Как сделать локальную сеть на 3 офиса?

Question

[rckmtc]

Есть 3 офиса в разных концах города. В каждом около 150 ПК+принтеры. В одном из офисов будут еще серверы с виртуалками, Требуется объединить их в одну локалку. Провайдер предлагает L3VPN с такими настройками:

В каждом офисе коммутатор SNR-S2982G-8T
ip: 172.16.0.2-172.16.0.14
gw: 172.16.0.1
mask: 255.255.255.240

Как раздать /28 подсеть на все устройства? и как этим всем потом управлять/мониторить ?

Comments

[theurus]

скорее всего сети объединять не надо. обычно нужен только доступ к общим серверам из центрального офиса. это проще, в центре впн сервер и в филиалах впн клиенты

Answer 1

[Павел Межуев]

Раздавать /28 подсеть на все устройства не надо и она нужна лишь для связи между офисам. В самих же офисах делаете свои подсети необходимого размера с любыми адресами, главное чтобы они не пересекались между собой и выделенной вам провайдером подсетью. Например, резервируете 10.2.0.0/16, 10.3.0.0/16 и 10.4.0.0/16 для офиса 1–3 соответственно.

Далее на пограничном маршрутизаторе в каждом офисе настраиваете:

1. LAN-порт на обслуживание локальной подсети.
   
2. WAN-порт для L3VPN, выделяя один IP-адрес на устройство (офис). Например, 172.16.0.2, 172.16.0.3 и 172.16.0.4 для офиса 1–3 соответственно.
   
3. WAN-порт для доступа в интернет если это необходимо.
   
4. Маршруты для доступа к другим офисам через L3VPN. Для офиса 1 будет примерно так:
   

   Destination     Gateway
   10.3.0.0/16     172.16.0.3
   10.4.0.0/16     172.16.0.4

   
   
5. Для трафика между локальными подсетями отключаете NAT, если по умолчанию на вашем железе он включён.
   
6. Соответствующим образом настраиваем файрволл (если есть), чтобы входящий трафик из других офисов не блокировался.
   
7. Опционально для параноиков. Поднимаем свой VPN между офисами, чтобы недобросовестный провайдер не мог смотреть трафик.
   

Comments

[Drno]

при пункте 7 теряется смысл в VPN сети от провайдера))))

[Павел Межуев]

Drno, там могут быть более выгодные условия по скорости и качеству связи.

[Drno]

Павел Межуев, эмм.. ну разве что.
хотя такая услуга обычно стоит денег. и проще на местах подключить любого подходящего провайдера. мне кажется это дешевле выйдет

[Павел Межуев]

Drno, так всё стоит денег, в том числе время админа, а мы с вами ничего не знаем о ситуации у автора и причинах такого выбора.

[other_letter]

VPN не обязательно прям для параноиков, но он пригодится для практически любой сертификации и банально красивее выглядит на честно отрисованных схемках.
Вот попросят вас пояснить как вы ПдН (персональные данные) обрабатываете, а вы их по инету (ну или просто по участку сети, который не контролируете) гоняете.

Answer 2

[Drno]

Ставишь в каждый офис нормальный роутер типа микротика
объединяешь их в сеть любым ВПН который нравится
Профит

К виртуалкам делаешь обычный проброс портов, внутри ВПН сети. ну либо настраиваешь routes

Провайдер тебе не предлагает раздавать эти адреса на все ПК. эти адреса только для роутеров \ шлюзов. далее ты уже сам выстраиваешь маршрутизацию

Answer 3

[nn_fanat]

Можно это настроить через tailskale, поддерживаются все ОС, ставиться в два клика. Главное ычтобы учетка была везде одинаковая

Answer 4

[rckmtc]

Всем спасибо за помощь. Относительно разобрался. Проблема в том, что это у нас колледж, и в эту локалку надо еще подать ЕСПД (от того же провайдера (Ростелеком) ), ЕСПД подключили только на 1-м офисе.

Answer 5

[Владимир Пилипчук]

Павел Межуев хороший вариант предложил.
Я бы дополнил следующим:

SNR-S2982G-8T - не достаточно для построения такой топологии. Я бы использовал что-то помощнее. Либо L3-коммутатор, либо маршрутизатор.

Разбить сеть на /24 VLANы
- в каждом офисе для пользователей свой VLAN
- для серверной подсети свой VLAN
- для сети управления свой MGMT VLAN
Связность между бранчами лучше городить на L2, если есть возможность. И если так, то лучше использовать QinQ на транспорте, чтобы нативно иметь связность между офисами на L2 и получить PortMash сеть. Вдруг нужно будет потом VLAN из одного офиса кинуть в другой/другие. Это более универсальная топология, позволяющая менять архитектуру СПД on-the-fly.
Между CE поднимаем OSPF/BGP/EIGRP/etc. Это позволит более эффективно управлять маршрутизацией.