Как правильно организовать работу сети предприятия?
Добрый день. Прошу тапками не кидать и не отсылать на курсы повышения квалификации(и так знаю, что это необходимо). Экстренно стал админом не по своей воле, скажем так.)) Что имеется:
1. MIKROTIK -CRS 326 -24G, на нем DHCP в одну локальную сетку с пулом 192.168. х.х..
2. 35 юзеров которые НЕ В ДОМЕНЕ, а просто в рабочей группе(от этого даже я в легком афиге).
3. WINMDOWS sever 2016 с поднятыми виртаулками-разные сервисы предприятия+ небольшая файловая помойка.
Все это тормозит, вылетает-плохо работает и.т.д. Оно и понятно, нет никакой маршрутизаци еще и вай-фай в этой же сеточке.
Какие задачи поставлены в срочном порядке:
1. Поднять AD , завести туда всех существующих пользователей. Что бы был порядок и все красиво.
2. Поднять ВПН для работы новых, удаленных пользователей. (+10 шт).
А теперь собственно мои вопросы.
1. Когда я заведу DHCP и DNS на AD-сервер, будет ли в этом случае MIKROTIK видеть/понимать "чужие" IP адреса?
2. Возможна ли раздача нескольких подсетей одним DHCP-сервером? Хочу сегментировать сеть VLAN -ми. но не знаю как.
3.1
При создании L2TP+Ipsec -сервера на MIKROTIK каким образом прописывать routing между VPN -сетью(допустим
172,16,10,х ) и сетью которая раздается Виндовым DHCP (допустим 172,16,20,х) ?
3.2
Какие NAT - правила нужно прописывать для работы этого варианта VPN -сервера? Читал про маскарадинг но не
понял.
3.3.
Как можно ограничить трафик от VPN- пользователя по формату "ничего кроме RDP" ?
P/s Маленькая просьба к отвечающим, исходя из наличия свободного времени и хорошего настроения пишите пожалуйста развернутые ответы, особенно с цепочками на MIKROTIK если таковые будут. Потому как я пока что оч теряюсь в терминах и прочей магии. За раннее спасибо за помощь. Всем добра!
1. Нет. Нужно определиться, кто будет в DHCP - контроллер домена или микротик. Лучше контроллер домена, а на микротике - dhcp relay
2. Да, можно. dhcp relay опять же во всех подсетях на сеть, где dhcp-сервер
3.1 Не знаю, мне проще было поднять чистый IPSec
3.3 Да все на том же микротике разрешить порт 3389 остальное запретить на ту подсетку, из которой выдаются адреса VPN
Вопрос очень обьемный, многабукаф писать не хочу. Можно написать мне на мыло (в профиле), правда бывает отвечаю не сразу.
1. CRS326 - свич, с возможностью фильтрации и легкого NATa, от того что Вы написали он загнется.
2. Вполне норм, по практике если в домене <50-70 юзеров, то вреда от домена больше чем пользы, т.к. большинство плюшек домена нормально не развернешь - тупо не хватит юзеров чтоб построить вменяемую иерархию каталогов и написать многолюдные ГПО
3. разбираться что конкретно тормозит, далеко не факт что сеть и маршрутизация
4. WI-FI да, уводить в отдельную сеть
По задачам:
1. AD только если планируете сильно рости
2. ВПН отдельной железкой или виртуалкой
1. CRS 326 -24G является больше коммутатором чем маршрутизатором
L2TP+IPSEC не потянет (проверено на MIKROTIK CRS125-24G-1S-RM)
L2TP без IPSEC тянет на раз. Но попытайся уговорить руководство на железку с аппаратной поддержкой шифрования. Или поднимай VPN отдельным сервером.
КД (Контроллеры домена) скорей всего будешь поднимать виртуалками? (это самое правильное решение)
Но в случае какого либо сбоя (питания, Hyper-V сервера) сеть останется без DNS и DHCP
С моей, сугубо личной точки зрения:
DHCP и DNS настрой на микротике. (тем более что DHCP-серверов планируется несколько) Первым DNS - пропиши контроллер домена вторым - провайдера. В этом случае даже при недоступности КД сеть и интернет будет работать. Ну или пропиши в микротике STATIC DNS что-то вроде:
У вас ядро слабенький коммутатор, а нужен маршрутизатор типа rb4011/rb5009 или tile.
1) не важно где у вас dhcp и dns
2) курите маны
3.1) l2tp не лучшее решение, используйте openvpn
3.2) если микрот gateway, то никаких пробросов не надо, он уже доступен по внешнему ip
3.3) с помощью firewall
Простой
Средний
