[eugeny32]

есть корпоративная сеть, с удаленными филиалами подключенными по VPN.

сейчас филиалы ходят инет каждый через своего провайдера(белый IP), и локалка с основным офисом по VPN(pptp + eoip) построена.

 

хотим поднять в основном офисе BGP, получить у LIRа себе Ipv4/24 + AS и разнести IP на филиалы.(LIR готов выделить)

 

поднимать BGP в каждом филиале дорого, возможно ли использовать VPN тунели что бы пробросить по 10-15 наших IP-шников.

 

основная цель проекта: сделать что бы сотрудники удаленных офисов работали с выделенных им наших белых IP.

 

в этой сфере не очень силен, подскажите, как можно организовать такое?

 

по всех офисах стоят Mikrotik ROS с лицензией 5 уровня.

Изменено 22 ноября, 2014 пользователем eugeny32

[SyJet]

В каждом городе bgp вы и не сможете поднять с пиром, так как минимальный анонс одна /24 сетка. Поднимайте на ipv/6 (если конечно пиры смогут) - для корпоративщика самое оно.

В остальном - это из разряда фантастики, иначе все будут ходить через головный офис - то, что вы bgp получите в одном месте - это мертвому припарка. :)

[DVM-Avgoor]

Ну и гоняйте инет через VPN. Зачем изобретать лишнее?

[MMM]

Если в головном офисе цена на интернет большая, то можно поставить железки в датацентре, туда же взять подсеть и вытянуть vpn со всех офисов. Обычно в дц связность лучше, чем у конечных провайдеров, интернет дешевле и можно взять гигабитный порт.

[eugeny32]

а сам вариант поднять BGP через VPN возможен?

возможно попробуем выбить на каждый офис по /24

ipv6 пока не подходят, сейчас нужны именно ipv4.

 

в удаленных офисах в принципе нужно выделить наши IP только на 5-10 компах, остальные могут и за натом сидеть.

 

сам инет с BGP стоит в два раза дороже чем без него, не думаю что смогу раскрутить начальство на это для всех филиалов.

 

насчёт того что бы они сидели в Инете через VPN я думал, но канала не хватит.

Связность офисов хорошая, пинг 8мс.

Изменено 23 ноября, 2014 пользователем eugeny32

[adron2]

сейчас стоимость аренды/покупки ipv4 настолько дорогая что вам намного выгоднее будет сделать(как выше советовали) - сервер в аренду в ДЦ. И с сервера уже делать анонс автономки и префиксов. На сервер можно поставить все тот же уже знакомый вам ROS.

 

Сервер можно взять даже на виртуалке(xen). ROS его поддерживает.

[MMM]

сейчас стоимость аренды/покупки ipv4 настолько дорогая что вам намного выгоднее будет сделать(как выше советовали) - сервер в аренду в ДЦ. И с сервера уже делать анонс автономки и префиксов. На сервер можно поставить все тот же уже знакомый вам ROS.

 

Сервер можно взять даже на виртуалке(xen). ROS его поддерживает.

Можно даже железный микротик поставить. Вероятно, будет чуть дешевле, так как потребляет электричества меньше и всего 1U занимает.

[DVM-Avgoor]

Зачем вам вообще БГП в офисах? Чтобы было?

[eugeny32]

цель всего сделать в офисах для некоторых сотрудников доступ к сети Интернет с наших внешних IP. (в идеале одной /24 хватит что бы раздать все сотрудникам белые IP)Там сотрудники работают с зарубежными компаниями, которые разрешают доступ к своим сервисам, только из корпоративных сетей компании. Соответственно мы никак не можем их убедить что это Россия и что тут не все так просто как у них за бугром. В итоге приняли решение что нам проще самим поднять BGP и получить IPшники, чем пытаться убедить иностранцев в обратном.

 

зачем арендовать где то сервер и платить за него кучу денег? когда он уже есть и есть для него места в головном офисе, там хорошая связь с Инетом и с офисами(канал 50мбит/сек) в офисах канал по 5-10Мбит/сек.

