Задать вопрос
digital_punk
@digital_punk

Как лучше объединить филиалы?

Коллеги! Товарищи! Прочитав тонну документации не могу для себя понять как правильно сделать следующую задачу.
Есть ЦО и 30 филиалов. Задача объединить эти филиалы в одну зону видимости. Чтобы каждый mikrotik видел подсети другого mikrotik.
Решение как я понял для себя - это:
- объединить их все в одну подсеть через vpn;
- настройка динамической маршрутизации ospf.

Сейчас работает все через IPSec и связь есть филиалов с ЦО.Но между филалами естественно связи нет. Как правильно сделать? (вообще все началось из-за VoIP трафика, так как RTP работает, а голос не идет, так как все должно быть в одной сети).
  • Вопрос задан
  • 3325 просмотров
Подписаться 8 Оценить 2 комментария
Пригласить эксперта
Ответы на вопрос 2
digital_punk
@digital_punk Автор вопроса
Всем Спасибо!
Вот полный ответ для людей ищущих ответ на тот же вопрос, что и я.
В текущей структуре у меня получилось топология по типу "звезда", в которой ядро - это Cisco 2811, а лучи - Mikrotik RB951. Да, лучше конечно же полносвязную топологию, но уж очень получится адово в плане администрирования - на каждом Микротике по 30 туннелей :). Если хочеться полносвязности, то лучше всего Cisco DMVPN (но дорого, хотя работает красиво и четко).
1. Делаем GRE туннели.
2. Настраиваем IPSec в ТРАНСПОРТНОМ режиме.
3. После чего поднимаем OSPF, чтобы цыска обменивалась маршрутами с микротиками через туннели.

В такой связке у меня заработало. Радости нет предела) Конечно настройки там еще далеки от идеала, но начало есть. Позже отпишусь когда все будет работать в продакшене.

P.S.: сегодня запустил в продакшн. Все отлично и работает. Звук ходит между телефонами, в чем изначально и состояла задача. Работает GREoverIPSec в ТРАНСПОРТНОМ режиме. NAT-Traversal (то есть три точки находятся за NAT) тоже работает. Маршрутизация - через OSPF. Конечно единственный минус - это центральный роутер в ЦО, возможно в будущем как-то получится избавиться от слабого места. Всем спасибо!!!
Ответ написан
Комментировать
jamakasi666
@jamakasi666
Просто IT'шник.
Если хочется полегче и децентрализовано(чтобы небыло центрального звена которое может уронить всю сеть) то делай GRE тунели с IPSEC между каждым тиком. Настраивается очень быстро, работает надежно. Самое важное поставь правильные MTU и MSS.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы