Объединение филиалов через VPN на Mikrotik?

Добрый день/вечер/ночь!

В фирме есть 5 офисов (1 главный и 4 филиала). Суть такова: сейчас офисы объединены через провайдерский VLAN, за который платится отдельная монета, и в котором отдельное ограничение по скорости. Хотелось бы заменить это все на соединения по VPN.
Есть подсети:
а) центральный офис с серверами и клиентами (192.168.0.0/24)
b) филиал с локальной файлопомойкой и клиентами (192.168.1.0/24)
c) филиал с локальной файлопомойкой и клиентами (192.168.5.0/24)
d) филиал с локальной файлопомойкой и клиентами (192.168.17.0/24)
e) филиал с локальной файлопомойкой и клиентами (192.168.88.0/24)
Необходимо:
1) чтобы все офисы видели друг друга;
2) чтобы интернет не шел по VPN, а шли только локальные запросы.

Во всех офисах стоят Mikrotik с RouterOS 6.20, везде статические IP-адреса WAN.

Нуждаюсь в совете, через что лучше реализовать все это, l2tp, pptp или ovpn. Прошу гуру помочь, сам начинающий админ, в маршрутизации пока не силен :(
Может вообще есть альтернативный вариант, не VPN.
Короче, подскажите, пожалуйста :)
  • Вопрос задан
  • 13739 просмотров
Пригласить эксперта
Ответы на вопрос 12
akelsey
@akelsey
В микроте есть замечательный туннель ipip который при вбивании пароля добавляет и ipsec.
В связке с OSPF - впны строятся просто на ура.
Можно звездой, можно перекрестные, OSPF сам всё перестроит, найдет кратчайший маршрут.
Ответ написан
@Zeroxzed
Здесь описаны наиболее популярные реализации vpn в микротие https://serveradmin.ru/nastrojka-vpn-openvpn-l2tp-...
Можете ознакомится и протестировать. Я бы посоветовал вам l2tp + ipsec. Если планируется рост филиалов, сразу настраивайте ospf. В простой конфигурации, как ваша, это не сложно. Если роста точно не будет, то можно без нее. Один раз маршруты руками пропишите.
Ответ написан
Комментировать
@mr_welk
Хоть вопрос и старый, отпишусь ,может кому и надо. Использую L2TP + IpSec на микротиках с поддержкой аппаратного шифрования. Работает стабильно. И никогда не используйте в работе сети 192.168.0.0/16 - они годятся только для дома, да и то, лучше взять 172-ю. Для рабочих сетей берите 172.16.0.0/12 или 10.0.0.0/8. Потом понадобится сделать VPN с сеткой из 192 подсети, в которой Вы не можете поменять адресацию, получите геморрой :)
Ответ написан
Комментировать
Diman89
@Diman89
Имейте ввиду, что узким местом 99% станут имеющиеся микроты - какие именно вы не написали. Провайдерский влан избавляет вас от этой проблемы - трафик шифровать "не нужно".
А так - можно по классике, l2tp+ipsec
Ответ написан
CityCat4
@CityCat4 Куратор тега VPN
//COPY01 EXEC PGM=IEBGENER
IPSec.

В центральном офисе настраивается коннект на все филиалы, в филиале только центр. Политик правда на филиальных микротиках придется написать по количеству филиалов - на каждом, чтобы понятно было, что пакеты туда нужно не в тырнет, а в туннель. Весь прочий трафик на филиальных роутерах идет на их провайдера.
Правда, центральный должен быть с аппаратным шифрованием, иначе уже пара туннелей его поставит в положение ротного пулемета.
Ответ написан
kolossradosskiy
@kolossradosskiy
Настрой пару офисов на простейшем протоколе PPTP, оцени устойчивость и скорость. Потом в любой момент перестроишь на устойчивое шифрование, если нужно. Генератор скриптов настройки для некротиков - https://t-ev.ru/mikrotik_pptp/ , там же и для ipsec найдешь.
Ответ написан
Комментировать
@the_vitas
Если везде белые ip от провайдера, строите ipip. Проще всего строится. Прописываете в настройках маршрутизации маршрут к сети филиала через этот тонель на главном микротике и обратно на филиальном и все тут же работает.
А вообще в первую очередь читайте про маршрутизацию что это, как работает и для чего нужна. Ибо без знания этого не вижу смысла лезть во всякие VPN тонели. Впн то поднимите, а почему не работает ничего, не поймете.
Ответ написан
Комментировать
@Ham2008
Вот тут насоветовали... попросить туннель L2 у провайдера... а если AS у провайдеров разные на разных офисах? сколько стоит vpls туннель сначала узнайте... не всякому крупному бизнесу это нужно и по карману...
Проще всего испоьзовать sstp+ospf.
Sstp он чем хорош... он через любые наты пролазит. И gre ему не нужен. Достаточно всего одного офиса с белым ip.

Все настраивается за несколько кликов. Если нужно ipsec, то нужно подумать, а нужен ли он? И если нужен, микротики брать с аппаратной поддержкой ipsec
Ответ написан
@gav_cat
Я для связки офисов использую EoIP. К нему можно прилепить и ipsec. Вроде как у eoip скорость и надёжность выше чем у у того же l2tp
Стоит учесть что провайдеры стали блокировать gre.
Тот же pptp без gre не работает.
Так же стоит понимать что сейчас у провайдерского vpn скорее всего отдельная скорость. Когда сами начнёте жить, думаю скорость резко просядет. И обиженный провайдер закроет gre.
Выход sstp он по 443 порту идет. Но на нем скорость ни какая вовсе.
Если везде белые ip то я бы попробовал eoip. Если нет белых, то можно pptp, а внутри eoip. Если поднимутся, значит gre работает.
Ответ написан
@Miriev
Если надо, могу прислать конфиг уже готовых филиалов. У меня на них работают 1 офис 9 филиалов. Без шифрования, pptp, не IPsec.
Ответ написан
@H_RR
Sysadmin
Делали объединении филиалов, очень похож на ваш случай.
Организовал нам все провайдер, сделал сеть уровня L2 без vpn, я как понял у вас тоже L2 но с vpn.
Вам просто нужно организовать сеть между филиалами уровня L2 от провайдера и занять жёсткую позицию без vpn, связь будет стабильная и быстрая. Не рекомендую уходить в сторону службы ovpn, pptp...
Ответ написан
Комментировать
@sergant_s
А что так все обошли ovpn??? Как по мне, то отличное решение и шустро работает. Делов то, создать сертификаты, задать сетку тоннелю, да прописать нат на клиентах.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы