Обнаружена блокировка рекламы: Наш сайт существует благодаря показу онлайн-рекламы нашим посетителям. Пожалуйста, подумайте о поддержке нас, отключив блокировщик рекламы на нашем веб-сайте.
Обсуждение ПО и его настройки
wolf_ktl
Сообщения: 417 Зарегистрирован: 25 июн 2013, 18:12
30 мар 2016, 09:57
По обсуждаем ? Есть несколько офисов (порядка 7) , во всех планируется по два провайдера. Везде статические IP, каналы интернета от 5-20 Мбит Необходимо отказоустойчивость и безопасность VPN Так же необходимо трафик распределить, один канал для VPN , другой для Интернета . В случае падения одного провайдера -приоритезации трафика Встал выбор VPN склоняюсь к gre +IPSec и поверх этого (Ospf) P.s. тема не раз поднималась , но все же
vqd
Модератор
Сообщения: 3605 Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:
30 мар 2016, 11:08
Я наверное скоро объявлю конкурс с денежным вознаграждением. Подниму тупо гре и начну там текстовые файлики гонять и тот кто первый из параноиков скажет мне содержимое файлика получит денежное вознаграждение Если по теме то тут ИМХО все очевидно
WhiteWolf
Сообщения: 55 Зарегистрирован: 15 сен 2015, 09:10
Откуда: НСК
30 мар 2016, 11:13
Зря вы так. В свое время, когда в нашем колхозе еще интернетов не было, занимался спутниковой рыбалкой. Фильмов наловил на два винта по терабайту :)
vqd
Модератор
Сообщения: 3605 Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:
30 мар 2016, 11:30
Ну так спутник - это несколько другая технология. Тоже в свое время этим баловался. Я еще как то понимаю шифрование если радио канал или PON ну или спутник и есть риск что утянут важные данные в МОМЕНТ их передачи
wolf_ktl
Сообщения: 417 Зарегистрирован: 25 июн 2013, 18:12
30 мар 2016, 11:44
т.е хочешь сказать одного GRE будет достаточно? GRE туннель не обеспечивает безопасности, поэтому его обычно прячут в шифрованный ipsec туннель(или используют чистый ipsec без gre).
vqd
Модератор
Сообщения: 3605 Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:
30 мар 2016, 12:05
ну зонтик тоже от падения метеорита не защитит... А если захотят получить ваши данные то есть намного более эффективные методы чем пытаться получить данные в вашем тоннеле...
wolf_ktl
Сообщения: 417 Зарегистрирован: 25 июн 2013, 18:12
30 мар 2016, 12:33
ок. Другой вопрос Как лучше сделать ? OSPF поверх GRE, l2tp, ipsec ? Опять же замечу, тунелий по два с каждой стороны
vqd
Модератор
Сообщения: 3605 Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:
30 мар 2016, 12:53
какие то странные вопросы для обладателя 2-х сертификатов...
wolf_ktl
Сообщения: 417 Зарегистрирован: 25 июн 2013, 18:12
30 мар 2016, 12:57
Тут момент .. именно практики, кто сталкивался? и на какие грабли наступал? Говорят GRE плохо перекидывается при разрыве, хотя не вериться
sanek101
Сообщения: 20 Зарегистрирован: 21 дек 2015, 19:26
31 мар 2016, 10:23
Здравствуйте, у меня тоже есть вопрос по VPN , но немного другой, на микротике настроено два провайдера, настроено разделение каналов, так вот вопрос, клиент подключаться по VPN по статическому ip (наример 1.1.1.1) , и в сети может видеть только те компьютеры которые получают интернет от этого ip, а другие компьютеры которые получает интернет от (например 2.2.2.2) , не видит, как сделать так чтобы он видел и другую сеть.
