Объединение филиалов на Mikrotik через VPN + маршрутизация?
Есть центральный офис(ЦО) и 4 филиала, Задача - объединить все филиалы через защищённый VPN для доступа по RDP к серверу в ЦО + к файлопомойке в ЦО + видеонаблюдение. хочется сделать это грамотно "без лишних костылей". В дальнейшем планируется расширение. На всех объектах стоят RB4011 и в каждом офисе есть свое видеонаблюдение(20-25 камер). Количество юзеров на каждом офисе 10-15 человек. На данный момент филиалы объединены с помощью L2TP+IPsec, по схеме "звезда". Маршутизация пока что статическая но скоро перейдет на OSPF. Все филиалы находятся в сети одного провайдера. Один филиал находится за NAT провайдера а у 3-х остальных филиалов сейчас белая статика но планируется отказаться от нее и оставить только в ЦО, для сокращения расходов. У гуру хочу спросить какой VPN лучше использовать в данном случае и какие полезные решения сюда ещё можно прикрутить и настроить помимо OSPF. Обязательно VPN должен быть защищен хотя бы IPsec и должен уметь преодолевать NAT провайдера, очень желательна поддержка аппаратного шифрования. Также интересует какие опции нужно еще использовать чтобы защитить сеть от бродкаст флуда петель и других неприятностей? Которые могут положить сеть или создавать проблемы с доступом к серваку.
Тем что он плохо дружит с NAT. Частично IPsec решает эту проблему, но не полностью. Так если 2 роутера филиалов получат одинаковый внешний IP провайдера из под его NAT, то на одном роутере подключение разорвется так как на L2TP не работает из под одного адреса 2 туннеля. А у меня задача уйти от статики для экономии средств.
ike2 ipsec в чистом виде, но это потребует некоторого переосмысления сети, поскольку у данного vpn не будет интерфейса.
Если интерфейсы все же необходимы, добавить протокол по вкусу, я лично использую ipip.
Отличный протокол, но без интерфейсов туговато будет. И где то на вебинарах по микротику говорили что лучше его не использовать для таких задач, почему не знаю, но такое слыхал.
Вы используете ipip между узлами у которых оба имеют белый IP или из под нат?
Pashid797, NAT проходит ipSec. IPIP уже на ipSec адресах, белый адрес требуется с одной стороны если соединение устанавливается в одну сторону и с двух сторон если соединение может поднять любой из узлов.
Т.е. между узлами бегает ipSec трафик, после его "разинкапсуляции" получается ipip, после его разбора выходит уже обычный трафик из IPIP интерфейса.
ipSec у вас используется в любом случае, не очень понимаю где его могли не рекомендовать.
Если вам не подходит ipSec, можно использовать SSTP или OpenVPN, но второй поддерживает UDP только в 7 версии ROS, которая пока RC, с первым плотно не работал, поэтому ничего сказать не могу.
poisons,
2. L2TP не работает когда 2 тунеля из под одного провайдеского ip. Всегда один тунель отваливается и один остаётся.
3. Можно и на RIP сделать, но много где пишут что ospf лучшее решение.
4. Не арендуется потому что это не целесообразно. Цена вопроса больше чем просто купить статику везде. Во вторых, рассматривается вопрос сменить провайдера в некоторых офисах по той же причине.
poisons, ospf хорош не только динамической маршрутизацией, но и отслеживание состояния через hello пакеты. Т.е. если у вас линк есть, а связи нет, то ospf перестроит маршруты, статическая маршрутизация так не умеет, нужно костылить скрипты. Плюс в ospf удобно работать с loopback адресом, маршрут до него распространяется через ospf и вы сможете подключаться к mikrotik по одному адресу вне зависимости от состояния интерфейсов.
На счет NAT согласен. Вешать за NAT единственный канал до точки не очень идея.
nApoBo3, отслеживание состояния бессмысленно, если тунель один, тем более, что это можно организовать через рекурсивную маршрутизацию.
Маски /24 на филиалах и статический маршрут /16 в центр прекрасно работают в сети с десятками устроств. OSPF нужен в полносвязных топологиях.
korsar182, да, наверно я переоценил типичный филиал, у нас везде минимум два маршрутизатора, резервирование канала и дублированные тунели до головы с каждого, в таком сценарии без ospf уже не удобно.
Mikrorik, Juniper (SSG, SRX). Windows 2008,2012,20
Как писали выше, IPSec IKE2, будет отлично работать, но потребуется интерфейс IPIP или GRE, лично я использую GRE, такая связка работает не только между Mikrotik <-> Mikrotik, но и с другими вендорами.
OSPF в этой связке прекрасно работает.
Так же IPSec умеет пролезать через NAT
Средний
Простой
Средний
Простой
