Какой способ построения VPN выбрать для 40 Mikrotik и Keenetic?

Question

[Nday001]

Имеется 40 удалённых локальный сетей. На границе каждой сети стоит роутер Mikrotik RB941-2nD-TC или Keenetic City KN-1510. Провайдер выдаёт белые статические адреса по всем точкам подключения.
Нужно построить Site to Site VPN, обединив все локальные сети.
Какой протокол для построения VPN выбрать, для обеспечения удобного администрирования сети и достаточной отказоустойчивости?

P. S. Ipsec, openvpn, pptp с шифрованием не рассматриваю ввиду недостаточно производительного оборудования для шифрования.

Comments

[nApoBo3]

Если у вас не будет шифрования и везде белые ip зачем вам вообще туннели?

[Wexter]

я так понимаю какой-то центральной точки с мощным роутером не существует и хотите чтобы каждый с каждым поднимал?

[Nday001]

nApoBo3, туннели, чтоб использовать внутреннюю адресацию локальных сетей, использовать внутренний DNS и.т.п. А шифровать можно и end-to-end (https, например, или ipsec между двумя машинами в локальных сетях)

[nApoBo3]

Nday001, сделайте маршрутизацию через публичные адреса.
В данном случае туннель добавит вам инкапсуляцию трафика и дополнительный туннельный адрес. Нет никакой разницы использовать данный адрес или публичный адрес точки. А инкапсуляция без сокрытия трафика тоже не очень большой смысл имеет, только если вас по середине будут блочить может помочь, но при публичных адресах такого быть не должно.
Есть один вариант когда это может быть нужно, если вы хотите сделать l2 туннель, но насколько я понял это не ваш случай.

Answer 1

[CityCat4]

ну разве что l2tp без шифрования тогда.

Хотя мне непонятно, как можно строить сеть на дишманском говне и что-то от нее ожидать... Но это так, мое imho

Comments

[Nday001]

Почему L2TP, а не GRE, например?

[Nday001]

poisons, в консоли умеет и это хорошо работает.

[CityCat4]

Nday001, Потому что я никогда не интересовался туннелями без шифрования и сказал первое, что пришло в голову. Если уже есть готовый вариант - зачем спрашивать?

Answer 2

[d-stream]

Провайдер выдаёт белые статические адреса по всем точкам подключения

Именно провайдер в единственном числе? Тогда стоит пообщаться с провайдером на предмет объединения сетей его возможностями. Притом это может оказаться и экономически выгодным. К примеру достаточно давно несколько площадок платили за l2vpn 100мбит/с несколько меньше чем за 10мбит/с "интернета".

Comments

[Nday001]

Согласен, что такой вариант возможен. Но в данном случае, оборудование уже приобретено. Вопрос только в том, что выбрать L2TP(PPTP) или GRE(IPIP)?
К тому же, я понимаю, что мне придётся управлять сетью и применять всякие костыли, типа НАТа в другую подсеть итд.

[d-stream]

Nday001, приобретенное оборудование будет заниматься выходом в интернет и прочим.

А так - что мешает провести натурные испытания подняв разные виды туннелей и собирать реальную информацию под нагрузками.

p/s/ вначале изобретать объединение сетей воедино, а потом натить их друг в друга - imho извращение

[АртемЪ]

Nday001,

К тому же, я понимаю, что мне придётся управлять сетью и применять всякие костыли, типа НАТа в другую подсеть

Ну управлять сетью вам никто не запрещает, но NAT то вам внутри локальной сети зачем?

[d-stream]

на что я подписался и какие последствия могут быть.

традиционный лентяйский вариант "шобы изолировать")

[Ziptar]

Nday001, тащем-то, если провайдер действительно один - трясти его на тему vlan, и никакие впн не нужны будут