Задать вопрос
@Hanigatra
Совсем начинающий сис.админ.

Как правильно организовать работу сети предприятия?

Добрый день. Прошу тапками не кидать и не отсылать на курсы повышения квалификации(и так знаю, что это необходимо). Экстренно стал админом не по своей воле, скажем так.)) Что имеется:
1. MIKROTIK -CRS 326 -24G, на нем DHCP в одну локальную сетку с пулом 192.168. х.х..
2. 35 юзеров которые НЕ В ДОМЕНЕ, а просто в рабочей группе(от этого даже я в легком афиге).
3. WINMDOWS sever 2016 с поднятыми виртаулками-разные сервисы предприятия+ небольшая файловая помойка.
Все это тормозит, вылетает-плохо работает и.т.д. Оно и понятно, нет никакой маршрутизаци еще и вай-фай в этой же сеточке.

Какие задачи поставлены в срочном порядке:
1. Поднять AD , завести туда всех существующих пользователей. Что бы был порядок и все красиво.
2. Поднять ВПН для работы новых, удаленных пользователей. (+10 шт).

А теперь собственно мои вопросы.
1. Когда я заведу DHCP и DNS на AD-сервер, будет ли в этом случае MIKROTIK видеть/понимать "чужие" IP адреса?
2. Возможна ли раздача нескольких подсетей одним DHCP-сервером? Хочу сегментировать сеть VLAN -ми. но не знаю как.
3.1
При создании L2TP+Ipsec -сервера на MIKROTIK каким образом прописывать routing между VPN -сетью(допустим
172,16,10,х ) и сетью которая раздается Виндовым DHCP (допустим 172,16,20,х) ?
3.2
Какие NAT - правила нужно прописывать для работы этого варианта VPN -сервера? Читал про маскарадинг но не
понял.
3.3.
Как можно ограничить трафик от VPN- пользователя по формату "ничего кроме RDP" ?

P/s Маленькая просьба к отвечающим, исходя из наличия свободного времени и хорошего настроения пишите пожалуйста развернутые ответы, особенно с цепочками на MIKROTIK если таковые будут. Потому как я пока что оч теряюсь в терминах и прочей магии. За раннее спасибо за помощь. Всем добра!
  • Вопрос задан
  • 622 просмотра
Подписаться 3 Простой Комментировать
Пригласить эксперта
Ответы на вопрос 5
CityCat4
@CityCat4 Куратор тега VPN
//COPY01 EXEC PGM=IEBGENER
1. Нет. Нужно определиться, кто будет в DHCP - контроллер домена или микротик. Лучше контроллер домена, а на микротике - dhcp relay
2. Да, можно. dhcp relay опять же во всех подсетях на сеть, где dhcp-сервер
3.1 Не знаю, мне проще было поднять чистый IPSec
3.3 Да все на том же микротике разрешить порт 3389 остальное запретить на ту подсетку, из которой выдаются адреса VPN

Вопрос очень обьемный, многабукаф писать не хочу. Можно написать мне на мыло (в профиле), правда бывает отвечаю не сразу.
Ответ написан
anthtml
@anthtml
Системный администратор программист радиолюбитель
1. CRS326 - свич, с возможностью фильтрации и легкого NATa, от того что Вы написали он загнется.
2. Вполне норм, по практике если в домене <50-70 юзеров, то вреда от домена больше чем пользы, т.к. большинство плюшек домена нормально не развернешь - тупо не хватит юзеров чтоб построить вменяемую иерархию каталогов и написать многолюдные ГПО
3. разбираться что конкретно тормозит, далеко не факт что сеть и маршрутизация
4. WI-FI да, уводить в отдельную сеть

По задачам:
1. AD только если планируете сильно рости
2. ВПН отдельной железкой или виртуалкой
Ответ написан
Комментировать
@TheBigBear
СтарОдмины мы
1. CRS 326 -24G является больше коммутатором чем маршрутизатором
L2TP+IPSEC не потянет (проверено на MIKROTIK CRS125-24G-1S-RM)
L2TP без IPSEC тянет на раз. Но попытайся уговорить руководство на железку с аппаратной поддержкой шифрования. Или поднимай VPN отдельным сервером.
КД (Контроллеры домена) скорей всего будешь поднимать виртуалками? (это самое правильное решение)
Но в случае какого либо сбоя (питания, Hyper-V сервера) сеть останется без DNS и DHCP
С моей, сугубо личной точки зрения:
DHCP и DNS настрой на микротике. (тем более что DHCP-серверов планируется несколько) Первым DNS - пропиши контроллер домена вторым - провайдера. В этом случае даже при недоступности КД сеть и интернет будет работать. Ну или пропиши в микротике STATIC DNS что-то вроде:

