Объединение нескольких офисов через VPN (Kerio + Mikrotik)?

Question

[Денис]

Есть головной офис и порядка 10 филиалов по городам. На любой точке в локальной сети до 30 хостов. Офисы между собой объединены провайдером посредством VLAN на их стороне. С одной точки провайдером разрешается выход 1 устройства. В головном офисе установлен Kerio Control, на который приходит VLAN от провайдера для филиалов, интернет и локальная сеть. На филиалы есть Mikrotik rb951ui-2hnd для каждого. Имеется необходимость объединения офиса и филиалов в кучу с возможностью видеть всех друг друга. Подскажете куда копать?

Comments

[Андрей]

Ооо сколько вы себе сэкономили нервов за счёт провайдера и что не надо делать vpn на ипсеке между микротом и керио.....

Answer 1

[hint000]

В принципе у вас всё есть, даже VPN не нужно пробрасывать, провайдер за вас всё сделал. Осталось только маршруты прописать на Kerio и на Mikrotik'ах и готово.

Могут быть грабли, если про план ip-адресации раньше никто не думал и внезапно окажется, что в разных филиалах используется одна и та же сеть (например, "любимые" всеми админами 192.168.0.0/24 и 192.168.1.0/24).

Comments

[Денис]

Кроме керио ещё ничего не настроено. Сети не проблема. В процессе настройки сейчас можно будет прописать любые. Т.е. я вас правильно понимаю, что микротик можно будет настроить как обычный роутер и прописать маршруты в микротиках на каждый филиал указывая в качестве шлюза керио?

[hint000]

Денис,

указывая в качестве шлюза керио

Можно так, особенно если хотите на Керио ценрализованного контроля над межфилиальным трафиком. Если же это не требуется, то есть ещё варианты:

• на каждом Микротике прописать 10 маршрутов до остальных точек (скучно, зато просто)
  
• поднять динамическую маршрутизацию.
  

[korsar182]

Денис, Назначаете филиалам подсети вида 192.168.30.0/24, 192.168.41.0/24, 192.168.152.0/24, на микротиках указываете один маршрут 192.168.0.0/16 на Керио.

[1GOR6]

Как я понял провайдер даёт L3 канал и не получится сети смаршрутизировать без настройки сетей на стороне провайдера. Или L2 канал?

[hint000]

1GOR6, если провайдер назвал эту услугу VLAN, то должно быть L2.

[1GOR6]

hint000, ты прав

[Денис]

hint000, а вот тут чуть ниже написали, что нужно NATить весь трафик, так как разрешается выход толкьо одного устройства. Не будет ли потом проблем с настройкой маршрутизации? Или я не понимаю чего-то?)))

[hint000]

Денис, про NAT - вероятно, товарищ просто не понял суть, что у вас есть и что требуется. Не нужен NAT во внутренней сети, кроме каких-то особых случаев (у вас не особый, у вас стандартные требования).

Answer 2

[Vital8111]

Раз разрешается выход одного устройства, то нужно NATить. Что микрот что керио это умеют

Comments

[1GOR6]

Ага, потом порты пробрасывать если захочешь по rdp подключиться. Легче ip адресацию поменять (если раньше не подумали) и маршруты писать. Nat в такой маленькой сети зло.

[1GOR6]

Поднимай туннели и разруливай маршрутизацию. Как керио с микротиком подружить туннелем есть много мануалов. А на будущее если деньги позволяют покупай L2-VPN канал у провайдера и не придётся с туннелями играться.

[Vital8111]

Интересно тогда что ТС имеет ввиду под "одним устройством"

[Денис]

Vital8111, что провайдер на этой точке должен видеть только одно устройство

[Vital8111]

Ну тут вариант тогда только нат. Иначе другие айпишники провайдер увидит

[Денис]

Vital8111, за натом будет ли нормально маршрутизация между офисами работать?

[Vital8111]

Ну наверное надо сначала соединить все маршрутизацией. Через туннели. И потом натить. Тогда должно все не просто нормально а идеально работать. По идее если с провайдером договориться то и нат не нужен. Я если честно 1 раз с такими ограничениями сталкиваюсь. Обычно они такой фигнёй не занимаются. Смысла никакого. Трафик ограничили и хватит. А такой все равно обойти можно. Вы уточните. Может мы что то недопонимаем... Это же не Билайн в конце концов который деньги дерет если анлим на несколько устройств расшариваешь