Страница 1 из 1
Резервирование VPN туннелей
Добавлено: 28 фев 2018, 17:14
lopar
Всем добра.
Вводная:
Центральный офис и куча филиалов. Все на микротиках. С головного идут ipsec-туннели на каждый филиал. На всех концах белые IP. Задумались о резервировании, столкнулись с примерно следующей ситуацией:
В центральном офисе предвидится 2-3 WAN. Филиалы в случае падения интернета используют 3G-свисток, вставленный в микротик. На этапе что сделать с туннелями качественно зависли. Как можно оптимально разбросать туннели, чтобы они в идеале не зависели от WAN, не в идеале автоматически переподключались? В вариант из всех возможных концов делаем туннели во все возможные концы верится с трудом.
Мне рекомендовали посмотреть в сторону OSPF, но я пока что не пришёл к пониманию, как динамическая маршрутизация локальных сетей может спасти отца русской демократии.
Re: Резервирование VPN туннелей
Добавлено: 28 фев 2018, 17:22
KARaS'b
Не знаю каку с ipsec, с pptp, sstp и ovpn решал вопрос при помощи noip, а тоннели цеплялись не по ip, а по домену. Соответственно упал канал, noip отработал, клиенты переподключились по новому адресу.
Re: Резервирование VPN туннелей
Добавлено: 28 фев 2018, 17:26
Erik_U
Когда из офиса в центр одновременно поднято 2 ipsec туннеля (по земле и по 3Г), то в оспф указывается "стоимость" каждого, и он автоматически гонит трафик по более дешевому маршруту, если он доступен. Если не доступен - по боле дорогому. Автоматически переключая маршруты с двух сторон.
Re: Резервирование VPN туннелей
Добавлено: 28 фев 2018, 17:38
lopar
Erik_U писал(а): ↑28 фев 2018, 17:26
в оспф указывается "стоимость" каждого, и он автоматически гонит трафик по более дешевому маршруту, если он доступен.
Но это как раз подразумевает тот вариант, когда надо поднять все возможные туннели между всеми возможными WAN со всех сторон и потом отдавать маршрутизацию на ospf, нет? На узловых WAN будет Ад и Израиль.
Re: Резервирование VPN туннелей
Добавлено: 28 фев 2018, 18:06
Erik_U
Только переферийные с центральным. Зачем каждый с каждым?
Какой ад и израиль? У вас что, количество филиалов в тысячах измеряется?
Тогда сгруппируйте их. Выберите центр каждой группы. Свяжите членов группы со своим центром, а все групповые центры - с вашим головным офисом.
И никакого израиля. Несколько кучек простеньких сетей.
Re: Резервирование VPN туннелей
Добавлено: 28 фев 2018, 18:49
lopar
Ну если на центральном и на периферийных несколько WAN — надо же все WAN центра соединить со всеми WAN периферии, так? Иначе как?
Выберите центр каждой группы.
…создайте в каждом таком центре новый локальный IT-отдел, если не хотите по каждому чиху ехать на другой конец страны всё настраивать… Спасибо, проходили. Все удалённые офисы максимально просты и прямолинейны в этом вопросе.
Re: Резервирование VPN туннелей
Добавлено: 28 фев 2018, 19:16
Erik_U
Убедили.
Ваша проблема не решаема.
Re: Резервирование VPN туннелей
Добавлено: 28 фев 2018, 20:11
lopar
Паясничаете? Ну ок…
Re: Резервирование VPN туннелей
Добавлено: 28 фев 2018, 20:20
Erik_U
Кто поясничает?
Зачем вам отдел ИТ создавать ради настройки одного микротика?
Какая разница, есть на нем впн сервер/тунели, или нет? Это отличие обязывает создать отдел?
Re: Резервирование VPN туннелей
Добавлено: 28 фев 2018, 21:06
algerka
Что-то вы ушли в оффтоп :(
Если по теме.. на микротике получается что со всех филиалов надо в центр по туннелю через каждый канал поднимать и динамическую маршрутизацию, тот же OSPF.
Если бы у вас были циски, то DMVPN вам существенно упростил задачу, как раз в вашем случае с прямыми адресами везде.
Возможно в ROS7 такое и у "невротика" появится :)
Еще один вариант, чтобы не плодить уж очень больше кол-во туннелей, при нескольких провайдерах в центре, можете попробовать получить AS. При её использовании совместно с BGP получите некую балансировку и отказоустойчивость.