Конфиг:
# mar/31/2016 10:18:03 by RouterOS 6.34.4 # software id = 9DME-MSEY # /interface bridge add arp=proxy-arp name=bridge-local /interface ethernet set [ find default-name=ether3 ] arp=proxy-arp name=ether3-master set [ find default-name=ether4 ] arp=proxy-arp master-port=ether3-master set [ find default-name=ether5 ] arp=proxy-arp master-port=ether3-master set [ find default-name=ether6 ] arp=proxy-arp name=ether6-master set [ find default-name=ether7 ] arp=proxy-arp master-port=ether6-master set [ find default-name=ether8 ] arp=proxy-arp master-port=ether6-master set [ find default-name=ether9 ] arp=proxy-arp master-port=ether6-master set [ find default-name=ether10 ] arp=proxy-arp master-port=ether6-master set [ find default-name=sfp1 ] disabled=yes /interface pppoe-client add disabled=no interface=ether1 max-mru=1480 max-mtu=1480 mrru=1600 name=\ P-T-K password=*** user=*** add disabled=no interface=ether2 max-mru=1430 max-mtu=1430 mrru=1600 name=\ QVARC password=*** user=*** /ip pool add name=local ranges=10.0.0.2-10.0.0.100 /ip dhcp-server add address-pool=local disabled=no interface=bridge-local lease-time=3d name=\ dhcp1 /interface bridge port add bridge=bridge-local interface=ether3-master add bridge=bridge-local interface=ether6-master /interface pptp-server server set enabled=yes /ip address add address=10.0.0.1/24 interface=bridge-local network=10.0.0.0 /ip dhcp-server lease add address=10.0.0.12 client-id=1:24:a4:3c:ec:a7:98 mac-address=\ 24:A4:3C:EC:A7:98 server=dhcp1 add address=10.0.0.21 client-id=1:0:1e:67:52:28:18 mac-address=\ 00:1E:67:52:28:18 server=dhcp1 add address=10.0.0.18 client-id=1:0:1e:67:6:32:84 mac-address=\ 00:1E:67:06:32:84 server=dhcp1 add address=10.0.0.7 client-id=1:0:16:e6:8b:13:a0 mac-address=\ 00:16:E6:8B:13:A0 server=dhcp1 add address=10.0.0.22 client-id=1:0:15:17:5e:61:78 mac-address=\ 00:15:17:5E:61:78 server=dhcp1 add address=10.0.0.11 client-id=1:4c:5e:c:ce:79:42 mac-address=\ 4C:5E:0C:CE:79:42 server=dhcp1 add address=10.0.0.33 client-id=1:2:cb:92:0:d:b mac-address=02:CB:92:00:0D:0B \ server=dhcp1 add address=10.0.0.32 client-id=1:2:29:1:0:d:b mac-address=02:29:01:00:0D:0B \ server=dhcp1 /ip dhcp-server network add address=10.0.0.0/24 dns-server=77.88.8.7,77.88.8.3 gateway=10.0.0.1 /ip dns set servers=8.8.8.8 /ip dns static add address=10.0.0.1 name=router /ip firewall address-list add address=10.0.0.32 list=NAS add address=10.0.0.33 list=NAS add address=10.0.0.28 list=NAS add address=10.0.0.6 list=NAS add address=10.0.0.7 list=NAS add address=10.0.0.20 list=NAS add address=10.0.0.22 list=NAS /ip firewall filter add chain=input dst-port=1723 protocol=tcp add chain=input protocol=gre add chain=input comment="defconf: accept ICMP" protocol=icmp add chain=input comment="defconf: accept establieshed,related" \ connection-state=established,related add action=drop chain=input comment="defconf: drop all from WAN" \ in-interface=ether1 add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \ connection-state=established,related add chain=forward comment="defconf: accept established,related" \ connection-state=established,related add action=drop chain=forward comment="defconf: drop invalid" \ connection-state=invalid add action=drop chain=forward comment=\ "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \ connection-state=new in-interface=ether1 /ip firewall mangle add action=mark-routing chain=prerouting new-routing-mark=mark-nas \ passthrough=no src-address-list=NAS add action=mark-routing chain=prerouting disabled=yes new-routing-mark=\ mark-nas passthrough=no src-address-list=NAS /ip firewall nat add action=masquerade chain=srcnat comment="defconf: masquerade" \ out-interface=QVARC add action=masquerade chain=srcnat out-interface=P-T-K src-address-list=NAS