру для того что бы реализовать эту задачу. Прокинуть в головной офис BGP что бы анонсить наши IP - нет проблем. В филиалах вопрос по BGP-присоединению нужно еще обсуждать с провами и это наверняка в итоге будет недешево, т.к. города в основном небольшие. В головном офисе уже все договорено с провом и не составляет проблемы. Я щас немогу придумать как мне проанонсить(прокинуть) наши IP в удаленных офисах, где нет прямого BGP присоединения, т.е. через VPN или еще как-то. Вариант с использованием VPN к основному офсиу и дать доступ в Интернет филиалам через головной офис - считаю глупым. И даже трудно прикинуть как это медлено будет и какие нужны будут каналы в офисах. Edited November 25, 2014 by eugeny32 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DVM-Avgoor Posted November 25, 2014 · Report post Боже, да не нужен вам BGP _между офисами_! Наймите админа уже, который вам расскажет что надо с центра анонсить весь префикс в апстрим, а с филиалов поднять pptp/openvpn/ipip/дачтоугодно и статикой им выделить внутри /28 (или сколько надо) от вашей /24. На втором уровне дзена можно поднять еще ospf, и резерв воткнуть в филиалы. Всё. БГП надо только в одном месте. Вы просто не понимаете, наверное, что никто вам не даст мельче /24 анонсить апстримам. А заанонсить одну и ту же /24 с офисов и получить anycast с его особенностями - проще сразу уволиться, не тот уровень задач для таких решений. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Night_Snake Posted November 25, 2014 · Report post Боже, да не нужен вам BGP _между офисами_! Наймите админа уже, который вам расскажет что надо с центра анонсить весь префикс в апстрим, а с филиалов поднять pptp/openvpn/ipip/дачтоугодно и статикой им выделить внутри /28 (или сколько надо) от вашей /24. На втором уровне дзена можно поднять еще ospf, и резерв воткнуть в филиалы. Всё. БГП надо только в одном месте. Вы просто не понимаете, наверное, что никто вам не даст мельче /24 анонсить апстримам. А заанонсить одну и ту же /24 с офисов и получить anycast с его особенностями - проще сразу уволиться, не тот уровень задач для таких решений. Два чая этому господину. ТС, заплатите денег админу, который нарисует вам весь дизайн и расскажет,что, как и зачем. А еще лучше возьмите человека в штат, или хотя бы отдайтесь аутсорсерам, которые сделают вам нормальную сеть. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vlad11 Posted November 25, 2014 (edited) · Report post Проанонсить сеть /24 из офисов по BGP - возможно. Поднять BGP на ваших микротиках геморройно - +50-100% стоимости от настройки на линуксовой квагге. Вам еще понадобится синхронизация траффика между офисами с помощью OSPF. Поднять OSPF на ваших микротиках геморройно - +50-100% стоимости от настройке на линуксовой квагге. зачем арендовать где то сервер и платить за него кучу денег? когда он уже есть и есть для него места в головном офисе, Вы не в курсе цен на аренду серверов и виртуалок. Вы не платите по счетам за электроэнергию. там хорошая связь с Инетом и с офисами(канал 50мбит/сек) в офисах канал по 5-10Мбит/сек. Для глубинки, за МКАДом это очень хороший интернет. И зачем вообще собсно сервер? два железных микротика RB2011-UAS легко и непринужденно держат 20 pptp офисов и натят 40ПК основного офиса, + сайт компании. Научитесь численно описывать параметры загрузки канала и оборудования. И Вы не поимели секса дзена с Микротиком. Edited November 25, 2014 by vlad11 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
