Объединение офисов VPN

Обсуждение ПО и его настройки
wolf_ktl
Сообщения: 417
Зарегистрирован: 25 июн 2013, 18:12

По обсуждаем ?

Есть несколько офисов (порядка 7) , во всех планируется по два провайдера.
Везде статические IP, каналы интернета от 5-20 Мбит
Необходимо отказоустойчивость и безопасность VPN
Так же необходимо трафик распределить, один канал для VPN , другой для Интернета . В случае падения одного провайдера -приоритезации трафика
Встал выбор VPN склоняюсь к gre +IPSec и поверх этого (Ospf)

P.s. тема не раз поднималась , но все же


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Я наверное скоро объявлю конкурс с денежным вознаграждением.
Подниму тупо гре и начну там текстовые файлики гонять и тот кто первый из параноиков скажет мне содержимое файлика получит денежное вознаграждение

Если по теме то тут ИМХО все очевидно


Есть интересная задача и бюджет? http://mikrotik.site
Аватара пользователя
WhiteWolf
Сообщения: 55
Зарегистрирован: 15 сен 2015, 09:10
Откуда: НСК

Зря вы так. В свое время, когда в нашем колхозе еще интернетов не было, занимался спутниковой рыбалкой. Фильмов наловил на два винта по терабайту :)


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Ну так спутник - это несколько другая технология. Тоже в свое время этим баловался.

Я еще как то понимаю шифрование если радио канал или PON ну или спутник и есть риск что утянут важные данные в МОМЕНТ их передачи


Есть интересная задача и бюджет? http://mikrotik.site
wolf_ktl
Сообщения: 417
Зарегистрирован: 25 июн 2013, 18:12

т.е хочешь сказать одного GRE будет достаточно?


GRE туннель не обеспечивает безопасности, поэтому его обычно прячут в шифрованный ipsec туннель(или используют чистый ipsec без gre).


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

ну зонтик тоже от падения метеорита не защитит... А если захотят получить ваши данные то есть намного более эффективные методы чем пытаться получить данные в вашем тоннеле...


Есть интересная задача и бюджет? http://mikrotik.site
wolf_ktl
Сообщения: 417
Зарегистрирован: 25 июн 2013, 18:12

ок. Другой вопрос
Как лучше сделать ?
OSPF поверх GRE, l2tp, ipsec ?

Опять же замечу, тунелий по два с каждой стороны


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

какие то странные вопросы для обладателя 2-х сертификатов...


Есть интересная задача и бюджет? http://mikrotik.site
wolf_ktl
Сообщения: 417
Зарегистрирован: 25 июн 2013, 18:12

Тут момент .. именно практики, кто сталкивался? и на какие грабли наступал?

Говорят GRE плохо перекидывается при разрыве, хотя не вериться


sanek101
Сообщения: 20
Зарегистрирован: 21 дек 2015, 19:26

Здравствуйте, у меня тоже есть вопрос по VPN , но немного другой, на микротике настроено два провайдера, настроено разделение каналов, так вот вопрос, клиент подключаться по VPN по статическому ip (наример 1.1.1.1) , и в сети может видеть только те компьютеры которые получают интернет от этого ip, а другие компьютеры которые получает интернет от (например 2.2.2.2) , не видит, как сделать так чтобы он видел и другую сеть.

Конфиг:
 