add action=netmap chain=dstnat dst-port=51413 protocol=tcp to-addresses=\ 10.0.0.32 to-ports=51413 add action=netmap chain=dstnat dst-port=9091 protocol=tcp to-addresses=\ 10.0.0.32 to-ports=9091 add action=netmap chain=dstnat comment=PLEX dst-port=32400 protocol=tcp \ to-addresses=10.0.0.33 to-ports=32400 add action=netmap chain=dstnat comment=1C_SG dst-port=55389 protocol=tcp \ to-addresses=10.0.0.21 to-ports=3389 add action=dst-nat chain=dstnat comment=1C_BS dst-port=56389 protocol=tcp \ to-addresses=10.0.0.18 to-ports=3389 add action=dst-nat chain=dstnat comment="Ace Stream" dst-port=8081 protocol=\ tcp to-addresses=10.0.0.18 to-ports=8081 add action=dst-nat chain=dstnat comment="Ace Stream" dst-port=8621 protocol=\ tcp to-addresses=10.0.0.18 to-ports=8621 add action=dst-nat chain=dstnat comment=FTP dst-port=21 protocol=tcp \ to-addresses=10.0.0.22 to-ports=21 add action=dst-nat chain=dstnat comment=ELEKTRIKA dst-port=81 protocol=tcp \ to-addresses=10.0.0.49 to-ports=80 add action=dst-nat chain=dstnat comment=ELEKTRIKA dst-port=4008 protocol=tcp \ to-addresses=10.0.0.49 to-ports=4008 add action=dst-nat chain=dstnat comment=ELEKTRIKA dst-port=4008 protocol=udp \ to-addresses=10.0.0.49 to-ports=4008 add action=dst-nat chain=dstnat comment=ELEKTRIKA dst-port=4012 protocol=tcp \ to-addresses=10.0.0.49 to-ports=4008 add action=dst-nat chain=dstnat comment=ELEKTRIKA dst-port=4012 protocol=udp \ to-addresses=10.0.0.49 to-ports=4008 add action=netmap chain=dstnat comment=LUZHKI_PARADOX_HTTP dst-port=88 \ protocol=tcp to-addresses=10.0.1.2 to-ports=88 add action=netmap chain=dstnat comment=DVR_NIKOLAY disabled=yes dst-port=8000 \ protocol=tcp to-addresses=10.0.1.3 to-ports=8000 add action=netmap chain=dstnat comment=DVR_NIKOLAY disabled=yes dst-port=\ 10510 protocol=tcp to-addresses=10.0.1.3 to-ports=10510 add action=netmap chain=dstnat comment=DVR_NIKOLAY disabled=yes dst-port=9000 \ protocol=tcp to-addresses=10.0.1.3 to-ports=9000 add action=netmap chain=dstnat comment=DVR_NIKOLAY disabled=yes dst-port=8080 \ protocol=tcp to-addresses=10.0.1.3 to-ports=8080 add action=netmap chain=dstnat comment=HTTP_NIKOLAY disabled=yes dst-port=82 \ protocol=tcp to-addresses=10.0.1.3 to-ports=81 add action=netmap chain=dstnat comment=LUZHKI_RVI dst-port=37778 protocol=tcp \ to-addresses=10.0.1.2 to-ports=37777 add action=netmap chain=dstnat comment=LUZHKI_DVR dst-port=34567 protocol=tcp \ to-addresses=10.0.1.2 to-ports=34567 add action=netmap chain=dstnat comment=LUZHKI_DVR_MOBI dst-port=34599 \ protocol=tcp to-addresses=10.0.1.2 to-ports=34599 add action=netmap chain=dstnat comment=LUZHKI_iPARADOX dst-port=10002 \ protocol=tcp to-addresses=10.0.1.2 to-ports=10000 add action=masquerade chain=srcnat src-address-list=NAS /ip route add distance=1 gateway=P-T-K pref-src=10.0.0.1 routing-mark=mark-nas add distance=1 gateway=QVARC add disabled=yes distance=1 gateway=P-T-K /ip service set telnet disabled=yes set ftp disabled=yes set www disabled=yes set ssh disabled=yes set api disabled=yes set api-ssl disabled=yes /ppp secret add local-address=10.0.0.1 name=*** password=*** remote-address=10.0.1.3 \ service=pptp add local-address=10.0.0.1 name=*** password=*** remote-address=\ 10.0.1.4 service=pptp add local-address=10.0.0.1 name=*** password=*** remote-address=10.0.1.5 \ service=pptp add local-address=10.0.0.1 name=*** password=*** remote-address=10.0.1.6 \ service=pptp add local-address=10.0.0.1 name=*** password=*** remote-address=10.0.1.2 \ service=pptp add local-address=10.0.0.1 name=*** password=*** remote-address=10.0.1.7 \ service=pptp /system clock set time-zone-name=Europe/Moscow /system ntp client set enabled=yes primary-ntp=88.147.254.232 secondary-ntp=88.147.254.235 /system routerboard settings set cpu-frequency=750MHz