/ip dns static
add name=domains._msdcs.Мой_Домен.localnet srv-port=389 srv-priority=0 srv-target=Мой_КД.Мой_Домен.localnet srv-weight=100 type=SRV
add name=_ldap._tcp.Мой_Домен.localnet srv-port=389 srv-priority=0 srv-target=Мой_КД.Мой_Домен.localnet srv-weight=100 type=SRV
add name=_ldap._tcp.dc._msdcs.Мой_Домен.localnet srv-port=389 srv-priority=0 srv-target=Мой_КД.Мой_Домен.localnet srv-weight=100 type=SRV
add name=_ldap._tcp.default-first-site-name._sites.gc._msdcs.Мой_Домен.localnet srv-port=3268 srv-priority=0 srv-target=Мой_КД.Мой_Домен.localnet srv-weight=100 type=SRV
add name=_ldap._tcp.default-first-site-name._sites.dc._msdcs.Мой_Домен.localnet srv-port=389 srv-priority=0 srv-target=Мой_КД.Мой_Домен.localnet srv-weight=100 type=SRV
add name=_ldap._tcp.Default-First-Site-Name._sites.Мой_КД.Мой_Домен.localnet srv-port=389 srv-priority=0 srv-target=Мой_КД.Мой_Домен.localnet srv-weight=100 type=SRV
add name=_ldap._tcp.controller._msdcs.Мой_Домен.localnet srv-port=389 srv-priority=0 srv-target=Мой_КД.Мой_Домен.localnet srv-weight=100 type=SRV
add name=_ldap._tcp.default-first-site-name._sites.Мой_Домен.localnet srv-port=389 srv-priority=0 srv-target=Мой_КД.Мой_Домен.localnet srv-weight=100 type=SRV
add name=_ldap._tcp.Мой_КД.Мой_Домен.localnet srv-port=389 srv-priority=0 srv-target=Мой_КД.Мой_Домен.localnet srv-weight=100 type=SRV
add name=_ldap._tcp.gc._msdcs.Мой_Домен.localnet srv-port=3268 srv-priority=0 srv-target=Мой_КД.Мой_Домен.localnet srv-weight=100 type=SRV
add name=_kerberos._tcp.Мой_Домен.localnet srv-port=88 srv-priority=0 srv-target=Мой_КД.Мой_Домен.localnet srv-weight=100 type=SRV
add name=_kerberos._tcp.default-first-site-name._sites.Мой_Домен.localnet srv-port=88 srv-priority=0 srv-target=Мой_КД.Мой_Домен.localnet srv-weight=100 type=SRV
add name=_kerberos._tcp.default-first-site-name._sites.dc._msdcs.Мой_Домен.localnet srv-port=3268 srv-priority=0 srv-target=Мой_КД.Мой_Домен.localnet srv-weight=100 type=SRV
add name=_kerberos._tcp.dc._msdcs.Мой_Домен.localnet srv-port=88 srv-priority=0 srv-target=Мой_КД.Мой_Домен.localnet srv-weight=100 type=SRV
add name=_kerberos._udp.Мой_Домен.localnet srv-port=88 srv-priority=0 srv-target=Мой_КД.Мой_Домен.localnet srv-weight=100 type=SRV
add name=_kpasswd._tcp.Мой_Домен.localnet srv-port=464 srv-priority=0 srv-target=Мой_КД.Мой_Домен.localnet srv-weight=100 type=SRV
add name=_kpasswd._udp.Мой_Домен.localnet srv-port=464 srv-priority=0 srv-target=Мой_КД.Мой_Домен.localnet srv-weight=100 type=SRV
add name=_tcp.Default-First-Site-Name._sites.dc._msdcs.Мой_Домен.localnet srv-port=389 srv-priority=0 srv-target=Мой_КД.Мой_Домен.localnet srv-weight=100 type=SRV
add name=_tcp.Default-First-Site-Name._sites.Мой_Домен.localnet srv-port=389 srv-priority=0 srv-target=Мой_КД.Мой_Домен.localnet srv-weight=100 type=SRV
add name=_tcp.default-first-site-name._sites.gc._msdcs.Мой_Домен.localnet srv-port=3268 srv-priority=0 srv-target=Мой_КД.Мой_Домен.localnet srv-weight=100 type=SRV
add name=_tcp.gc._msdcs.Мой_Домен.localnet srv-port=3268 srv-priority=0 srv-target=Мой_КД.Мой_Домен.localnet srv-weight=100 type=SRV
add name=default-first-site-name._sites.gc._msdcs.Мой_Домен.localnet srv-port=3268 srv-priority=0 srv-target=Мой_КД.Мой_Домен.localnet srv-weight=100 type=SRV
add name=gc._msdcs.Мой_Домен.localnet srv-port=3268 srv-priority=0 srv-target=Мой_КД.Мой_Домен.localnet srv-weight=100 type=SRV
add name=_gc._tcp.Мой_Домен.localnet srv-port=3268 srv-priority=0 srv-target=Мой_КД.Мой_Домен.localnet srv-weight=100 type=SRV
add name=_gc._tcp.default-first-site-name._sites.Мой_Домен.localnet srv-port=3268 srv-priority=0 srv-target=Мой_КД.Мой_Домен.localnet srv-weight=100 type=SRV
add name=_sites.gc._msdcs.Мой_Домен.localnet srv-port=3268 srv-priority=0 srv-target=Мой_КД.Мой_Домен.localnet srv-weight=100 type=SRV
add name=_vlmcs._tcp.Мой_Домен.localnet srv-port=1688 srv-priority=0 srv-target=Мой_КД.Мой_Домен.localnet srv-weight=100 type=SRV

Этим подружишь домен с микротиком

2. Именно поэтому DHCP-сервера лучше завести на микротике
3.3 Забудь про порт 3389!!!! Пропиши любой другой (22222, 34567....)
Ответ написан
Комментировать
@Ragnar1
Linux teacher for beginners.
У вас ядро слабенький коммутатор, а нужен маршрутизатор типа rb4011/rb5009 или tile.

1) не важно где у вас dhcp и dns
2) курите маны
3.1) l2tp не лучшее решение, используйте openvpn
3.2) если микрот gateway, то никаких пробросов не надо, он уже доступен по внешнему ip
3.3) с помощью firewall
Ответ написан
Комментировать
У меня похожая ситуация. Как вы организовали сеть ?!
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы