Russian Users MikroTik | Форум пользователей MikroTik

Всем привет.

Есть достаточно типовая задача, но как лучше ее решать не знаю.

У нашей организации сеть 6 офисов. Сейчас между некоторыми IPSeC.

Задача : сделать VPN между всеми офисами, чтобы маршрутизация была из любого офиса в любой. Также хотелось бы внутри VPN запустить ospf.

Везде микротики стоят.

Какой тип VPN выбрать для полной связности?

Там где белые адреса - GRE обернутый IPSec'ом.
Если где-то есть серые - туда L2TP, опять же с IPSec'ом.

понятно. Везде белые статика есть. еще пару уточняющих вопросов:

1. А какая топология связей должна быть между офисами? Все со всеми? Или произвольно?

mostrakt писал(а): ↑01 ноя 2020, 17:13 1. А какая топология связей должна быть между офисами? Все со всеми? Или произвольно?

Никому она особо ничего не должна :)
Соединять все со всеми особого смысла нет, достаточно 2-3 туннеля на каждом.
Там где провайдеров несколько - по 2-3 через каждого провайдера.
Опять же если есть выраженный центр - то лучше от него построить ко всем переферийным узлам. А из остальных кольцо сделать, например.
Еще вариант - два "центра".

Если везде белая статика, то как вам посоветовали GRE over IPsec
И если собираетесь настраивать ospf и, в офисах разные провайдеры, то соединяйте все со всеми.
cost'ы ставьте по степени "жирности" каналов.
Вот мое извращение:

Тут еще момент где основные ресурсы находятся. Если сервера в одном месте, офисе, звезды достаточно. А ради эксперимента можно все со всеми...

У меня между двумя провайдерами часто падает интернет. Минут на 5-10. Не часто, но бывает.

Я использую l2tp + ipsec и ospf
Лучше выбирать как говорят коллеги между GRE и L2tp , они самые "быстрые"
Маршрутизация - OSPF. Но OSPF смотрит на самые "быстрые" линки, не всегда такая маршрутизация подходит всем. Может Вам лучше даже RIP - он по кратчайшему пути ( переходы) работает. Тут надо смотреть что у вас там за каналы.
Ну и конечно у Вас будет однозоновый ospf я так понимаю. А это нагрузка на маршрутизаторы - чем больше сеть тем больше накладные расходы протокола динамической маршрутизации.
Если расширения не планируется может Вам даже лучше сделать полносвязную топологию: сделать туннели всем ко всем и забетонировать маршруты статически ручками и резеврвные и бэкапные: Но тут щас коллеги накинутся на меня)))

Вообщем Вам надо хорошенько подумать, проанализировать где какие каналы и оборудование ( слабые роутеры могут быть сильно нагружены работой ipsec и ospf) и решить этот вопрос на "берегу"
Ну а классически, да : GRE,IPSEC,OSPF

Ваша задача решается нормально у Cisco с помощью DMVPN и EIGRP
Там туннели строятся динамически между филиалами. И сама маршрутизация EIGRP считает метрику по многим параметрам а не только по скорости или кол-ву переходов.

1) Чтобы OSPF ощутимо нагрузил участвующие роутеры, их должно быть сильно больше, чем 6. Ну и да, начиная с какого-то момента надо начинать дробить на отдельные area. Собственно, можно и сразу :)
2) Метрику OSPF вполне можно использовать не совсем по назначению.

xvo писал(а): ↑18 ноя 2020, 12:06 1) Чтобы OSPF ощутимо нагрузил участвующие роутеры, их должно быть сильно больше, чем 6. Ну и да, начиная с какого-то момента надо начинать дробить на отдельные area. Собственно, можно и сразу :)
2) Метрику OSPF вполне можно использовать не совсем по назначению.

1) OSPF + IPSEC а если там ещё и AES256 то может запросто загрузить слабую железку..