Добрый день, коллеги!
Есть сложный вопрос, из-за некомпетентности людей которые закупали оборудование для офиса, был куплен свич crs326, человек увидел в описании L3 или что-то про маршрутизатор и решил что будет коробка закрывающая все вопросы. В различных группах саппорта микротика пишут, что мегаслабый процессор и NAT не потянет, только режим свича.
Схема простая Провайдер -> (Коммутатор CSR326) -> Физ.сервер + доменная сеть + гостевой Wifi, задумывалось выделить 2 VLAN, где в одном линк от провайдер, линк на сервер и линк на гостевой интернет, во втором VLAN доменная сеть, VLAN друг от друга изолируются, доменная сеть будет получать доступ к wan уже через внутренний proxy сервер, но раз такую нагрузку микротик не потянет, какие есть пути решения кроме покупки доп.оборудования? что-то можно поднять на виртуализации для маршрутизации интернета, дабы бедная коробочка не сгорела?
Юрий MikroTik, экономия 9 тысяч явно не стоит того геморроя который всплывёт при эксплуатации этой сети.
В такому случае проще запустить сеть согласно проекту на CRS326 и на все претензии по качеству работы посылать к тому кто проектировал.
Имел аналогичный опыт с CRS326, через пару месяцев внезапно нашлось и желание и деньги решить эту проблему
Не такой уж он и слабый для NAT, большенство домашних роутеров имеют схожие характеристики. С минимальным набором правил с NAT он справиться, а вот на VPN умрет. Хотя все таки это просчет, банально hap ac2 будет в разы лучше в качестве NAT, при это он стоит копейки. Я бы все таки продавил доп закупку.
Использовать виртуальный роутер это как стрелять себе в ногу, он обязательно в какой-то момент не запустится и удаленно этот вопрос решить не получиться.
Если сотрудников не много (до20). Как бы я сделал
Настроил бы на нем NAT с минимальными правилами и fasttrack, а если мне нужен VPN то поднял бы виртуалку и пробросил на нее нужные порты.
Удаленно может с RouterBOARD не запуститься, а виртуалку можно поднять почти на чем угодно.
А так да, hap ac2, ax2 в сетевом магазине можно купить день в день, их мощности хватит на многие задачи.
Удаленно может с RouterBOARD не запуститься, а виртуалку можно поднять почти на чем угодно.
Это из личного опыта, тоже на одном офисе практиковал виртуальный роутер и пару раз он доставлял мне проблем, то свет выключат и UPSа не хватит, то файловая система крашница, то обновления на гипервизор прилетели и все работало до перезагрузки, то он сам не стартанет, а на дворе ночь и в офисе никого и у тебя бекап 1с из-за этого не прошел, то сотрудник почему решает самостоятельно перезагручить сервер - решение из серии "Плохо работает - перезагрузи". Так же стоит учитывать косвенные проблемы, если не хватит ресурсов на гипервизоре, то он может поставить на паузу виртуалку и все у тебя нет интернета. Конфигуриш интерфейс на гипервизоре и держиш в голове, что у тебя же там еще и роутер и надо аккуратно что бы интернет не отвалился.
Я уже прошелся по этим граблям и больше не хочу.
Поэтому я перешел на железный роутер который дает мне возможно зайти удаленно и подергать гипервизор. ac2 славно трудится более 4х лет. Если он здохнет, то я просто куплю новый, залью на него бекап и передам в офис, а они на время простоя достанут из ящика TP-LINK что бы не сидеть без интернета.
Юрий MikroTik, Я не противник виртальных роутеров, сам использую vyos и pfSence. Но всегда оставляю себе backdoor. В данном случае можно попробовать запросить у провайдера два IP адреса, один для микрота, второй для виртального роутара.
П.С. Особенно я не люблю детские грабли потому что они бъют ниже пояса.
5erdriver, вам на 10 человек микротика хватит. У меня такой же CRS326 работал а режиме шлюза для 12 сетей /24 с файрволом - пыхтел, 100℅ cpu, но сеть была.
CHR бесплатна? Мы ещё рассматриваем вариант с pfSense, так как нужно поднимать прокси внутри доменной виндовой сети, может его силами тогда лучше сделать, чтобы не плодить виртуалки?
Как вообще правильно коммутацию провайдера и физ.сервера через csr326 сделать?
Создаю bride1, в нём vlan10, в нём как я понимаю ether1(провайдер) ether2(линк на сервер) ether3(гостевой wifi), какие доп. настройки нужны чтобы трафик ушёл с ether1 на ether2, вернулся обратно и попал на ether3?
5erdriver, бесплатно если не обновлять по окончанию триала. А так $45 за версию P1.
Pfsense у меня вызывает боль в плане маршрутизации, но попробовать можно.
Делаем Vlan10 и гоним тэгом до сервера, а на коммутаторе его делаем антег на порт.
С другими vlan аналогично.
Распихиваем в вланы операторов, гостей и тд
