Ansible может все. Если что-то выходит за рамки его возможностей, то пишется скрипт который он сможет запустить.
Описанные тобой задачи - точно может.
Более того, в ansible есть репозиторий с roles ( так сказать готовые сценарии установки какого-то софта), которые ты можешь скачать и добавить переменные под себя. https://galaxy.ansible.com/atosatto/docker-swarm
Выучить ansible стоит, но с наскока не получиться, надо почитать.
Если лень тратить время, то быстрее получиться все это засунуть в скрипт.
> У каждого микротика свой внешний айпи адрес
При использовании l2tp иметь белый IP достаточно только серверу, остальные клиенты могут иметь серый адрес
>и своя внутренняя подсеть,
Да, каждый клиент и центральный офис должны иметь свою внутреннюю подсеть которая не будет пересекаться с другими клиентами.
> айпи адреса по типу 10.12.1.1
В спецификации определены IP который рекомендую использовать внутри локальной сети. Да, просто выбирается практический любой адрес из списка богон сетей. Чаще всего использую адрес из диапазона 10.0.0.0/8. https://www.securitylab.ru/blog/personal/aodugin/3...
> Когда создается новый PPP Profile, в локальном адресе указывать так же чей адрес, адрес локальной сети микротика который например 192.168.0.1
В профиле указывается адрес который будет у микротика внутри VPN сети.
То есть,
Микротика центрального офиса
WAN: 1.1.1.1
LAN 192.168.10.1
VPN: 10.12.1.1
Микротик филиал 1
WAN: не важно какой
LAN 192.168.20.1
VPN: 10.12.1.2
Микротик филиал 2
WAN: не важно какой
LAN 192.168.30.1
VPN: 10.12.1.3
Соответственно, когда клиент из филиала 2 захочет подключиться к серверу в центральном офисе с адресом 192.168.10.100, то путь пакета будет таким. 192.168.20.10-192.168.20.1-10.12.1.3-10.12.1.1-192.168.10.1-192.168.10.100.
Адреса внутри L2TP нужны для настройки маршрутов, соответственно их лучше определить сразу, что бы потом не переписывать маршруты при смене адреса. Так можно запустить динамическую маршрутизацию, но об этом пока рано говорить)
> Подключение будет постоянно или нет?
Да, пока есть интернет.
> Получается же что микротик работает по туннелю и входит в локальную сеть центрального?
Не корректное описание. Тут надо понять, что такое L2 и L3 связанность. Внутри филиала в одной подсети ПК могут отправлять пакеты между собой напрямую минуя маршрутизатор. Получается, каждый филиал это L2 сегмент, что бы им общаться между собой необходимо организовать L3 связанность, эту задачу выполняет микротик по средствам построения VPN. Такое построение VPN называется site-2-site или lan-2-lan. Как будет ходить трафик в VPN определяешь ты с помощью маршрутов и ТЗ.
Andrey Barbolin, Не будем тянуть козу за вымя - так работать не будет. Максимум что можно, это разделить http и tcp на одном порту. Соответственно сайт и sstp оставить на 443, а openvpn вынести на 1194, либо использовать UDP для openVPN на 443 порту.
Drno, Есть такое дополнение к TLS, называется SNI, которое позволяет добавить в TLS пакет имя домена, на основании которого сервер понимает какой сертификат подсунуть клиенту. Но это функционал клиента, этим занимается браузер, но OpenVPN и SSTP так не умеют, соответственно вопрос тот же, как прокси должен понять куда перенаправить трафик?
так попробуй адрес TFTP сервера отдать по DHCP и посмотрим wireshark какой файл он просит для прошивки.