И зачем вообще собсно сервер? два железных микротика RB2011-UAS легко и непринужденно держат 20 pptp офисов и натят 40ПК основного офиса, + сайт компании. В офисах по 5-10пк, также проблем с микротиками нигде нет, там микротиковские 24 портовые CRS стоят (с WiFi который). Наша корп. сеть везде на оборудовании не ниже L3 построена и планируется использовать эту инфраструктуру для того что бы реализовать эту задачу.

 

Прокинуть в головной офис BGP что бы анонсить наши IP - нет проблем. В филиалах вопрос по BGP-присоединению нужно еще обсуждать с провами и это наверняка в итоге будет недешево, т.к. города в основном небольшие. В головном офисе уже все договорено с провом и не составляет проблемы.

 

Я щас немогу придумать как мне проанонсить(прокинуть) наши IP в удаленных офисах, где нет прямого BGP присоединения, т.е. через VPN или еще как-то.

 

Вариант с использованием VPN к основному офсиу и дать доступ в Интернет филиалам через головной офис - считаю глупым. И даже трудно прикинуть как это медлено будет и какие нужны будут каналы в офисах.

Изменено 25 ноября, 2014 пользователем eugeny32

[DVM-Avgoor]

Боже, да не нужен вам BGP _между офисами_! Наймите админа уже, который вам расскажет что надо с центра анонсить весь префикс в апстрим, а с филиалов поднять pptp/openvpn/ipip/дачтоугодно и статикой им выделить внутри /28 (или сколько надо) от вашей /24. На втором уровне дзена можно поднять еще ospf, и резерв воткнуть в филиалы. Всё. БГП надо только в одном месте.

 

Вы просто не понимаете, наверное, что никто вам не даст мельче /24 анонсить апстримам. А заанонсить одну и ту же /24 с офисов и получить anycast с его особенностями - проще сразу уволиться, не тот уровень задач для таких решений.

[Night_Snake]

Боже, да не нужен вам BGP _между офисами_! Наймите админа уже, который вам расскажет что надо с центра анонсить весь префикс в апстрим, а с филиалов поднять pptp/openvpn/ipip/дачтоугодно и статикой им выделить внутри /28 (или сколько надо) от вашей /24. На втором уровне дзена можно поднять еще ospf, и резерв воткнуть в филиалы. Всё. БГП надо только в одном месте.

 

Вы просто не понимаете, наверное, что никто вам не даст мельче /24 анонсить апстримам. А заанонсить одну и ту же /24 с офисов и получить anycast с его особенностями - проще сразу уволиться, не тот уровень задач для таких решений.

Два чая этому господину.

ТС, заплатите денег админу, который нарисует вам весь дизайн и расскажет,что, как и зачем. А еще лучше возьмите человека в штат, или хотя бы отдайтесь аутсорсерам, которые сделают вам нормальную сеть.

[vlad11]

Проанонсить сеть /24 из офисов по BGP - возможно.

Поднять BGP на ваших микротиках геморройно - +50-100% стоимости от настройки на линуксовой квагге.

Вам еще понадобится синхронизация траффика между офисами с помощью OSPF.

Поднять OSPF на ваших микротиках геморройно - +50-100% стоимости от настройке на линуксовой квагге.

 

зачем арендовать где то сервер и платить за него кучу денег? когда он уже есть и есть для него места в головном офисе,

Вы не в курсе цен на аренду серверов и виртуалок. Вы не платите по счетам за электроэнергию.

 

там хорошая связь с Инетом и с офисами(канал 50мбит/сек) в офисах канал по 5-10Мбит/сек.

Для глубинки, за МКАДом это очень хороший интернет.

 

И зачем вообще собсно сервер? два железных микротика RB2011-UAS легко и непринужденно держат 20 pptp офисов и натят 40ПК основного офиса, + сайт компании.

Научитесь численно описывать параметры загрузки канала и оборудования.

И Вы не поимели секса дзена с Микротиком.

