в след раз лучше писать комментарий на мой ответ, а том чудом увидел =)
5. Переключение настриваем так - есть два маршрута для клиентов с сразными метриками, меняем (скриптом или руками) вес маршрута - меняем тем самым канал интернета. При обрыве основного линка физически маршрут выключится автоматом и трафик пойдёт через триджи.
3. В итоге схема сети будет вот такая
а) Клиенты ходят через основной шлюз, скажем 192.168.0.254
б) На основном шлюзе (на 951 устройстве) есть два дефолтныйх маршрута, первый на шлюз основного канала, второй на новый адрес 912.
в) на локальном интерфейсе 951 и 912 создаём по новому адресу локальной сети из каго-нить узкого диапазона.
г) на 912 настраиваем маскарадинг для исходящего интерфейса - 3г модем.
В принципе вся фишка с доп адресами может и не понадобится, нужно для начала просто проверить так - указав во втором дефлтном маршруте на 951 в качестве шлюза обычный адрес из локальной сети 912 и проследить что-бы на последнем бул маршрут 0.0.0.0/0 где шлюз - 3г модем.
Сергей: 150-300 только карты с ac диапазоном routerboard.com/R11e-5HacD если брать всё остальное то реальный потолок, который я видел 100 мегабит дуплексом.
ii1234mi: тогда либо NAT (способ в соседнем ответе), либо на каждой клиентской тачке адрес из этой сети и делаем мост между вненим и внутренним миром - желательно в отдельный vlan - т.е. внешний порт в бридж с отдельным влан созданном на внутреннем интерфейсе.
Валентин: Мой встречный вопрос вполне конкретен, если вы дадите на него ответ, я постараюсь помочь вам.
А вопрос в спам потому, что он не имеет никакого практического смысла.
Ну вот представим что DIR-300 обеспечивает 99.9999% доступности и что? Он же работает не один. Теперь возьмём два таких же длинка в паре, какую доступность дадут они? А три, а если один длинк, а второй уже не длинк с известным уровнем доступности, подключим всё это проводами без известной степени доступности и запитаем от UPS без известного уровня доступности... и так далее.
Уровень доступности - это величина измеряемая, а не вычисляемая. Нельзя предсказать уровень доступности вашей инфрастуктуры в целом даже зная все уровни доступности всех составных частей.
Roman: ошибка вполне конкретная "Phase 1 proposals", возможно что у тик и джу разные понимания относительно "des" (у одного он явно классический, у второго может быть 3des), нужно поиграть с этим параметром. И обязательно нужно видеть лог второй стороны, иначе всё впустую. =)
xooler: один DHCP эт не самая лучшая затея, особенно если связь может разорваться. Как бы нет связи - нет раздачи адресов. По трафику могу сказать только после того как маршруты увижу. В классической схеме - просто должен быть маршрут на шлюз оператора. Для винбокса нужен Dnat на первом роутере.
xooler: такс, теперь к сути =) Что не так? Что смущает или не работает? Шифрование канал не просадит, там размер данных почти не меняется, а вот процы на девайсах нагрузит, но опят же если канал небольшой то и нагрузка тоже будет небольшая.
xooler: такс, если у вас один адрес сер, как снег в центре города - то выход поднять l2tp клиент и настроить l2tp сервер на белой стороне. Дальше этот туннель очень легко (в МК это встроенная поддержка) закрывается поверх IPSec.
Принцип тот же. Главное не городить туннель в туннеле и использовать разные сети, чтобы избежать пересечения, петель и бриджевания.
Кирилл: делаем блок правило. Потом начинаем внимательно изучать что и как настроено на форварде и на инпуте. Если трафик генерировало не что-то внутри - значит вас имеют батенька.
Евгений Быченко: neonox: ещё раз посмотрел на схему, думаю для "всенаправленной" будет проблема пробить широкий канал до здания сверху слева (там вроде как дистанция около 100 метров + препятствия, несмотря на 13 dBi антенну). Хотя не побывав на объекте (или не видя замеров) погу ошибаться в пессимистичную сторону.
neonox: по покрытию Ubi в лоб не скажу. Всё же лучше посчитать софтом или замерить силу сигнала после установки (или сейчас на здание поставить любую точку и замерять силу распространения сигнала).
Максим Чорнопольский: если создать влан на интерфейсе локального бриджа и добавить его в другой бридж с внешним интерфейсом.. всё будет работать как надо =) Это же Микротик! (с)
Максим Чорнопольский: создаёшь VLAN из винбокса, раздел Интерфейсы, указываешь ему ID, например 100. В качестве интерфейса для ВЛАНа указываешь локальный, потом этот VLAN в бридж с твоим внешним каналом, получается в VLAN в котором доступна твоя внешняя сеть. Если твоё железо пропускает такие пакеты, то на телефонах нужно указать в настройках интерфейса Enable Q \VLAN \PVID или что-то похожее, где в качестве ID или номера PVID указываешь номер - 100
