Это ж бизнес, где нужно диалог вести

Такие дела. Отказаться от клиента — не вариант. :(

стоп, а тупо поднять айписек и на удаленную айпишку загнать трафик роутом?

ну и замаскарадить заодно?

Так а айпишник чему назначать? Мосту? Пробовал, не поднялось.

неа, их айпишнику, к которому поднят айписек

Nat vnutri mikrotika. Ip /32 budet vnutri mikrotika

Cherez Loopback int

не понятно всеравно. адрес то мы назначим микротику. ТРафик то как направить? как роут должен выглядеть

Src/dest -> gateway loopback int. Nat chz interface loopback Poprobuy

Хм хм. Уже завтра.

Стоп. Петлю на самого себя что ли?

А никак не поднять снаружи хост, для которого можно много айпишников поднять? Из офиса на него, и клиенты тоже на него. Появится колено, но и хрен бы с ним.

Если бы. Это туннель на тестовый сервер одного сервиса. Мы туда вообще по rdp ходим.

Src/dest -> gateway loopback int. Nat chz interface loopback Poprobuy

ну пошлет он трафик на свой интерфейс. дальше то как трафик должен пойти? один хрен будет смотреть таблицу маршрутов

2 Ivor B. Dalshe ipsec so vsey obvyazkoy budet rabotat. nastroyki routinga- src ip loopbackA, dest budet interesniy nam host, na kot rdp podnyat. Nado narisovat sxemu. So vsemi ip i etapami chto/gde proisxodit budet. Eshe interesnee kak vse vozvrashatsya budet. Sorry za transliter.

^ vozvrashatsya- esli nado vxodyashie prinimat s toy storoni.

да думаю входящие с той стороны будут только ответами, тоесть дальше уже контрак на себя берет работу ?

Бросьте в меня умными словами, пойду в гугль

OSPF

а шо тут думать - пару тунелей и ОСПФ

Всё что не офисы — выделенные серверы

Ок, базиба

можно и BGP, но имхо - оверкилл

Лучше всего найти 2-3 точки с хорошим каналом интернета(будут опорными точками). к ним поднимать VPN с каждой точки(получится 2-3 тунеля на каждой точке). OSPF построит динамические маршруты.

второй вариант - EOIP между точками(опять же не помешало бы дублирующие) и потом эти каналы засунуть в MESH на микротиках. но роуты на локалки придеться писать руками

в втором варианте будет L2 доступ. Нужен ли это уже второй вопрос. если нужды в L2 нет то проще поподнимать SSTP тунели и поднять OSPF. Что бы сразу отдавало роуты на локалки ?

в втором варианте будет L2 доступ. Нужен ли это уже второй вопрос. если нужды в L2 нет то проще поподнимать SSTP тунели и поднять OSPF. Что бы сразу отдавало роуты на локалки ?

по-моему, чересчур усложняешь

туннели, оспф, профит )

eoip на обеих сторонах белую статику хочет

руками маршруты писать

по сложности реализации одинаково. просто роуты писать придется руками. А так что поднимать L2TP что EOIP одинаково по сложности.

один л2-сегмент, гонять бродкасты/мультикасты через инет

фуфу

тоже верно

не, тут на л3 всё оставлять

любой тип туннелей и оспф поверх )

я за это решение, более элегантно имхо

ну я всегда советую SSTP как самый провайдеро-устойчивый. HTTPS будут блокировать в последнюю очередь ?

ну я всегда советую SSTP как самый провайдеро-устойчивый. HTTPS будут блокировать в последнюю очередь ?

Из всего, что умеет мтик - только ovpn меньше пропускную даст при прочих равных

сстп я не люблю как раз за это - нагрузка на слабенькие 951е большая, постоянные tcp-ретрансмишны

в проц упрется?

да

если не шифровать то потянет ? . а так вроде шифрованого трафика тот проц дает около 20 мегабит

если говорить о L2tp и PPTP

Щаз дам подробностей

вот на всякий случай русская документация к ОСПФ

В общем, верхние блоки (всё что не офисы) — выделенные серваки в дц. Там KVM и виртуализированные серверы. Микротики тоже будут виртуализированные. В офисах микротики железные с одним белым IP на каждом. Мне нужно, чтобы из офисов были впн на два произвольных сервера в ДЦ, а серверы все между собой в кольцо связаны, чтобы при возможном падении одного связь не падала с другими.

Русская документация не нужна!

Александр, давай не будем тут илитарничать ?, не все в достаточной мере владеют английским что бы НЮАНСЫ понимать. лично мне удобней на русском читать ?

ее, открывалось же

акробат ридер и опера открывали

Александр, давай не будем тут илитарничать ?, не все в достаточной мере владеют английским что бы НЮАНСЫ понимать. лично мне удобней на русском читать ?

редко русская документация адекватно передаёт все нюансы

особенно если взять в руки любой референс по циске

ну тут микротик а не циска. и я этому НЕСКАЗАНО РАД ?. После циски настройка микротика как прогулка по теплому летнему пляжу ?

циска простая, чо вы )

надо просто долго читать маны

Я правильно понимаю, что мне для поставленной задачи необходимо сначала связать все микротики по схеме любыми туннелями и поднять OSPF, чтобы роутинги сами распространились?

и понимать технологию с самого низа )

ладно, не буду спорить, не о том тема ?

Санчез - грубо говоря да

ERROR: S client not available

EoIP даёт наименьший оверхед на камень, я правильно помню?

Да, но:

1. шифрование - прилеплять сверху

2. белая статика с обеих сторон

тебе надо поднять ВПНы, можно даже паутину(все со всеми). потом пойти в ROUTING-OSPF-NETWORKS и добавить по два диапазона адресов - тот через который связаны тики(ВПНы) и диапазон локалки(если надо отдавать роуты на локалку). всё, оспф работает. А дальше уже по мануалах его настраиваешь под себя.

1. IPSec? 2. сколько угодно.

1. IPSec? 2. сколько угодно.

можно ipsec, можно (и меньше в сумме нагрузки на проц) - пптп.

Кстати, вопрос на засыпку — кто-то реально встречался с митм на пптп?

мен из зе мидл?

пптп_сервер_ин_зе_мидл )

Меня тут напужали, что мсчап2 на пптп — лишняя трата проца, ибо всё-равно проламывается чуть-ли не калькулятором

mschap это вариант аутентификации же

а не шифрование

шифрование там mppe128 актуальное

ну, мсчап второй по умолчанию идёт с ммпе128

ну, мсчап второй по умолчанию идёт с ммпе128

вот нифига )

да тут скорей вопрос в том какие тики стоят в офисах, какие шифрования они потянут

это виндовые замашки у вас )

в обоих офисах стоят рб2011

2011 слабенько достаточно

ясно. шифрованого потянут не более 20 мсегабит ?

это если проц в 100 процентов. а ведь еще надо офис в интернет выпускать

ну, это пока как раз наш канал.

Какой брать под шифрование?

850 если денег нет

1100АН2 если денег больше

3011 если найдете. проц там без шифрования, но сам по себе достаточно быстрый

за полочные 3011 еще не слышал, може уже вышли. но RM(rack mount) уже давно есть

http://mikrotik.ru/katalog/katalog/hardware/routers/routerboard-1100ahx2 такой?

угу.

у 850 меньше портов и 550мгц ядро. у 1100 вроде 1 ггц на ядро

из минусов 1100 - шумный вентилятор. поэтому ставить только в серверную, в кабинете(если офис мелкий) не совсем желательно, пользователи проклянут ?