Изменено 25 ноября, 2014 пользователем vlad11

[eugeny32]

я и так там работаю сисадмином, но с BGP я вообще никогда не работал, для меня это ново, и поэтому по нему куча вопросов.

 

какие трудности могут быть с микротиком при работе по BGP?

 

про BGP в главном офисе понятно, у меня не было вопросов по нему. Как настроить его и анонсить нашу подсеть в мир я думаю что разберусь. В инете видел много инструкций для мк.

 

Я пока не понимаю как юзеры в удаленных офисах получат наши IP? Щас весь офис филиала подключается по VPN к главному, и получает тока локалку. В инет ходят через местного провайдера.

 

Если я выделю на VPN филиалам наш статический IP(или подсеть), то, для того что бы они под ним ходили в Инет, трафик нужно направлять через головной офис. иначе как у них появится наши IP?

Изменено 25 ноября, 2014 пользователем eugeny32

[vlad11]

я и так там работаю сисадмином, но с BGP я вообще никогда не работал, для меня это ново, и поэтому по нему куча вопросов.

 

какие трудности могут быть с микротиком при работе по BGP?

 

про BGP в главном офисе понятно, у меня не было вопросов по нему. Как настроить его и анонсить нашу подсеть в мир я думаю что разберусь. В инете видел много инструкций для мк.

 

Я пока не понимаю как юзеры в удаленных офисах получат наши IP? Щас весь офис филиала подключается по VPN к главному, и получает тока локалку. В инет ходят через местного провайдера.

 

Если я выделю на VPN филиалам наш статический IP(или подсеть), то, для того что бы они под ним ходили в Инет, трафик нужно направлять через головной офис. иначе как у них появится наши IP?

 

Начните с литературы про базовые принципы маршрутизации. В интернетах про это намеренно умалчивают.

[Butch3r]

Я вообще не понял. А зачем тут сеть /24. Мы даем сеть, например, /29 компании. В райпе пишем что эта сеть отдана тому-то тому-то

Далее с офисов вы подключаетесь VPN к центральному офису и ходите в инет через него. У всех офисов будет ваш IP из центрального офиса.

[DVM-Avgoor]

В интернетах вообще сложилось мнение, что админом можно быть просто пару раз запустив линукс на лэптопе.

Это не так.

 

Если я выделю на VPN филиалам наш статический IP(или подсеть), то, для того что бы они под ним ходили в Инет, трафик нужно направлять через головной офис. иначе как у них появится наши IP?

 

Да именно так и есть. И это, на самом деле, очень даже нормальный вариант. Ибо остальные куда страшнее.

[ichthyandr]

Зачем вам вообще БГП в офисах? Чтобы было?

вот именно! да зачем? )

[Saab95]

Вам надо заанонсить свою сеть по BGP в центре, допустим дали /24.

Далее включаете OSPF везде и все филиалы подключаете по L2TP туннелям.

Анонсите маршрут 0.0.0.0/0 через OSPF и фильтром вешаете на него роутинг марк.

В манглах заворачиваете весь внутренний трафик в центр на основе этой маркировки.

На всех удаленных микротиках в OSPF на вкладке network указываете вашу белую сеть 17.18.19.0/24

На порт микротика в удаленном офисе вешаете адреса вида /ip address add address=17.18.19.1/32 network=17.18.19.60 interface=bridge1 - соответственно клиент может указать себе только этот адрес, если нужно 2 или более адресов, создаете необходимое количество таких записей, изменяя поле network в зависимости от необходимого адреса. Таким образом сможете раздать без потерь 253 адреса в любом месте вашей сети.

Что бы абоненты могли общаться по вашей белой адресации, нужно включить прокси арп на сетевых интерфейсах, где эта сеть указывается.

 

Начните с литературы про базовые принципы маршрутизации. В интернетах про это намеренно умалчивают.

 

Начинать надо с покупки микротика, если микротик уже есть, литературу про базовые принципы маршрутизации можно не читать.

