Объединение более 10 удаленных офисов в одну сеть с помощью mikrotik?

Question

[user-k]

Приветствую. У меня стоит задача объединения более 10 удаленных офисов в одну сеть. В головном стоит основной маршрутизатор mikrotik и сервер СКУД, в удаленных офисах будут тоже маршрутизаторы mikrotik и 4 - 6 считывателей(каждый считыватель имеет свой ip). При этом в головном офисе несколько компов - клиентов СКУДа. Еще я хотел бы с домашнего компа иметь доступ к каждому из этих офисов (в некоторых будет еще по 1-2 компа). Нужно грамотно организовать все это.
На данный момент у меня поднят openvpn сервер и соединен с одним из офисов. В этом офисе 6 считывателей и 2 компа. Все друг друга видят. Подсети в них разные и проброшены маршрутам друг на друга. Но с домашнего компа, через центральный маршрутизатор, я не могу попасть на компы в удаленном офисе. Я понимаю что можно заморачиваться с маршрутизацией и это как-то получится, но мне кажется есть какие-то варианты получше.
Статический ip только на центральном маршрутизаторе. Я думал над единым, адресным пространством. Поверх ovpn поднять eoip, не знаю на сколько это приемлемый вариант. Или все решать ovpn и маршрутизацией?

Answer 1

[Кирилл Васильев]

Ну для начала, задайся вопросом а нужен ли тебе L2? всё таки L2 очень тяжёлый и не любит задержки и большой джитер.
Если L3, то я бы построил на IPIP туннелях, а там где нету внешнего IP поднялбы sstp, а маршрутизацию реализовал бы с помощью OSPF. и уже после работы сети взвесил все за и против, нужен ли тебе IPSec.
Если там СКУД, так может шифровать только СКУД и не более чем или может такая информация никому не нужна?!

Скажу так OSPF с 10 точками можно настроить за один час.
с IPSec чуть подольше

Comments

[user-k]

Я уже думал над этим. В принципе там и шифровать ничего не нужно. Информация эта не нужна никому.

[user-k]

Про OSPF не в курсе даже. Можно вкратце прояснить про настройку OSPF? Чем ovpn хуже sstp?

[Кирилл Васильев]

user-k: OSPF это протокол динамической маршрутизации, который сможет автоматом перенастроить сеть при изменении топологии сети. тут вкратце на рассказать.
а насчёт openvpn могу сказать следующее из версии к версии mikrotik пилит openvpn и это может выйти вам поком при обновлении.
Также могу сказать, что про совместимость можете забыть при openvpn. sstp я привёл как пример, так как он хорошо шифруется.
а вообще в идеале использовать gre или ipip туннели и там где нет внешнего адреса использовать pptp

[Дмитрий Шицков]

Очень хороший совет по поводу OSPF. Больше 10 точек статическими маршрутами накладно настраивать.
Ovpn на Mikrotik плох. Разработчики официально заявили, что не будут работать над этим протоколом в Mikrotik. Возможно, это из-за невысокой производительности этого протокола.

[user-k]

Кирилл Васильев: Поднял sstp. Теперь борюсь с OSPF. Мануалов практически нет.

[Кирилл Васильев]

user-k: wiki.mikrotik.com/wiki/Russian/OSPF

[user-k]

Кирилл Васильев: все работает. Спасибо.

Answer 2

[Александр Карабанов]

Слишком сложно, громоздко, ресурсоёмко и неэффективно. OVPN и так в микротике не достаточно хорошо реализован, а ты ещё и EoIP туда зачем-то хочешь впихнуть...
Просто используй IPsec. Это просто, надёжно, удобно, эффективно. IPsec клиент есть везде начиная от Windows заканчивая iPhone (то есть сможешь с телефона управлять сетью откуда угодно), не надо извращаться с установкой клиента. IPsec может работать через NAT, можно прикрутить авторизацию по сертификатам и т.д и т.п. В микротике IPsec реализован на должном уровне.

Comments

[user-k]

Но у меня статика только на центральном. Как мне реализовать IPsec в таком случае?

[Александр Карабанов]

Так этого достаточно. Вот например: https://www.youtube.com/watch?v=ulfCVCCLiVQ

[Александр Карабанов]

Или вот wiki.mikrotik.com/wiki/Manual:IP/IPsec#Ipsec.2FL2T...

Answer 3

[Евгений]

У меня похожая схема - Центральный Офис, в нем Cloud Core, в филиалах pfSensы. Все друг с другом дружат при помощи GRE-over-IPsec. Потенциально ещё и OSPF можно прикрутить, но пока и на статике все друг друга видят, схема стабильная.

Раньше был чистый IPsec, там сложности были с политиками, и филиалы только офис видели, а чтобы друг друга - пришлось бы жуткие монстро политики делать. IP-IP тоже хорошо, если OSPF не нужен будет.

Comments

[user-k]

Я сначала l2tp+ipsec пытался - забил. Пока только две точки, еще не совсем мне понятно что и как будет работать. Как они будут между собой взаимодействовать при sstp+ospf. Еще один микротик купят на следующей неделе и уже будет все ясно.

[Евгений]

user-k: а что с l2tp не пошло? У меня предубеждение, это все такие клиент-серверная технология, не для связи офисов, тем более если полная связность нужна. Но в целом и с ним должно нормально работать.

[user-k]

Евгений: я вроде нормальный мануал сейчас нашел по ipsec. Попробую еще раз l2tp+ipsec+ospf. Динамические адреса клиентов ограничивают возможности. Gre и подобные штуки, как я понял, сложно или невозможно запустить в таких условиях. Про sstp пишут что скорость ниже чем на том же l2tp. Проверить еще не успел.

[Евгений]

user-k: да, в таком случае l2tp как раз спасти должен. У меня везде статика, хоть часть и за НАТом провайдерским. Но важно чтобы адрес были статическими. Это важное условие, просмотрел что статика только на центральном.
В таком варианте нужно чтобы филиалы как клиенты подключались к центральному маршрутизатору, а он уже роутил всех.