Всем добра.
Вводная:
Центральный офис и куча филиалов. Все на микротиках. С головного идут ipsec-туннели на каждый филиал. На всех концах белые IP. Задумались о резервировании, столкнулись с примерно следующей ситуацией:
В центральном офисе предвидится 2-3 WAN. Филиалы в случае падения интернета используют 3G-свисток, вставленный в микротик. На этапе что сделать с туннелями качественно зависли. Как можно оптимально разбросать туннели, чтобы они в идеале не зависели от WAN, не в идеале автоматически переподключались? В вариант из всех возможных концов делаем туннели во все возможные концы верится с трудом.
Мне рекомендовали посмотреть в сторону OSPF, но я пока что не пришёл к пониманию, как динамическая маршрутизация локальных сетей может спасти отца русской демократии.
Резервирование VPN туннелей
-
- Сообщения: 1199
- Зарегистрирован: 29 сен 2011, 09:16
Не знаю каку с ipsec, с pptp, sstp и ovpn решал вопрос при помощи noip, а тоннели цеплялись не по ip, а по домену. Соответственно упал канал, noip отработал, клиенты переподключились по новому адресу.
-
- Сообщения: 1778
- Зарегистрирован: 09 июл 2014, 12:33
Когда из офиса в центр одновременно поднято 2 ipsec туннеля (по земле и по 3Г), то в оспф указывается "стоимость" каждого, и он автоматически гонит трафик по более дешевому маршруту, если он доступен. Если не доступен - по боле дорогому. Автоматически переключая маршруты с двух сторон.
- lopar
- Сообщения: 9
- Зарегистрирован: 12 июл 2016, 16:03
Но это как раз подразумевает тот вариант, когда надо поднять все возможные туннели между всеми возможными WAN со всех сторон и потом отдавать маршрутизацию на ospf, нет? На узловых WAN будет Ад и Израиль.
-
- Сообщения: 1778
- Зарегистрирован: 09 июл 2014, 12:33
Только переферийные с центральным. Зачем каждый с каждым?
Какой ад и израиль? У вас что, количество филиалов в тысячах измеряется?
Тогда сгруппируйте их. Выберите центр каждой группы. Свяжите членов группы со своим центром, а все групповые центры - с вашим головным офисом.
И никакого израиля. Несколько кучек простеньких сетей.
Какой ад и израиль? У вас что, количество филиалов в тысячах измеряется?
Тогда сгруппируйте их. Выберите центр каждой группы. Свяжите членов группы со своим центром, а все групповые центры - с вашим головным офисом.
И никакого израиля. Несколько кучек простеньких сетей.
- lopar
- Сообщения: 9
- Зарегистрирован: 12 июл 2016, 16:03
Ну если на центральном и на периферийных несколько WAN — надо же все WAN центра соединить со всеми WAN периферии, так? Иначе как?
…создайте в каждом таком центре новый локальный IT-отдел, если не хотите по каждому чиху ехать на другой конец страны всё настраивать… Спасибо, проходили. Все удалённые офисы максимально просты и прямолинейны в этом вопросе.Выберите центр каждой группы.
-
- Сообщения: 1778
- Зарегистрирован: 09 июл 2014, 12:33
Убедили.
Ваша проблема не решаема.
Ваша проблема не решаема.
-
- Сообщения: 1778
- Зарегистрирован: 09 июл 2014, 12:33
Кто поясничает?
Зачем вам отдел ИТ создавать ради настройки одного микротика?
Какая разница, есть на нем впн сервер/тунели, или нет? Это отличие обязывает создать отдел?
Зачем вам отдел ИТ создавать ради настройки одного микротика?
Какая разница, есть на нем впн сервер/тунели, или нет? Это отличие обязывает создать отдел?
- algerka
- Сообщения: 407
- Зарегистрирован: 14 дек 2011, 12:31
Что-то вы ушли в оффтоп :(
Если по теме.. на микротике получается что со всех филиалов надо в центр по туннелю через каждый канал поднимать и динамическую маршрутизацию, тот же OSPF.
Если бы у вас были циски, то DMVPN вам существенно упростил задачу, как раз в вашем случае с прямыми адресами везде.
Возможно в ROS7 такое и у "невротика" появится :)
Еще один вариант, чтобы не плодить уж очень больше кол-во туннелей, при нескольких провайдерах в центре, можете попробовать получить AS. При её использовании совместно с BGP получите некую балансировку и отказоустойчивость.
Если по теме.. на микротике получается что со всех филиалов надо в центр по туннелю через каждый канал поднимать и динамическую маршрутизацию, тот же OSPF.
Если бы у вас были циски, то DMVPN вам существенно упростил задачу, как раз в вашем случае с прямыми адресами везде.
Возможно в ROS7 такое и у "невротика" появится :)
Еще один вариант, чтобы не плодить уж очень больше кол-во туннелей, при нескольких провайдерах в центре, можете попробовать получить AS. При её использовании совместно с BGP получите некую балансировку и отказоустойчивость.
Александр