[Butch3r]

литературу про базовые принципы маршрутизации можно не читать.

конечно, у микротика многое через жопу поэтому тут книги не помогут

[Saab95]

Проанонсить сеть /24 из офисов по BGP - возможно.

Поднять BGP на ваших микротиках геморройно - +50-100% стоимости от настройки на линуксовой квагге.

Вам еще понадобится синхронизация траффика между офисами с помощью OSPF.

Поднять OSPF на ваших микротиках геморройно - +50-100% стоимости от настройке на линуксовой квагге.

 

На микротике схема раздачи адресов настраивается ровно за 5 секунд путем заливки типового конфига.

 

конечно, у микротика многое через жопу поэтому тут книги не помогут

 

Можно взять микротик, залить в него типовой конфиг и он будет работать.

 

С линуксом все не так - сначала нужно установить линукс, поставить пакеты, поправить 10-20 файлов конфигурации и т.п. Бывают еще любители его на дешевые роутеры за 700р. ставить.

[vlad11]

Проанонсить сеть /24 из офисов по BGP - возможно.

Поднять BGP на ваших микротиках геморройно - +50-100% стоимости от настройки на линуксовой квагге.

Вам еще понадобится синхронизация траффика между офисами с помощью OSPF.

Поднять OSPF на ваших микротиках геморройно - +50-100% стоимости от настройке на линуксовой квагге.

 

На микротике схема раздачи адресов настраивается ровно за 5 секунд путем заливки типового конфига.

 

Не рассказывайте сказки. У микротика многие вещи работают по-другому нежели описаны в стандартах-RFC(by design). А потом, когда понадобится дэбаг настроек, Микротик сразу поднимет лапки верх и скажет, что не умеет.

P.S. Типовый конфиг надо еще иметь.

Изменено 26 ноября, 2014 пользователем vlad11

[DVM-Avgoor]

Начинать надо с покупки микротика, если микротик уже есть, литературу про базовые принципы маршрутизации можно не читать.

 

А лучше вообще ничего не читать, зачем плодить понимающих? Зато мы без работы не останемся, все верно Ъ

[Saab95]

Не рассказывайте сказки. У микротика многие вещи работают по-другому нежели описаны в стандартах-RFC(by design). А потом, когда понадобится дэбаг настроек, Микротик сразу поднимет лапки верх и скажет, что не умеет.

P.S. Типовый конфиг надо еще иметь.

 

У меня микротиков много тысяч и все работают с OSPF, при этом никаких проблем не возникает. Проблемы появляются в том случае, если кто-то пытается настроить микротик не сбросив начальный конфиг, или не понимая принципов функционирования оборудования, либо пытаются закрыться от всех бед файрволом, который для роутеров вообще не нужен.

[eugeny32]

я не писал что у меня есть BGP во всех офисах, и написал что в них его получить крайне трудно, ибо с провайдером вопрос даже не окучивался еще.

 

я не имею большого понимаю того как работает BGP, из литературы мягко говоря ничего не ясно и формально. На момент открытия поста я считал что реальные IP мне нужно как-то проанонсить с головного офиса(где анонсится большой блок /24) маленькими блоками на IP удаленных офисов средствами BGP по VPN, а для этой идеи нужно было прокинуть bgp over vpn.

 

но вот сейчас по ответам начинаю понимать, что все же BGP не нужен в филиалах и раздать белые IP можно обычной статикой, аналогично как раздаются серые IP.

 

вопрос по емкости каналов, если пускать все через головной офис, то загрузка каналов в филиалах почти не увеличится, а тока в головном офисе загрузка на канал возрастёт на скорость канала со всех офисов, верно?

[DVM-Avgoor]

вопрос по емкости каналов, если пускать все через головной офис, то загрузка каналов в филиалах почти не увеличится, а тока в головном офисе загрузка на канал возрастёт на скорость канала со всех офисов, верно?

 

Почти да. В реальности будет меньше, т.к. мультиплексирование. Вы главное графики стройте, чтобы полочку вовремя заметить :-)