Реализация NAT в сети с mikrotik crs326?

Question

[5erdriver]

Добрый день, коллеги!
Есть сложный вопрос, из-за некомпетентности людей которые закупали оборудование для офиса, был куплен свич crs326, человек увидел в описании L3 или что-то про маршрутизатор и решил что будет коробка закрывающая все вопросы. В различных группах саппорта микротика пишут, что мегаслабый процессор и NAT не потянет, только режим свича.

Схема простая Провайдер -> (Коммутатор CSR326) -> Физ.сервер + доменная сеть + гостевой Wifi, задумывалось выделить 2 VLAN, где в одном линк от провайдер, линк на сервер и линк на гостевой интернет, во втором VLAN доменная сеть, VLAN друг от друга изолируются, доменная сеть будет получать доступ к wan уже через внутренний proxy сервер, но раз такую нагрузку микротик не потянет, какие есть пути решения кроме покупки доп.оборудования? что-то можно поднять на виртуализации для маршрутизации интернета, дабы бедная коробочка не сгорела?

Comments

[Wexter]

какие есть пути решения кроме покупки доп.оборудования

неужели не найти 9к рублей хотя бы на rb750gr3?

[Юрий MikroTik]

Wexter, когда заложен бюджет, доп расходы будут согласовывать долго.

[Wexter]

Юрий MikroTik, экономия 9 тысяч явно не стоит того геморроя который всплывёт при эксплуатации этой сети.
В такому случае проще запустить сеть согласно проекту на CRS326 и на все претензии по качеству работы посылать к тому кто проектировал.
Имел аналогичный опыт с CRS326, через пару месяцев внезапно нашлось и желание и деньги решить эту проблему

[Юрий MikroTik]

Wexter, эффективных менеджеров не переубедить.

[5erdriver]

Всё верно Юрий пишет, 9 тысяч будем год согласовывать... есть физический сервер hp с запасом по ресурсу, будем значит на нём что-то поднимать.

Answer 1

[Valentin Barbolin]

Не такой уж он и слабый для NAT, большенство домашних роутеров имеют схожие характеристики. С минимальным набором правил с NAT он справиться, а вот на VPN умрет. Хотя все таки это просчет, банально hap ac2 будет в разы лучше в качестве NAT, при это он стоит копейки. Я бы все таки продавил доп закупку.

Использовать виртуальный роутер это как стрелять себе в ногу, он обязательно в какой-то момент не запустится и удаленно этот вопрос решить не получиться.

Если сотрудников не много (до20). Как бы я сделал
Настроил бы на нем NAT с минимальными правилами и fasttrack, а если мне нужен VPN то поднял бы виртуалку и пробросил на нее нужные порты.

Comments

[Юрий MikroTik]

Удаленно может с RouterBOARD не запуститься, а виртуалку можно поднять почти на чем угодно.
А так да, hap ac2, ax2 в сетевом магазине можно купить день в день, их мощности хватит на многие задачи.

[5erdriver]

Сотрудников 10 чел, из которых 7 работают в программной КИС в браузере
а fasttrack что за зверь? VPN не нужен

[Valentin Barbolin]

5erdriver,

а fasttrack что за зверь?

https://wiki.mikrotik.com/wiki/Manual:IP/Fasttrack

[Valentin Barbolin]

Юрий MikroTik,

Удаленно может с RouterBOARD не запуститься, а виртуалку можно поднять почти на чем угодно.

Это из личного опыта, тоже на одном офисе практиковал виртуальный роутер и пару раз он доставлял мне проблем, то свет выключат и UPSа не хватит, то файловая система крашница, то обновления на гипервизор прилетели и все работало до перезагрузки, то он сам не стартанет, а на дворе ночь и в офисе никого и у тебя бекап 1с из-за этого не прошел, то сотрудник почему решает самостоятельно перезагручить сервер - решение из серии "Плохо работает - перезагрузи". Так же стоит учитывать косвенные проблемы, если не хватит ресурсов на гипервизоре, то он может поставить на паузу виртуалку и все у тебя нет интернета. Конфигуриш интерфейс на гипервизоре и держиш в голове, что у тебя же там еще и роутер и надо аккуратно что бы интернет не отвалился.

Я уже прошелся по этим граблям и больше не хочу.

Поэтому я перешел на железный роутер который дает мне возможно зайти удаленно и подергать гипервизор. ac2 славно трудится более 4х лет. Если он здохнет, то я просто куплю новый, залью на него бекап и передам в офис, а они на время простоя достанут из ящика TP-LINK что бы не сидеть без интернета.

[Юрий MikroTik]

Valentin Barbolin, я тоже за аппаратное решение. Но виртуалка решит задачу здесь и сейчас без покупки железа.

[Valentin Barbolin]

Юрий MikroTik, Я не противник виртальных роутеров, сам использую vyos и pfSence. Но всегда оставляю себе backdoor. В данном случае можно попробовать запросить у провайдера два IP адреса, один для микрота, второй для виртального роутара.

П.С. Особенно я не люблю детские грабли потому что они бъют ниже пояса.

[Юрий MikroTik]

Valentin Barbolin, это будет идеальный вариант с vrrp. Но pfsense умеет это из коробки.

[Дмитрий]

5erdriver, вам на 10 человек микротика хватит. У меня такой же CRS326 работал а режиме шлюза для 12 сетей /24 с файрволом - пыхтел, 100℅ cpu, но сеть была.

Answer 2

[Юрий MikroTik]

Ставим виртуальный Cloud Hosted Router и заводим оператора через коммутатор по влан, а от chr обратно vlan на коммутатор в локальную сеть.

Comments

[5erdriver]

CHR бесплатна? Мы ещё рассматриваем вариант с pfSense, так как нужно поднимать прокси внутри доменной виндовой сети, может его силами тогда лучше сделать, чтобы не плодить виртуалки?

Как вообще правильно коммутацию провайдера и физ.сервера через csr326 сделать?
Создаю bride1, в нём vlan10, в нём как я понимаю ether1(провайдер) ether2(линк на сервер) ether3(гостевой wifi), какие доп. настройки нужны чтобы трафик ушёл с ether1 на ether2, вернулся обратно и попал на ether3?

[Юрий MikroTik]

5erdriver, бесплатно если не обновлять по окончанию триала. А так $45 за версию P1.
Pfsense у меня вызывает боль в плане маршрутизации, но попробовать можно.

Делаем Vlan10 и гоним тэгом до сервера, а на коммутаторе его делаем антег на порт.
С другими vlan аналогично.
Распихиваем в вланы операторов, гостей и тд

[5erdriver]

Юрий MikroTik, Юрий подскажите, сам CRS переводить в режим SwitchOS есть необходимость?

[Юрий MikroTik]

5erdriver, если есть желание, то можно. А так это максимум обрезанный функционал.