# mar/31/2016 10:18:03 by RouterOS 6.34.4
# software id = 9DME-MSEY
#
/interface bridge
add arp=proxy-arp name=bridge-local
/interface ethernet
set [ find default-name=ether3 ] arp=proxy-arp name=ether3-master
set [ find default-name=ether4 ] arp=proxy-arp master-port=ether3-master
set [ find default-name=ether5 ] arp=proxy-arp master-port=ether3-master
set [ find default-name=ether6 ] arp=proxy-arp name=ether6-master
set [ find default-name=ether7 ] arp=proxy-arp master-port=ether6-master
set [ find default-name=ether8 ] arp=proxy-arp master-port=ether6-master
set [ find default-name=ether9 ] arp=proxy-arp master-port=ether6-master
set [ find default-name=ether10 ] arp=proxy-arp master-port=ether6-master
set [ find default-name=sfp1 ] disabled=yes
/interface pppoe-client
add disabled=no interface=ether1 max-mru=1480 max-mtu=1480 mrru=1600 name=\
P-T-K password=*** user=***
add disabled=no interface=ether2 max-mru=1430 max-mtu=1430 mrru=1600 name=\
QVARC password=*** user=***
/ip pool
add name=local ranges=10.0.0.2-10.0.0.100
/ip dhcp-server
add address-pool=local disabled=no interface=bridge-local lease-time=3d name=\
dhcp1
/interface bridge port
add bridge=bridge-local interface=ether3-master
add bridge=bridge-local interface=ether6-master
/interface pptp-server server
set enabled=yes
/ip address
add address=10.0.0.1/24 interface=bridge-local network=10.0.0.0
/ip dhcp-server lease
add address=10.0.0.12 client-id=1:24:a4:3c:ec:a7:98 mac-address=\
24:A4:3C:EC:A7:98 server=dhcp1
add address=10.0.0.21 client-id=1:0:1e:67:52:28:18 mac-address=\
00:1E:67:52:28:18 server=dhcp1
add address=10.0.0.18 client-id=1:0:1e:67:6:32:84 mac-address=\
00:1E:67:06:32:84 server=dhcp1
add address=10.0.0.7 client-id=1:0:16:e6:8b:13:a0 mac-address=\
00:16:E6:8B:13:A0 server=dhcp1
add address=10.0.0.22 client-id=1:0:15:17:5e:61:78 mac-address=\
00:15:17:5E:61:78 server=dhcp1
add address=10.0.0.11 client-id=1:4c:5e:c:ce:79:42 mac-address=\
4C:5E:0C:CE:79:42 server=dhcp1
add address=10.0.0.33 client-id=1:2:cb:92:0:d:b mac-address=02:CB:92:00:0D:0B \
server=dhcp1
add address=10.0.0.32 client-id=1:2:29:1:0:d:b mac-address=02:29:01:00:0D:0B \
server=dhcp1
/ip dhcp-server network
add address=10.0.0.0/24 dns-server=77.88.8.7,77.88.8.3 gateway=10.0.0.1
/ip dns
set servers=8.8.8.8
/ip dns static
add address=10.0.0.1 name=router
/ip firewall address-list
add address=10.0.0.32 list=NAS
add address=10.0.0.33 list=NAS
add address=10.0.0.28 list=NAS
add address=10.0.0.6 list=NAS
add address=10.0.0.7 list=NAS
add address=10.0.0.20 list=NAS
add address=10.0.0.22 list=NAS
/ip firewall filter
add chain=input dst-port=1723 protocol=tcp
add chain=input protocol=gre
add chain=input comment="defconf: accept ICMP" protocol=icmp
add chain=input comment="defconf: accept establieshed,related" \
connection-state=established,related
add action=drop chain=input comment="defconf: drop all from WAN" \
in-interface=ether1
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related
add chain=forward comment="defconf: accept established,related" \
connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface=ether1
/ip firewall mangle
add action=mark-routing chain=prerouting new-routing-mark=mark-nas \
passthrough=no src-address-list=NAS
add action=mark-routing chain=prerouting disabled=yes new-routing-mark=\
mark-nas passthrough=no src-address-list=NAS
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
out-interface=QVARC
add action=masquerade chain=srcnat out-interface=P-T-K src-address-list=NAS
add action=netmap chain=dstnat dst-port=51413 protocol=tcp to-addresses=\
10.0.0.32 to-ports=51413