eugeny32 Posted November 25, 2014 (edited) · Report post я и так там работаю сисадмином, но с BGP я вообще никогда не работал, для меня это ново, и поэтому по нему куча вопросов. какие трудности могут быть с микротиком при работе по BGP? про BGP в главном офисе понятно, у меня не было вопросов по нему. Как настроить его и анонсить нашу подсеть в мир я думаю что разберусь. В инете видел много инструкций для мк. Я пока не понимаю как юзеры в удаленных офисах получат наши IP? Щас весь офис филиала подключается по VPN к главному, и получает тока локалку. В инет ходят через местного провайдера. Если я выделю на VPN филиалам наш статический IP(или подсеть), то, для того что бы они под ним ходили в Инет, трафик нужно направлять через головной офис. иначе как у них появится наши IP? Edited November 25, 2014 by eugeny32 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vlad11 Posted November 25, 2014 · Report post я и так там работаю сисадмином, но с BGP я вообще никогда не работал, для меня это ново, и поэтому по нему куча вопросов. какие трудности могут быть с микротиком при работе по BGP? про BGP в главном офисе понятно, у меня не было вопросов по нему. Как настроить его и анонсить нашу подсеть в мир я думаю что разберусь. В инете видел много инструкций для мк. Я пока не понимаю как юзеры в удаленных офисах получат наши IP? Щас весь офис филиала подключается по VPN к главному, и получает тока локалку. В инет ходят через местного провайдера. Если я выделю на VPN филиалам наш статический IP(или подсеть), то, для того что бы они под ним ходили в Инет, трафик нужно направлять через головной офис. иначе как у них появится наши IP? Начните с литературы про базовые принципы маршрутизации. В интернетах про это намеренно умалчивают. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Butch3r Posted November 26, 2014 · Report post Я вообще не понял. А зачем тут сеть /24. Мы даем сеть, например, /29 компании. В райпе пишем что эта сеть отдана тому-то тому-то Далее с офисов вы подключаетесь VPN к центральному офису и ходите в инет через него. У всех офисов будет ваш IP из центрального офиса. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DVM-Avgoor Posted November 26, 2014 · Report post В интернетах вообще сложилось мнение, что админом можно быть просто пару раз запустив линукс на лэптопе. Это не так. Если я выделю на VPN филиалам наш статический IP(или подсеть), то, для того что бы они под ним ходили в Инет, трафик нужно направлять через головной офис. иначе как у них появится наши IP? Да именно так и есть. И это, на самом деле, очень даже нормальный вариант. Ибо остальные куда страшнее. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ichthyandr Posted November 26, 2014 · Report post Зачем вам вообще БГП в офисах? Чтобы было? вот именно! да зачем? ) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted November 26, 2014 · Report post Вам надо заанонсить свою сеть по BGP в центре, допустим дали /24. Далее включаете OSPF везде и все филиалы подключаете по L2TP туннелям. Анонсите маршрут 0.0.0.0/0 через OSPF и фильтром вешаете на него роутинг марк. В манглах заворачиваете весь внутренний трафик в центр на основе этой маркировки. На всех удаленных микротиках в OSPF на вкладке network указываете вашу белую сеть 17.18.19.0/24 На порт микротика в удаленном офисе вешаете адреса вида /ip address add address=17.18.19.1/32 network=17.18.19.60 interface=bridge1 - соответственно клиент может указать себе только этот адрес, если нужно 2 или более адресов, создаете необходимое количество таких записей, изменяя поле network в зависимости от необходимого адреса. Таким образом сможете раздать без потерь 253 адреса в любом месте вашей сети. Что бы абоненты могли общаться по вашей белой адресации, нужно включить прокси арп на сетевых интерфейсах, где эта сеть указывается. Начните с литературы про базовые принципы маршрутизации. В интернетах про это намеренно умалчивают. Начинать надо с покупки микротика, если микротик уже есть, литературу про базовые принципы маршрутизации можно не читать. