Как объединить филиалы через внешний сервер?

Question

[dimatl]

Подскажите пожалуйста, ищу идеальную схему объединения офисов, все филиалы равнозначные, у всех так себе интернет, все работают с внешним 1С сервером, у всех на выходе mikrotik rb3011 и не много пользователей. Друг друга видеть хотелось бы, но не обязательно. Трафик не 1С-овский желательно через сервер не проксировать. Есть какая-то серебряная пуля решения этого вопроса?

Comments

[dimatl]

Я наверно очень криво вопрос задал. Суть моей идеи не в том, чтобы просто объединить филиалы, а в том, чтобы сервер не был виден из инета, чтобы он стал как бы внутренней частью каждой сети и к нему можно было бы подключаться тонким клиентом. Чтобы он не смотрел в инет в ожидании подключения.

Answer 1

[Дмитрий Александров]

В каждый офис своя подсеть, между тиками впнки на любой вкус, трафик заворачивайте обычными роутами по подсетям каждого филиала, остальной трафик также заруливаете по желанию куда угодно.

Comments

[dimatl]

Не похоже на пулю, у каждой впн свои плюсы и минусы, у всех разная нагрузка, все по разному поднимаются после падения. Хочется идеального решения, чтобы не ездить потом перенастраивать. Простую ясную схему, а общими словами это и так понятно, надо без абстракций.

[Дмитрий Александров]

dimatl: В любой задаче придется выбирать наименьшее из зла =) Насчет поездок и перенастройки, ну хз, тики дают огромное число разных возможностей и жирный плюс (сугубо лично для меня) что все документировано, даже баги и есть очень хорошая ТП.
Попробуйте EoIP, фирменная проприетарная фича которая просто идеальная всем если везде тики.

[Wexter]

dimatl: так вы и масштаб бедствия не обозначили, везде ли статические белые адреса?
так то поднять eoip/gre/ipip/ipsec до филиала с сервером, поднять ospf чтобы могли ходить друг к другу и радоваться. в свободное время можно даже попробовать соорудить dmvpn, чтобы ходили друг к другу напрямую + резерв на случай если где-то между двумя филиалами сломается канал

[dimatl]

Wexter: а если нет белых адресов? только внутренние у каждого провайдера. Белый адрес только на сервере, к сожалению.

[Wexter]

dimatl: тогда l2tp/pptp, шифрование включайте по своему усмотрению, если хотите

[Wexter]

dimatl: я правильно понимаю что в центральном филиале сервер сидит на белом адресе, а не маршрутизатор? так то лучше маршрутизатор повесить на белый адрес и к нему же подключать туннели

[dimatl]

Wexter: центрального филиала нет вообще, они все равнозначные, а сервер арендованный, сейчас подключаются к нему просто удалённо, но очень хочется убрать из инета такой сервер. Думал делать впн до сервера, но надо в впн убирать только трафик приложения на сервере, а все остальные запросы в инет чтобы ходили не через него. Хочется просто и понятно, чтобы не ломалось и если через год надо будет залезть туда, то можно было бы вспомнить. А пока все схемы такие, что надо разбираться, и когда надо будет перенастроить, то пойдёт всё по новой. Ощущение, что где-то я не додумал, должно быть яснее и проще.

[Дмитрий Александров]

dimatl: Самый простой вариант.
1) На этом арендованном сервере поднимаете VPN(вообще любой какой вам будет проще). Пусть впн клиентам будет выдаваться 192.168.10.0/24 сам сервер будет иметь 192.168.10.1
2) На тиках создаете впн соединение. Запрещаете\удаляете роуты связанные с впн. Добавляете 1 единственный роут где указываете Dst address 192.168.10.1 шлюз имя_впн_соединения и distance 1.
В целом этого должно будет хватить, все смогут достучаться до сервера но в инет будут ходить минуя впн.

[dimatl]

Дмитрий Александров: да, мне похожее решение подсказали, впн-сервер sstp, тики умеют к нему коннектиться, останется только запрос по конкретному адресу направлять на конкретный адрес

Answer 2

[Константин]

У 1С есть такое понятие УРБД. На каждый филиал создается отдельная база не локальном сервер. И между ними настраиватьюся обмены, периодичность любая. Набор обмениваемых данных настриваемый

Comments

[dimatl]

Я не говорил, что в каждом филиале есть сервер. Он всего один, и его разделять не надо, связь как я сказал не очень, 5-15мбит на филиал, но этого хватает чтобы не ставить сервера. Работают удалённо.

[Константин]

Так проблема в чем, если работают?

Снижение нагрузки, поставь тонкий клиенте 1С.

[dimatl]

Константин: суть была в том, чтобы они ходили на сервер, который не видно из сети, сейчас-то они так и ходят тонким клиентом, но там такие пароли, что ни какой https не спасёт. Хотел убрать вёб-морду из интернета.

[Константин]

Привязи вход в 1с к доменной учетке.

[dimatl]

Константин: получается ещё завести домен для такой задачи. Из пушки по воробьям. Нет ни домена, ни одного сервера, только доступ из сети должен быть простой, и отсутствовать если кто-то просто через интернет туда идёт.

[Андрей]

А не проще ограничить доступ по ip адресам к серверу 1с

[dimatl]

Андрей: филиалы получают адрес динамически.