Сложная маршрутизация на Mikrotik

Обсуждение ПО и его настройки
mistiq
Сообщения: 18
Зарегистрирован: 13 окт 2011, 09:55

Господа, требуется совет по реализации следующей схемы:
Изображение

Итак имеется точка "Офис", за которой находится Lan3. Имеется Городской филиал, за которым находится Lan2 и ServerDMZ2.
У городского филиала есть 2 разных линка от провайдеров.
Офис поднимает 2 ВПН тоннеля к Городскому филиалу.
Городской филиал поднимает 2 ВПН тоннеля к основному филиалу который так же имеет 2 линка от разных провайдеров.

Необходимо реализовать следующее:
1) Отказоустойчивость тоннелей для Офиса (при падении одного тоннеля трафик продолжает идти через второй тоннель)
2) Весь траффик из Офиса завернуть в активный тоннель до Городского филиала.
3) (самое неоднозначное) Весь траффик из Офиса который не предназначен ServerDMZ1 и ServerDMZ2 завернуть на Прокси. (будем считать что это интернет траффик). Прокси не натирует а только раутит, следовательно нат будет на микротике городского филиала.
4) Весь траффик который предназначен ServerDMZ1 и ServerDMZ2 отправить в соответствии с таблицей маршрутизации. Поскольку ServerDMZ2 это connected сеть соответственно траффик не раутится, а траффик до ServerDMZ1 отправляется в активный ВПН тоннель до Основного филиала.

Что бы было немного понятнее поясню цель таких телодвижений: Есть достаточно большая (несколько сотен узлов) сеть филиалов. Среди них есть несколько десятков "Узловых" филиалов к которым по ВПН цепляются удаленные офисы. В узловых филиалах расположены сервера до которых нужен доступ из Удаленных офисов. В основном филиале так же расположены сервера до которых нужен доступ из офисов. И самое важное, одно из главных требований это корпоративная прокси с подсчетом траффика c авторизацией в AD.
В данный момент вместо микротиков на всех узлах стоит не лицензионный керио, что никак не устраивает. После некоторых размышлений я принял решение переместить коропоративные прокси в Узловые филиалы. Тоесть нужно что бы пользователи всех удаленных офисов ходили в интернет исключительно через узловые прокси сервера.
Пока это единственная адекватная схема которую я смог придумать. Если кто-то подскажет лучше будут только рад. Заранее спасибо!


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

Схема вполне реализуемая.

Я бы посоветовал посмотреть в сторону тоннелей EoIP - может быть полезно для вашей схемы.

Скрипты поддержки резервного канала, бесплатные, есть в инете

Заворачивать трафик - пожалуйста, файерволлом

Натить - тоже легко

2 ВПН - тоже реализуемо

словом, а почему бы и нет...


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
mistiq
Сообщения: 18
Зарегистрирован: 13 окт 2011, 09:55

iSupport писал(а):Схема вполне реализуемая.

Я бы посоветовал посмотреть в сторону тоннелей EoIP - может быть полезно для вашей схемы.

Скрипты поддержки резервного канала, бесплатные, есть в инете

Заворачивать трафик - пожалуйста, файерволлом

Натить - тоже легко

2 ВПН - тоже реализуемо

словом, а почему бы и нет...


Спасибо за ответ. Хотел бы ещё услышать ответ на два вопроса, чем EoIP приемуществена перед gre + ipsec или даже просто ipsec в режиме тунелинга (насколько я понял, технология работает примерно так же как и ipsec), и очень очень хотелось бы узнать производительность rb 1200 на ipsec`ах.
Спасибо.

Кстати, насколько просто будет реализовать такую конструкцию:

Код: Выделить всё

access-list 100 deny ip 10.0.0.0 0.255.255.255 any
access-list 100 deny ip 172.16.0.0 0.31.255.255 any
access-list 100 deny ip 192.168.0.0 0.0.255.255 any
access-list 100 permit ip any any

route-map DEF permit 10
 match ip address 100
 set ip next-hop 10.0.0.1

Поясню, это кусок конфига на циске, который реализует мою "хотелку" с заворотом всего трафика отличного от трафика локальных сетей (читай любой Internet трафик) на ip адрес прокси сервера. Не прийдется ли мне писать кучу правил фаервола? Если не сложно ткните в раздел wiki где описан подобный механизм.

