Резервирование VPN туннелей

Обсуждение ПО и его настройки
Ответить
Аватара пользователя
lopar
Сообщения: 9
Зарегистрирован: 12 июл 2016, 16:03

Всем добра.

Вводная:
Центральный офис и куча филиалов. Все на микротиках. С головного идут ipsec-туннели на каждый филиал. На всех концах белые IP. Задумались о резервировании, столкнулись с примерно следующей ситуацией:

В центральном офисе предвидится 2-3 WAN. Филиалы в случае падения интернета используют 3G-свисток, вставленный в микротик. На этапе что сделать с туннелями качественно зависли. Как можно оптимально разбросать туннели, чтобы они в идеале не зависели от WAN, не в идеале автоматически переподключались? В вариант из всех возможных концов делаем туннели во все возможные концы верится с трудом.

Мне рекомендовали посмотреть в сторону OSPF, но я пока что не пришёл к пониманию, как динамическая маршрутизация локальных сетей может спасти отца русской демократии.


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Не знаю каку с ipsec, с pptp, sstp и ovpn решал вопрос при помощи noip, а тоннели цеплялись не по ip, а по домену. Соответственно упал канал, noip отработал, клиенты переподключились по новому адресу.


Erik_U
Сообщения: 1754
Зарегистрирован: 09 июл 2014, 12:33

Когда из офиса в центр одновременно поднято 2 ipsec туннеля (по земле и по 3Г), то в оспф указывается "стоимость" каждого, и он автоматически гонит трафик по более дешевому маршруту, если он доступен. Если не доступен - по боле дорогому. Автоматически переключая маршруты с двух сторон.


Аватара пользователя
lopar
Сообщения: 9
Зарегистрирован: 12 июл 2016, 16:03

Erik_U писал(а): 28 фев 2018, 17:26 в оспф указывается "стоимость" каждого, и он автоматически гонит трафик по более дешевому маршруту, если он доступен.
Но это как раз подразумевает тот вариант, когда надо поднять все возможные туннели между всеми возможными WAN со всех сторон и потом отдавать маршрутизацию на ospf, нет? На узловых WAN будет Ад и Израиль.


Erik_U
Сообщения: 1754
Зарегистрирован: 09 июл 2014, 12:33

Только переферийные с центральным. Зачем каждый с каждым?

Какой ад и израиль? У вас что, количество филиалов в тысячах измеряется?
Тогда сгруппируйте их. Выберите центр каждой группы. Свяжите членов группы со своим центром, а все групповые центры - с вашим головным офисом.
И никакого израиля. Несколько кучек простеньких сетей.


Аватара пользователя
lopar
Сообщения: 9
Зарегистрирован: 12 июл 2016, 16:03

Ну если на центральном и на периферийных несколько WAN — надо же все WAN центра соединить со всеми WAN периферии, так? Иначе как?
Выберите центр каждой группы.
…создайте в каждом таком центре новый локальный IT-отдел, если не хотите по каждому чиху ехать на другой конец страны всё настраивать… Спасибо, проходили. Все удалённые офисы максимально просты и прямолинейны в этом вопросе.


Erik_U
Сообщения: 1754
Зарегистрирован: 09 июл 2014, 12:33

Убедили.
Ваша проблема не решаема.


Аватара пользователя
lopar
Сообщения: 9
Зарегистрирован: 12 июл 2016, 16:03

Паясничаете? Ну ок…


Erik_U
Сообщения: 1754
Зарегистрирован: 09 июл 2014, 12:33

Кто поясничает?
Зачем вам отдел ИТ создавать ради настройки одного микротика?
Какая разница, есть на нем впн сервер/тунели, или нет? Это отличие обязывает создать отдел?


Аватара пользователя
algerka
Сообщения: 407
Зарегистрирован: 14 дек 2011, 12:31

Что-то вы ушли в оффтоп :(

Если по теме.. на микротике получается что со всех филиалов надо в центр по туннелю через каждый канал поднимать и динамическую маршрутизацию, тот же OSPF.
Если бы у вас были циски, то DMVPN вам существенно упростил задачу, как раз в вашем случае с прямыми адресами везде.
Возможно в ROS7 такое и у "невротика" появится :)

Еще один вариант, чтобы не плодить уж очень больше кол-во туннелей, при нескольких провайдерах в центре, можете попробовать получить AS. При её использовании совместно с BGP получите некую балансировку и отказоустойчивость.


Александр
Ответить