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Butch3r Posted November 26, 2014 · Report post литературу про базовые принципы маршрутизации можно не читать. конечно, у микротика многое через жопу поэтому тут книги не помогут Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted November 26, 2014 · Report post Проанонсить сеть /24 из офисов по BGP - возможно. Поднять BGP на ваших микротиках геморройно - +50-100% стоимости от настройки на линуксовой квагге. Вам еще понадобится синхронизация траффика между офисами с помощью OSPF. Поднять OSPF на ваших микротиках геморройно - +50-100% стоимости от настройке на линуксовой квагге. На микротике схема раздачи адресов настраивается ровно за 5 секунд путем заливки типового конфига. конечно, у микротика многое через жопу поэтому тут книги не помогут Можно взять микротик, залить в него типовой конфиг и он будет работать. С линуксом все не так - сначала нужно установить линукс, поставить пакеты, поправить 10-20 файлов конфигурации и т.п. Бывают еще любители его на дешевые роутеры за 700р. ставить. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vlad11 Posted November 26, 2014 (edited) · Report post Проанонсить сеть /24 из офисов по BGP - возможно. Поднять BGP на ваших микротиках геморройно - +50-100% стоимости от настройки на линуксовой квагге. Вам еще понадобится синхронизация траффика между офисами с помощью OSPF. Поднять OSPF на ваших микротиках геморройно - +50-100% стоимости от настройке на линуксовой квагге. На микротике схема раздачи адресов настраивается ровно за 5 секунд путем заливки типового конфига. Не рассказывайте сказки. У микротика многие вещи работают по-другому нежели описаны в стандартах-RFC(by design). А потом, когда понадобится дэбаг настроек, Микротик сразу поднимет лапки верх и скажет, что не умеет. P.S. Типовый конфиг надо еще иметь. Edited November 26, 2014 by vlad11 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DVM-Avgoor Posted November 26, 2014 · Report post Начинать надо с покупки микротика, если микротик уже есть, литературу про базовые принципы маршрутизации можно не читать. А лучше вообще ничего не читать, зачем плодить понимающих? Зато мы без работы не останемся, все верно Ъ Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted November 26, 2014 · Report post Не рассказывайте сказки. У микротика многие вещи работают по-другому нежели описаны в стандартах-RFC(by design). А потом, когда понадобится дэбаг настроек, Микротик сразу поднимет лапки верх и скажет, что не умеет. P.S. Типовый конфиг надо еще иметь. У меня микротиков много тысяч и все работают с OSPF, при этом никаких проблем не возникает. Проблемы появляются в том случае, если кто-то пытается настроить микротик не сбросив начальный конфиг, или не понимая принципов функционирования оборудования, либо пытаются закрыться от всех бед файрволом, который для роутеров вообще не нужен. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
eugeny32 Posted November 26, 2014 · Report post я не писал что у меня есть BGP во всех офисах, и написал что в них его получить крайне трудно, ибо с провайдером вопрос даже не окучивался еще. я не имею большого понимаю того как работает BGP, из литературы мягко говоря ничего не ясно и формально. На момент открытия поста я считал что реальные IP мне нужно как-то проанонсить с головного офиса(где анонсится большой блок /24) маленькими блоками на IP удаленных офисов средствами BGP по VPN, а для этой идеи нужно было прокинуть bgp over vpn. но вот сейчас по ответам начинаю понимать, что все же BGP не нужен в филиалах и раздать белые IP можно обычной статикой, аналогично как раздаются серые IP. вопрос по емкости каналов, если пускать все через головной офис, то загрузка каналов в филиалах почти не увеличится, а тока в головном офисе загрузка на канал возрастёт на скорость канала со всех офисов, верно? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DVM-Avgoor Posted November 26, 2014 · Report post вопрос по емкости каналов, если пускать все через головной офис, то загрузка каналов в филиалах почти не увеличится, а тока в головном офисе загрузка на канал возрастёт на скорость канала со всех офисов, верно? Почти да. В реальности будет меньше, т.к. мультиплексирование. Вы главное графики стройте, чтобы полочку вовремя заметить :-) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...