Multi ISP Dial-IN
Добавлено: 13 мар 2014, 11:05
Приветствую! Прошу подсказок по методу реализации ТЗ на уровне самого RouterOS или с добавлением сторонних плюшек:
Имеются три провайдера, шлюзами стоят 1100-е и 2011-й, задницами микроты сидят в DMZ, на каждый микрот приходят юзеры по vpn, у каждого свой пул адресов выделен в этой DMZ. На данный момент один юзер заведен на всех микротах и на каждом из них у него зарезервирован статик, либо он получает адрес из разных пулов, в зависимости от того к какому микроту подключился. Как бы эту схему генерализовать? Чтобы юзеры проходили аутентификацию на одной железке и получали постоянно один свой статик или адерс из одного пула?
Самый простой вариант это за тремя микротами поставить еще один, прокинуть порты с трех внешних, а юзеров и пул завести на этом внутреннем, но и там видимо тогда придется использовать мангл, чтобы распихивать ответные пакеты туда, откуда пришел запрос. Либо может быть заводить radius или какой другой инструментарий?
То есть ТЗ выглядит так: при отваливании одного канала юзер меняет адрес vpn сервера и подключается через другой, не меняя аутентификации и маршрутизации, чтобы он получил тот же адрес.
Ну и чтобы два раза не вставать: на прошивке 6.10 ни у кого не замечалось зависаний девайсов? Пару недель назад повис 1100-й после пары месяцев аптайма, и сутки назад повис другой, на другом канале, аптайм был ещё больше.
Имеются три провайдера, шлюзами стоят 1100-е и 2011-й, задницами микроты сидят в DMZ, на каждый микрот приходят юзеры по vpn, у каждого свой пул адресов выделен в этой DMZ. На данный момент один юзер заведен на всех микротах и на каждом из них у него зарезервирован статик, либо он получает адрес из разных пулов, в зависимости от того к какому микроту подключился. Как бы эту схему генерализовать? Чтобы юзеры проходили аутентификацию на одной железке и получали постоянно один свой статик или адерс из одного пула?
Самый простой вариант это за тремя микротами поставить еще один, прокинуть порты с трех внешних, а юзеров и пул завести на этом внутреннем, но и там видимо тогда придется использовать мангл, чтобы распихивать ответные пакеты туда, откуда пришел запрос. Либо может быть заводить radius или какой другой инструментарий?
То есть ТЗ выглядит так: при отваливании одного канала юзер меняет адрес vpn сервера и подключается через другой, не меняя аутентификации и маршрутизации, чтобы он получил тот же адрес.
Ну и чтобы два раза не вставать: на прошивке 6.10 ни у кого не замечалось зависаний девайсов? Пару недель назад повис 1100-й после пары месяцев аптайма, и сутки назад повис другой, на другом канале, аптайм был ещё больше.