В фирме есть 5 офисов (1 главный и 4 филиала). Суть такова: сейчас офисы объединены через провайдерский VLAN, за который платится отдельная монета, и в котором отдельное ограничение по скорости. Хотелось бы заменить это все на соединения по VPN.
Есть подсети:
а) центральный офис с серверами и клиентами (192.168.0.0/24)
b) филиал с локальной файлопомойкой и клиентами (192.168.1.0/24)
c) филиал с локальной файлопомойкой и клиентами (192.168.5.0/24)
d) филиал с локальной файлопомойкой и клиентами (192.168.17.0/24)
e) филиал с локальной файлопомойкой и клиентами (192.168.88.0/24)
Необходимо:
1) чтобы все офисы видели друг друга;
2) чтобы интернет не шел по VPN, а шли только локальные запросы.
Во всех офисах стоят Mikrotik с RouterOS 6.20, везде статические IP-адреса WAN.
Нуждаюсь в совете, через что лучше реализовать все это, l2tp, pptp или ovpn. Прошу гуру помочь, сам начинающий админ, в маршрутизации пока не силен :(
Может вообще есть альтернативный вариант, не VPN.
Короче, подскажите, пожалуйста :)
Нуждаюсь в совете, через что лучше реализовать все это, l2tp, pptp или ovpn.
Не дожидайтесь подробных советов по этой задаче. Просто начните делать (инструкции гуглятся легко). Выберите два филиала и пробросьте между ними любой из названных вариантов VPN. Если всё хорошо, то пробрасывайте между филиалом и офисом и т.д. (к более ответственным участкам переходить тогда, когда появился собственный положительный опыт на менее ответственных участках).
Вот если конкретные затруднения возникнут, тогда и задавайте конкретные вопросы.
Максим, ну вот и полюбуйтесь: вы спрашивали о выборе между тремя вариантами, вам в ответах посоветовали семь-восемь различных вариантов. :) В вопросах VPN всегда были разброд и шатание, нет одного лучшего варианта на все случаи.
modcode, а как ещё им нормально работать с общей информацией? Не пересылать же всё по почте :)
Есть базы данных, в которые нужен доступ из разных филиалов. Или отдельные базы данных у каждого филиала, но они синхронизируются между собой. Другие корпоративные ресурсы (портал, AD, общие сетевые папки,..). Удалённое администрирование филиалов админами из центрального офиса.
modcode, смотря о каком уровне (в сетевой модели) идёт речь. На прикладном уровне (RDP и т.п.) нужно настраивать на винде. А маршрутизация и NAT работает целиком между сетями, настраивается только на маршрутизаторах. Скажем так: если брандмауэр на винде не включен, то с любой машины одного офиса вы сможете пинговать любую машину другого офиса по её приватному (серому) адресу, без дополнительной настройки этих машин. Если в другом офисе есть точка доступа, сетевое МФУ, управляемый коммутатор, VoIP-телефон, и т.п., то вы сможете прямо из своего офиса зайти в web-интерфейсы этих устройств и что-то настраивать или смотреть статистику.
В микроте есть замечательный туннель ipip который при вбивании пароля добавляет и ipsec.
В связке с OSPF - впны строятся просто на ура.
Можно звездой, можно перекрестные, OSPF сам всё перестроит, найдет кратчайший маршрут.
Да, полагаю туннели перекрестные + ospf.
Перекрёстки дадут разгрузку каналов при передаче минуя центральный офис, а ospf решить проблему L3 при падении/подъёме каналов.
Здесь описаны наиболее популярные реализации vpn в микротие https://serveradmin.ru/nastrojka-vpn-openvpn-l2tp-...
Можете ознакомится и протестировать. Я бы посоветовал вам l2tp + ipsec. Если планируется рост филиалов, сразу настраивайте ospf. В простой конфигурации, как ваша, это не сложно. Если роста точно не будет, то можно без нее. Один раз маршруты руками пропишите.
Хоть вопрос и старый, отпишусь ,может кому и надо. Использую L2TP + IpSec на микротиках с поддержкой аппаратного шифрования. Работает стабильно. И никогда не используйте в работе сети 192.168.0.0/16 - они годятся только для дома, да и то, лучше взять 172-ю. Для рабочих сетей берите 172.16.0.0/12 или 10.0.0.0/8. Потом понадобится сделать VPN с сеткой из 192 подсети, в которой Вы не можете поменять адресацию, получите геморрой :)
Имейте ввиду, что узким местом 99% станут имеющиеся микроты - какие именно вы не написали. Провайдерский влан избавляет вас от этой проблемы - трафик шифровать "не нужно".
А так - можно по классике, l2tp+ipsec
По накладным расходам лучше gre+ipsec. Что бы интернет не ходил через VPN надо маршруты правильно писать (в VPN заворачивать только сети других филиалов, а default gw делать на WAN)
В центральном офисе настраивается коннект на все филиалы, в филиале только центр. Политик правда на филиальных микротиках придется написать по количеству филиалов - на каждом, чтобы понятно было, что пакеты туда нужно не в тырнет, а в туннель. Весь прочий трафик на филиальных роутерах идет на их провайдера.
Правда, центральный должен быть с аппаратным шифрованием, иначе уже пара туннелей его поставит в положение ротного пулемета.
На филиалах достаточно одной политики 192.168.0.0/16, главное - не забыть указать action=none для локальной сети, что бы не потерять доступ к устройсту. Аппаратное шифрование должно быть не только на центральном, иначе скорость буде днищенской.