add action=netmap chain=dstnat dst-port=9091 protocol=tcp to-addresses=\
10.0.0.32 to-ports=9091
add action=netmap chain=dstnat comment=PLEX dst-port=32400 protocol=tcp \
to-addresses=10.0.0.33 to-ports=32400
add action=netmap chain=dstnat comment=1C_SG dst-port=55389 protocol=tcp \
to-addresses=10.0.0.21 to-ports=3389
add action=dst-nat chain=dstnat comment=1C_BS dst-port=56389 protocol=tcp \
to-addresses=10.0.0.18 to-ports=3389
add action=dst-nat chain=dstnat comment="Ace Stream" dst-port=8081 protocol=\
tcp to-addresses=10.0.0.18 to-ports=8081
add action=dst-nat chain=dstnat comment="Ace Stream" dst-port=8621 protocol=\
tcp to-addresses=10.0.0.18 to-ports=8621
add action=dst-nat chain=dstnat comment=FTP dst-port=21 protocol=tcp \
to-addresses=10.0.0.22 to-ports=21
add action=dst-nat chain=dstnat comment=ELEKTRIKA dst-port=81 protocol=tcp \
to-addresses=10.0.0.49 to-ports=80
add action=dst-nat chain=dstnat comment=ELEKTRIKA dst-port=4008 protocol=tcp \
to-addresses=10.0.0.49 to-ports=4008
add action=dst-nat chain=dstnat comment=ELEKTRIKA dst-port=4008 protocol=udp \
to-addresses=10.0.0.49 to-ports=4008
add action=dst-nat chain=dstnat comment=ELEKTRIKA dst-port=4012 protocol=tcp \
to-addresses=10.0.0.49 to-ports=4008
add action=dst-nat chain=dstnat comment=ELEKTRIKA dst-port=4012 protocol=udp \
to-addresses=10.0.0.49 to-ports=4008
add action=netmap chain=dstnat comment=LUZHKI_PARADOX_HTTP dst-port=88 \
protocol=tcp to-addresses=10.0.1.2 to-ports=88
add action=netmap chain=dstnat comment=DVR_NIKOLAY disabled=yes dst-port=8000 \
protocol=tcp to-addresses=10.0.1.3 to-ports=8000
add action=netmap chain=dstnat comment=DVR_NIKOLAY disabled=yes dst-port=\
10510 protocol=tcp to-addresses=10.0.1.3 to-ports=10510
add action=netmap chain=dstnat comment=DVR_NIKOLAY disabled=yes dst-port=9000 \
protocol=tcp to-addresses=10.0.1.3 to-ports=9000
add action=netmap chain=dstnat comment=DVR_NIKOLAY disabled=yes dst-port=8080 \
protocol=tcp to-addresses=10.0.1.3 to-ports=8080
add action=netmap chain=dstnat comment=HTTP_NIKOLAY disabled=yes dst-port=82 \
protocol=tcp to-addresses=10.0.1.3 to-ports=81
add action=netmap chain=dstnat comment=LUZHKI_RVI dst-port=37778 protocol=tcp \
to-addresses=10.0.1.2 to-ports=37777
add action=netmap chain=dstnat comment=LUZHKI_DVR dst-port=34567 protocol=tcp \
to-addresses=10.0.1.2 to-ports=34567
add action=netmap chain=dstnat comment=LUZHKI_DVR_MOBI dst-port=34599 \
protocol=tcp to-addresses=10.0.1.2 to-ports=34599
add action=netmap chain=dstnat comment=LUZHKI_iPARADOX dst-port=10002 \
protocol=tcp to-addresses=10.0.1.2 to-ports=10000
add action=masquerade chain=srcnat src-address-list=NAS
/ip route
add distance=1 gateway=P-T-K pref-src=10.0.0.1 routing-mark=mark-nas
add distance=1 gateway=QVARC
add disabled=yes distance=1 gateway=P-T-K
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ppp secret
add local-address=10.0.0.1 name=*** password=*** remote-address=10.0.1.3 \
service=pptp
add local-address=10.0.0.1 name=*** password=*** remote-address=\
10.0.1.4 service=pptp
add local-address=10.0.0.1 name=*** password=*** remote-address=10.0.1.5 \
service=pptp
add local-address=10.0.0.1 name=*** password=*** remote-address=10.0.1.6 \
service=pptp
add local-address=10.0.0.1 name=*** password=*** remote-address=10.0.1.2 \
service=pptp
add local-address=10.0.0.1 name=*** password=*** remote-address=10.0.1.7 \
service=pptp
/system clock
set time-zone-name=Europe/Moscow
/system ntp client
set enabled=yes primary-ntp=88.147.254.232 secondary-ntp=88.147.254.235
/system routerboard settings
set cpu-frequency=750MHz


Ответить