Как организовать небольшую, отказоустойчивую VPN сеть?

Question

[VitonZizu]

Ребят, поставил себе задачу организовать небольшую сеть на предприятии, хотел бы услышать советы по оборудованию! Так как у самого опыта немного, дабы не собирать заново грабли
Нужна отказоустойчивая VPN сеть, центральный роутер, и к нему конектятся ,5-6 роутеров клиентов. Ну как то так я себе представляю это, на центральном роутере 2 провайдера+1usb флешка с сотовым провайдером. На удаленных точка 1 провайдер +1 флешка на случаи сбоев. Под отказоустойчивостью подразумевается что если основной провайдер упадет, то филиал сможет через usb модем работать!
Так вот, по советуйте пожалуйста оборудование! Я надеюсь тут можно обойтись без циско, так как бюджет ограничен, знаю что микротики хороши, но хотелось бы уже какие нибудь конкретные модели услышать! Либо может, можно обойтись без сетевого оборудования и поднять линукс шлюзы, но мне кажется этот вариант не особо удачным. Хочется прям сделать true way

Answer 1

[Кирилл 1]

@VitonZizu нагрузка какая на сеть будет ? Дайте больше вводной информации...
меня направил один из жителей toster'a на mikrotik+ospf, помог в запуске, теперь души не чаю, сейчас уже сеть из 4х точек,

Comments

[VitonZizu]

нагрузка не большая, центральный офис и 6 подключенных филиалов( максимум 8 хостов), по сети 1С ползает, ничего сверх требовательного.

[Кирилл 1]

@VitonZizu что бы в будущем не тратиться на апгрейды возьмите rb1100ahx2 и Mikrotik RB2011UAS-2HnD-IN,

[Кирилл 1]

@VitonZizu Mikrotik RB2011UAS-2HnD-IN как раз поддерживат свистки, а вот rb1100ahx2 без свистковый

[Алексей]

@SmileyK @VitonZizu RB1100 можно поставить в центр как раз, и к нему цеплять клиентов. Правда, отказоустойчивость можно будет сделать только "холодную", т.к. стекироваться и балансить нагрузку микротики не умеют.

Answer 2

[Denis Sh]

действительно, нужны масштабы.
в свое время делал так
в ЦО ROUTERBOARD 1100AHX2 3 провайдера
в филиале если до 10 компьютеров ROUTERBOARD 951UI-2HND 1-2 провайдера (2-3 vpn до ЦО и один до соседнего филиала)
более 10, но менее 40 RouterBOARD 2011UiAS-RM 2 провайдер (2-3 vpn до ЦО и один до соседнего филиала)
+ динамическая маршрутизация ospf
Если нужна помощь, обращаяся

Comments

[VitonZizu]

Расписал выше масштабы, спасибо большое за конкретные названия оборудования, единственно не нашел инфы по моему ньюансу, а именно работе с usb флешкой с мобильным провайдером, специфика такая, что второго провайдера далеко не на всех у нас точках можно найти...

[Denis Sh]

по модемам, если есть возможность ставить yota, ставь yota, но там не все модели работают с микротиком, и нужен обязательно договор с юриком, так как физики сидят за nat. 3g инта скорее нет чем есть+ нужно тоже смотреть по моделям модемов. 951UI-2HND есть usb в которой можно воткнуть модем.

[VitonZizu]

Спасибо, созвонюсь с йотой, узнаю какие у них есть корпоративные тарифы! А какой вариантт впн выбрать? Чтобы был шустр в работе и не сложен в настройке ну и соответственно поддерживался Mikrotik?

[Denis Sh]

Быстро, но не безопасно l2tp, pptp. если по безопаснее то OpenVpn, ipip + ipsec, и если будет телефония необходимо будет настраивать QoS.

[Алексей]

На микротике самый простой/безопасный вариант будет l2tp/ipsec (Например, так: nixman.info/?p=2308).
OpenVPN не советую категорически - нормальной скорости ни на йоте, ни на 3G нам получить не удалось.

Answer 3

[Алексей]

Огласите бюджет и нагрузку. А также что предлагается в микротики включать.
Так-то можно что-то из RB951 или RB2011

Comments

[VitonZizu]

Бюджет в принципе пока не рассчитывался, главное чтобы оборудование надежное было, но и не циско, чтобы не сильно переплачивать

[Алексей]

Для начала, я бы нарисовал схему: провайдеры, транспорт поверх провайдеров (GRE, L2TP/IPSEC, и т.д.). Это поможет с требованиями к железу.

На самом деле вы зря боитесь цисок - те же 891-е стоят не так уж и дорого.

[VitonZizu]

ну допустим, но тогда в чем я выиграю если переплачу за циско по отношению к микротик?

[Алексей]

@VitonZizu: в предсказуемости в работе и настройке, количестве информации (и размере комьюнити)...
но для начала я бы все равно посоветовал нарисовать схему. Ну или хотя бы составить максимально детальное ТЗ, если не хотите заморачиваться, чтобы сделали за денежку.