У меня всё будет происходить на самом Межсетевом экране.
Кто-то запрещает сделать 4-6 бриджей?
SFP1 порт - это bridge1 подсеть 1.0/24
SFP2 порт - это bridge2 подсеть 2.0/24
SFP3 порт - это bridge3 подсеть 3.0/24
SFP4 порт - это bridge4 подсеть 4.0/24
Ipsec peer будет с /18 или /19 маской не важно.
Все во VLAN1
В чём проблемы? Это лучше чем все в одной подсети НО БЕЗ ЖОПАБОЛИ с влан.
AUser0, ну дак а если ты основным укажешь localhost он будет сам к себе обращаться, тот же х.
Правильно и так и так. В каждом способе есть минусы и плюсы.
Вот что ответил мне один уважаемый человек с хабра. Цитирую
"хочу отметить одну вещь:
почему иногда рекомендуется настраивать DC на самого себя.
контент DNS сервера хранится в AD. Соответственно он оттуда при старте и загружается
риск в схеме крест-накрест: Если контент DNS на DC1 будет отличаться от DC2 то у конкретного локального сервера произойдет расхождение в данных:
клиентские службы на нем будут видеть один DNS ответ а серверные, завязанные на AD, считать что он другой - это критично для работоспособности AD.
Риск в локальном DNS: сервер не сможет работать если у него не запустился DNS сервер, не будет работать репликация и связь с другими AD. Однако неработоспособность DNS по сути будет связана с проблемами в данных в AD
Оба риска завязаны на работоспособность зоны и синхронизации её, поэтому адресация - одна и та же: мониторинг, починка репликации, поддержание всей схемы работы AD в здоровом состоянии"
Записи DNS в AD хранятся в самом дереве домена, обмен ими идёт через внутренние алгоритмы синхронизации и запросы к DNS-серверу для этого не нужны. Обмен через DNS идёт только с недоменными серверами, если поднята "дополнительная зона" (slave).
Ну а где гарантия того, что эти алгоритмы успеют отработать когда у нас не перекрёстный способ, а параллельный?
А то что резолв не влияет это где написано?
Где написано что ПЕРЕКРЕСТНЫЙ это не правильно, а параллельный (сначала я потом сосед) - это правильно?
На Zywall у меня сделано так:
Центральное ЯДРО: подсети - 30.0/24 и 60.0/24
И удалённые 3 офиса: 25.0/24 55.0/24 и 20.0/24
Всё на чистом Ipsec.
Но адрес ПИРА центрального ядра у меня 192.168.0.0/18
Это как бы "секретная подсеть". За счёт неё у меня удалённые офисы всё видят друг друга и всё бегает.
Причём на ядре не нужно настраивать маршрутизацию (да она и не работает нихрена тока политики)
Как обстоит дело на Микротике? МОжно ли что-то такое провернуть или лучше сразу делать двойную GRE инкапсуляцию?