
Итак имеется точка "Офис", за которой находится Lan3. Имеется Городской филиал, за которым находится Lan2 и ServerDMZ2.
У городского филиала есть 2 разных линка от провайдеров.
Офис поднимает 2 ВПН тоннеля к Городскому филиалу.
Городской филиал поднимает 2 ВПН тоннеля к основному филиалу который так же имеет 2 линка от разных провайдеров.
Необходимо реализовать следующее:
1) Отказоустойчивость тоннелей для Офиса (при падении одного тоннеля трафик продолжает идти через второй тоннель)
2) Весь траффик из Офиса завернуть в активный тоннель до Городского филиала.
3) (самое неоднозначное) Весь траффик из Офиса который не предназначен ServerDMZ1 и ServerDMZ2 завернуть на Прокси. (будем считать что это интернет траффик). Прокси не натирует а только раутит, следовательно нат будет на микротике городского филиала.
4) Весь траффик который предназначен ServerDMZ1 и ServerDMZ2 отправить в соответствии с таблицей маршрутизации. Поскольку ServerDMZ2 это connected сеть соответственно траффик не раутится, а траффик до ServerDMZ1 отправляется в активный ВПН тоннель до Основного филиала.
Что бы было немного понятнее поясню цель таких телодвижений: Есть достаточно большая (несколько сотен узлов) сеть филиалов. Среди них есть несколько десятков "Узловых" филиалов к которым по ВПН цепляются удаленные офисы. В узловых филиалах расположены сервера до которых нужен доступ из Удаленных офисов. В основном филиале так же расположены сервера до которых нужен доступ из офисов. И самое важное, одно из главных требований это корпоративная прокси с подсчетом траффика c авторизацией в AD.
В данный момент вместо микротиков на всех узлах стоит не лицензионный керио, что никак не устраивает. После некоторых размышлений я принял решение переместить коропоративные прокси в Узловые филиалы. Тоесть нужно что бы пользователи всех удаленных офисов ходили в интернет исключительно через узловые прокси сервера.
Пока это единственная адекватная схема которую я смог придумать. Если кто-то подскажет лучше будут только рад. Заранее спасибо!