Задать вопрос

Объединение более 10 удаленных офисов в одну сеть с помощью mikrotik?

Приветствую. У меня стоит задача объединения более 10 удаленных офисов в одну сеть. В головном стоит основной маршрутизатор mikrotik и сервер СКУД, в удаленных офисах будут тоже маршрутизаторы mikrotik и 4 - 6 считывателей(каждый считыватель имеет свой ip). При этом в головном офисе несколько компов - клиентов СКУДа. Еще я хотел бы с домашнего компа иметь доступ к каждому из этих офисов (в некоторых будет еще по 1-2 компа). Нужно грамотно организовать все это.
На данный момент у меня поднят openvpn сервер и соединен с одним из офисов. В этом офисе 6 считывателей и 2 компа. Все друг друга видят. Подсети в них разные и проброшены маршрутам друг на друга. Но с домашнего компа, через центральный маршрутизатор, я не могу попасть на компы в удаленном офисе. Я понимаю что можно заморачиваться с маршрутизацией и это как-то получится, но мне кажется есть какие-то варианты получше.
Статический ip только на центральном маршрутизаторе. Я думал над единым, адресным пространством. Поверх ovpn поднять eoip, не знаю на сколько это приемлемый вариант. Или все решать ovpn и маршрутизацией?
  • Вопрос задан
  • 5390 просмотров
Подписаться 6 Оценить Комментировать
Решения вопроса 1
vasilevkirill
@vasilevkirill
Сертифицированный тренер MikroTik TR0417
Ну для начала, задайся вопросом а нужен ли тебе L2? всё таки L2 очень тяжёлый и не любит задержки и большой джитер.
Если L3, то я бы построил на IPIP туннелях, а там где нету внешнего IP поднялбы sstp, а маршрутизацию реализовал бы с помощью OSPF. и уже после работы сети взвесил все за и против, нужен ли тебе IPSec.
Если там СКУД, так может шифровать только СКУД и не более чем или может такая информация никому не нужна?!

Скажу так OSPF с 10 точками можно настроить за один час.
с IPSec чуть подольше
Ответ написан
Пригласить эксперта
Ответы на вопрос 2
karabanov
@karabanov
Системный администратор
Слишком сложно, громоздко, ресурсоёмко и неэффективно. OVPN и так в микротике не достаточно хорошо реализован, а ты ещё и EoIP туда зачем-то хочешь впихнуть...
Просто используй IPsec. Это просто, надёжно, удобно, эффективно. IPsec клиент есть везде начиная от Windows заканчивая iPhone (то есть сможешь с телефона управлять сетью откуда угодно), не надо извращаться с установкой клиента. IPsec может работать через NAT, можно прикрутить авторизацию по сертификатам и т.д и т.п. В микротике IPsec реализован на должном уровне.
Ответ написан
@misant
SysAdOps
У меня похожая схема - Центральный Офис, в нем Cloud Core, в филиалах pfSensы. Все друг с другом дружат при помощи GRE-over-IPsec. Потенциально ещё и OSPF можно прикрутить, но пока и на статике все друг друга видят, схема стабильная.

Раньше был чистый IPsec, там сложности были с политиками, и филиалы только офис видели, а чтобы друг друга - пришлось бы жуткие монстро политики делать. IP-IP тоже хорошо, если OSPF не нужен будет.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы