Как правильнее соединить два офиса исходя из нескольких условий?

Question

[Bitstack]

Здравствуйте!

Возник нетривиальный вопрос по созданию инфраструктуры для доступа к серверам.



Существуют два офиса (1оф и 2оф):
1оф имеет внешний статический IP на котором установлен Микротик RB2011UiAS-RM. На его его Ethernet портах висит 2 сервера #nginx + Zabbix и #Nextcloud Server.
2оф подключен через роутер Huawei по мобильной связи и имеет динамический IP. Во внутренний сети стоит серверный шкаф с 6 персональными серверами и их необходимо объединить в сеть с офисом 1 и дать доступ к ним напрямую из интернета через статический IP офиса 1. Но, что важно - сам Huawei с его пользователями должен также оставаться независимым и напрямую получать доступ в интернет (это к вопросу если их связать через vpn).
Дополнительно: могу поставить маршрутизатор Cisco 2911 или firewall asa 5520/5540.

Помогите найти более умное и правильное решение…

Comments

[Valentin Barbolin]

> с 6 персональными серверами и их необходимо объединить в сеть с офисом 1 и дать доступ к ним напрямую из интернета
Если это WEB, то все достаточно просто, поднимаем VPN тунель который умеет работать с серым адрес (Если между MikroTik и ASA то наверное IPsec). На первом офисе ставим прокси и проксируем запросы на второй, все будут ходить через Proxy.

[Алексей Черемисин]

А какие проблемы заворачивать в vpn только локальный трафик? А в первом офисе поставить reverse-proxy типа nginx, haproxy, caddy...

Answer 1

[AntHTML]

Я бы поднимал VPN межу моновендорными железками, особенно раз есть вторая кошка 5520.
Вот между ними (5520 - 5520) тоннель, микрот отставить на 1м офисе как nat фаервол и default_gateway с пробросом портов на асу, во втором nat-ом поставить 2911. Ну и аса 2 коннектится на белый ip откуда пробрасывается на асу 1, внешние юзеры также через anyconnect в асу1

Comments

[Bitstack]

А просто сделать туннель между микротиком и 2911? Просто 5520 только одна и вторую надо докупать…

[hint000]

Bitstack, делайте между микротиком и циской, никто не запрещает. Только чуть сложнее админить, наверное. Потому что разработчики прибалтийских роутеров слишком любят ходить своим путём, всё у них хоть немного, но отличается от общепринятого.

[AntHTML]

hint000,

разработчики прибалтийских роутеров слишком любят ходить своим путём

Просто ROS выросла из nix-сов а IOS из цисковской легаси, поэтому получается немного разная трактовка как у win и lin.
Еще такая фишка, что 2011 уже давольно староватая железка и если на нее навесить nat + fw + vpn (на филиал) + достаточное кол-во vpn (на удаленщиков) то при достаточной нагрузке можно ловить различные фокусы. Поэтому я за специализированную для vpn железку, коей является ASA, тем более у нее есть универсальный клиент.

[Bitstack]

AntHTML, написал в почту, хотелось бы обсудить детали)

Answer 2

[Drno]

поставь микротик, подключи его как ВПН клиент, далее пробросом портов направь на на нужные адреса

либо напрямую с серверов подключись к ВПН серверу в офисе 1, и так же пробросом портов перенаправь нужное

Answer 3

[Владимир Иржебицкий]

Может я чего-то не понимаю, но почему нельзя просто настроить Vlan сети? Тем более, что Микротик уже есть.