Подскажите пожалуйста, ищу идеальную схему объединения офисов, все филиалы равнозначные, у всех так себе интернет, все работают с внешним 1С сервером, у всех на выходе mikrotik rb3011 и не много пользователей. Друг друга видеть хотелось бы, но не обязательно. Трафик не 1С-овский желательно через сервер не проксировать. Есть какая-то серебряная пуля решения этого вопроса?
Я наверно очень криво вопрос задал. Суть моей идеи не в том, чтобы просто объединить филиалы, а в том, чтобы сервер не был виден из инета, чтобы он стал как бы внутренней частью каждой сети и к нему можно было бы подключаться тонким клиентом. Чтобы он не смотрел в инет в ожидании подключения.
В каждый офис своя подсеть, между тиками впнки на любой вкус, трафик заворачивайте обычными роутами по подсетям каждого филиала, остальной трафик также заруливаете по желанию куда угодно.
Не похоже на пулю, у каждой впн свои плюсы и минусы, у всех разная нагрузка, все по разному поднимаются после падения. Хочется идеального решения, чтобы не ездить потом перенастраивать. Простую ясную схему, а общими словами это и так понятно, надо без абстракций.
dimatl: В любой задаче придется выбирать наименьшее из зла =) Насчет поездок и перенастройки, ну хз, тики дают огромное число разных возможностей и жирный плюс (сугубо лично для меня) что все документировано, даже баги и есть очень хорошая ТП.
Попробуйте EoIP, фирменная проприетарная фича которая просто идеальная всем если везде тики.
dimatl: так вы и масштаб бедствия не обозначили, везде ли статические белые адреса?
так то поднять eoip/gre/ipip/ipsec до филиала с сервером, поднять ospf чтобы могли ходить друг к другу и радоваться. в свободное время можно даже попробовать соорудить dmvpn, чтобы ходили друг к другу напрямую + резерв на случай если где-то между двумя филиалами сломается канал
dimatl: я правильно понимаю что в центральном филиале сервер сидит на белом адресе, а не маршрутизатор? так то лучше маршрутизатор повесить на белый адрес и к нему же подключать туннели
Wexter: центрального филиала нет вообще, они все равнозначные, а сервер арендованный, сейчас подключаются к нему просто удалённо, но очень хочется убрать из инета такой сервер. Думал делать впн до сервера, но надо в впн убирать только трафик приложения на сервере, а все остальные запросы в инет чтобы ходили не через него. Хочется просто и понятно, чтобы не ломалось и если через год надо будет залезть туда, то можно было бы вспомнить. А пока все схемы такие, что надо разбираться, и когда надо будет перенастроить, то пойдёт всё по новой. Ощущение, что где-то я не додумал, должно быть яснее и проще.
dimatl: Самый простой вариант.
1) На этом арендованном сервере поднимаете VPN(вообще любой какой вам будет проще). Пусть впн клиентам будет выдаваться 192.168.10.0/24 сам сервер будет иметь 192.168.10.1
2) На тиках создаете впн соединение. Запрещаете\удаляете роуты связанные с впн. Добавляете 1 единственный роут где указываете Dst address 192.168.10.1 шлюз имя_впн_соединения и distance 1.
В целом этого должно будет хватить, все смогут достучаться до сервера но в инет будут ходить минуя впн.
Дмитрий Александров: да, мне похожее решение подсказали, впн-сервер sstp, тики умеют к нему коннектиться, останется только запрос по конкретному адресу направлять на конкретный адрес
У 1С есть такое понятие УРБД. На каждый филиал создается отдельная база не локальном сервер. И между ними настраиватьюся обмены, периодичность любая. Набор обмениваемых данных настриваемый
Я не говорил, что в каждом филиале есть сервер. Он всего один, и его разделять не надо, связь как я сказал не очень, 5-15мбит на филиал, но этого хватает чтобы не ставить сервера. Работают удалённо.
Константин: суть была в том, чтобы они ходили на сервер, который не видно из сети, сейчас-то они так и ходят тонким клиентом, но там такие пароли, что ни какой https не спасёт. Хотел убрать вёб-морду из интернета.
Константин: получается ещё завести домен для такой задачи. Из пушки по воробьям. Нет ни домена, ни одного сервера, только доступ из сети должен быть простой, и отсутствовать если кто-то просто через интернет туда идёт.
Сложный
Средний