Настрой пару офисов на простейшем протоколе PPTP, оцени устойчивость и скорость. Потом в любой момент перестроишь на устойчивое шифрование, если нужно. Генератор скриптов настройки для некротиков - https://t-ev.ru/mikrotik_pptp/ , там же и для ipsec найдешь.
Если везде белые ip от провайдера, строите ipip. Проще всего строится. Прописываете в настройках маршрутизации маршрут к сети филиала через этот тонель на главном микротике и обратно на филиальном и все тут же работает.
А вообще в первую очередь читайте про маршрутизацию что это, как работает и для чего нужна. Ибо без знания этого не вижу смысла лезть во всякие VPN тонели. Впн то поднимите, а почему не работает ничего, не поймете.
Вот тут насоветовали... попросить туннель L2 у провайдера... а если AS у провайдеров разные на разных офисах? сколько стоит vpls туннель сначала узнайте... не всякому крупному бизнесу это нужно и по карману...
Проще всего испоьзовать sstp+ospf.
Sstp он чем хорош... он через любые наты пролазит. И gre ему не нужен. Достаточно всего одного офиса с белым ip.
Все настраивается за несколько кликов. Если нужно ipsec, то нужно подумать, а нужен ли он? И если нужен, микротики брать с аппаратной поддержкой ipsec
Шифрованный sstp, увы, медленный весьма. И аппаратной разгрузки нет принципиально. Хоть и размазывается нагрузка на все ядра. В этом контексте sstp - часто это то крайний вариант, где ничего другого применить нельзя. Именно потому что этот пролезет вообще везде :)
Да нет, не по этому. Не шифрованный sstp одинаково быстрый(медленный) как другие ptp туннели. Разница в скорости pptp и sstp вообще в пользу sstp. l2tp без ipsec на 5% быстрее sstp. Шифрованный одинаковый, если поддерживается аппаратное шифрование.
Вы же не торренты между офисами качаете. Выигрыш в чем? в 5% в скорости? Или в требовании, чтобы все офисы имели белый IP и GRE?
По мне так 5% в скорости ну его нафиг против того, чтобы все имели белый IP, чтобы GRE поднялся...
А если про ipsec речь идет, то разницы вообще нет.
meridian5988, Нагрузка на все ядра размазывается, потому, как нет у вас аппаратной поддержки шифрования ipsec. Посмотрите данную таблицу. https://wiki.mikrotik.com/wiki/Manual:IP/IPsec
Используйте нужное железо в нужной конфигурации... При аппаратном шифровании ipsec, нагрузка даже на одноядерный проц менее 5%.... Если у вас не CCR конечно...
Алексей, по всей видимости Вы меня неправильно поняли. Я имел ввиду сугубо SSTP. На нём нет поддержки IPsec в принципе, но у него своё шифрование весьма неплохое. И это шифрование не разгружается аппаратно. Но SSTP на Микротике хотя бы использует все ядра процессора, в отличие от OpenVPN.
Я для связки офисов использую EoIP. К нему можно прилепить и ipsec. Вроде как у eoip скорость и надёжность выше чем у у того же l2tp
Стоит учесть что провайдеры стали блокировать gre.
Тот же pptp без gre не работает.
Так же стоит понимать что сейчас у провайдерского vpn скорее всего отдельная скорость. Когда сами начнёте жить, думаю скорость резко просядет. И обиженный провайдер закроет gre.
Выход sstp он по 443 порту идет. Но на нем скорость ни какая вовсе.
Если везде белые ip то я бы попробовал eoip. Если нет белых, то можно pptp, а внутри eoip. Если поднимутся, значит gre работает.
EoIP не всегда лучшее решение. Его есть смысл ставить там, где нужно пробросить L2 через L3, что случается нечасто, в большинстве случаев задачу можно решить с помощью маршрутизации. Тем не менее я сам ранее был фанатом EoIP. :) По факту - мы получаем дополнительнкю инкапсуляцию в туннеле IpIp. В целом EoIP хорош, у него есть мак-адреса с обоих концов туннеля, и порой это очень выручает. Но, как и всё остальное, его есть смысл пихать туда, где он реально нужен.
Тут же IpIp вполне справится, а в большинстве случаев достаточно L2TP/IPsec.
На обиженного провайдера ооооочень хорошо действует фраза "Наша организация собирается расторгнуть договор с Вами" - это во-первых. Пусть хоть в #опу засунет gre - это во-вторых :)
Ему достаточно будет настроить random drop в 2-3-4-5% и вы взвоете. Но доказать будет что-то очень сложно.
Но идея здравая. К тому же аппаратное шифрование не поддерживают только самые дешёвые микротики.
Делали объединении филиалов, очень похож на ваш случай.
Организовал нам все провайдер, сделал сеть уровня L2 без vpn, я как понял у вас тоже L2 но с vpn.
Вам просто нужно организовать сеть между филиалами уровня L2 от провайдера и занять жёсткую позицию без vpn, связь будет стабильная и быстрая. Не рекомендую уходить в сторону службы ovpn, pptp...
А что так все обошли ovpn??? Как по мне, то отличное решение и шустро работает. Делов то, создать сертификаты, задать сетку тоннелю, да прописать нат на клиентах.
Зависит от потребностей. OVPN до сих пор работает на одном ядре (и в RouterOS 7 также пока), да ещё и не умеет в UDP (в RouterOS 7 умеет уже). Если офисов немного, то может хватить и одного ядра достаточно производительного роутера (3011, 4011, CCR). Но с большим количеством объектов будет проседать скорость.
Простой