Ещё раз спасибо.


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

я бы направил Вас на Этот радел.

http://wiki.mikrotik.com/wiki/Manual:IP/Firewall


файерволл тут гибкий как на иске - думаю в пару правил все решите

Производительность *в айписеках* и прочих *попугаях* вряд ли то-то подскажет. Так как конечный результат зависит от типа трафика, задержек на линии и т.д.


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
mistiq
Сообщения: 18
Зарегистрирован: 13 окт 2011, 09:55

iSupport писал(а):я бы направил Вас на Этот радел.

http://wiki.mikrotik.com/wiki/Manual:IP/Firewall


файерволл тут гибкий как на иске - думаю в пару правил все решите

Производительность *в айписеках* и прочих *попугаях* вряд ли то-то подскажет. Так как конечный результат зависит от типа трафика, задержек на линии и т.д.


Спасибо, буду читать.

Сейчас собрал тестовый стенд, пытаюсь смоделировать все ситуации, вылезла первая странность.
Есть 1 микротика, меж ними поднят чистый gre туннель, на микротиках поднят RIP, указаны нейборы... Но RIP обновлений друг-другу не приходит.


mistiq
Сообщения: 18
Зарегистрирован: 13 окт 2011, 09:55

Стендовые испытания и читка документации вызвали как бы это по мягче сказать, недоумение подходу работы микротика с RIP.
Понятие "split horizon" отсутствует как таковое(!!!!). То есть проектировщики mikrotik не слышали о rfc2453. Протокол RIP v2 не реализован.

Возможности распространения одной и той же сети в разные интерфейсы с разными метриками (точнее вручную добавить cost) я не нашел.

Буду очень рад если я не прав и меня поправят. Но судя по всему микротики мне не подходят.


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

посмотрите http://wiki.mikrotik.com/wiki/RIP

указано что держит RIP v2


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
mistiq
Сообщения: 18
Зарегистрирован: 13 окт 2011, 09:55

iSupport писал(а):посмотрите http://wiki.mikrotik.com/wiki/RIP

указано что держит RIP v2

Указано что держит. Но на самом деле то, что реализовано в микротике рипом в2 не является. Нет важного механизма split horizon например.
Ручного добавления стоимости интерфейса я тоже не нашел.


mistiq
Сообщения: 18
Зарегистрирован: 13 окт 2011, 09:55

Господа выручайте на вас одна надежда.

Схема приведенная выше.
Задача:
1) Пустить весь входящий/исходящий трафик для всех LAN через Proxy
Делаю следующим образом:

Код: Выделить всё

/ip firewall mangle add chain=prerouting src-address-list=local dst-address-list=!local action=mark-routing new-routing-mark=route_to_proxy in-interface=!ether9
/ip route add dst-address=0.0.0.0/0 gateway=10.1.1.2 routing-mark=route_to_proxy
/ip firewall address-list add address=10.0.0.0/8 list=local
/ip firewall address-list add address=172.16.0.0/12 list=local   
/ip firewall address-list add address=192.168.0.0/16 list=local

Где 10.1.1.2 LAN интерфейс прокси подключенный в ether8 микротика.
Сразу вижу пакеты с назначением dst-address-list=!local
Прокся занимается чистым роутингом (ната нет), следовательно натить я буду на все том же микротике 1200.

WAN интерфейс прокси имеет адрес 10.2.2.2 и подключен в ether9
делаю дополнительные правила
/ip firewall mangle add chain=prerouting src-address-list=!local action=mark-routing new-routing-mark=From_NAT
/ip route add dst-address=0.0.0.0/0 gateway=10.2.2.2 routing-mark=From_NAT

То есть пытаюсь убедить микротик все что проходит через НАТ отправлять на WAN прокси.

Так начинают работать тестовый клиент для которого Прокси является гейтом по умолчанию.
Это меня не устраивает естественно поскольку есть другие сети для которых я не могу указать прокси как гейт.
Вопрос как все что попадает на НАТ снаружи src=!local завернуть на wan интерфейс прокси?


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

Первое что увидел - у вас прокси попадает в адерес лист local

а именно в
10.0.0.0/8

а это не правильно.

Отсюда возможны и проблемы.

Далее - ничего не мешает правилом dst-nat весь трафик, пришедший на внешний интерфейс сливать на прокси


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Ответить