[cameron]

Цитата djmaloy:

Windows Server 2008R2 Forefront TMG 2010 (VPN PPtP) WAN Failover »

AFAIK там только Source NAT failover и ничего больше.

Цитата djmaloy:

Может кто подскажет решение моей проблемы, или поделится опытом как делает данную процедуру он? »

у нас параллельно с ISA стоит Juniper, который занимается IPsec STS с филиалами, а ISA только NAT'ит наружу и служит VPN сервером для удалённых клиентов.
соот-но что бы клиенты с филиалов шли в интернет через ISA\TMG их нужно туда роутить, к примеру у Cisco это называется Source-based routing, у Juniper - Filter Based Forwarding, что-то похожее должно быть и у Microtik ну и плюс TMG Client, для идентификации.

Цитата djmaloy:

По умолчанию, инет раздает микротик через шлюз провайдера, и ограничивает его встроенный фаерволл, »

Цитата djmaloy:

Далее необходимо установить соединение с офисом так чтобы весь трафик филиала маршрутизировался через центральный офис и управлялся правилами Forefront. »

вот этот момент я не поняла, определитесь.

Цитата djmaloy:

В случае падения основного канала, соединение с офисом должно проходить по резервному каналу, и когда поднимается основной оно должно тоже переключаться. В случае падения двух каналов, весь трафик идет через шлюз провайдера в обычном режиме. Таким образом реализовываем отказоустойчивость. В случае проблем в офисе, филиалы продолжат работать с базой и 1с, которая стоит за пределами офиса, предположим в облаке дата центра. »

у Cisco, по-моему, это называется IP SLA, у Juniper этого можно добиться с помощью rpm probe.

[djmaloy]

cameron, по поводу раздачи инета в уделенных филиалах, хотелось бы обеспечить некую отказоустойчивость без установки дополнительного оборудования...

Ситуация такая, что на микротике настроен впн канал до офиса, и когда он активен, весь инет идет через офис, а когда связи до офиса нет, соответственно шлюзом по умолчанию становится соединение с провайдером, тоесть весь трафик маршрутизируется микротиком через шлюзы провайдера, а не через тунель. таким образом обеспечиваем отказоустойчивость в филиалах. не раз в офисе бывало что нет инета целый день, если все завязать на центральный офис то в этот день продажи встанут.

поэтому сетку нужно завязать на офис, но с возможностью резервирования канала скажем так....
да и управлять уже становиться иногда тяжело, проще когда все в одном домене и сети...

вот и спрашиваю практического совета, кто как такие вещи делает, я столкнулся с этим впервые, теория есть, практики увы маловато... а времени на эксперементы нет. да и хочется все сделать по уму, чтобы работало....

[cameron]

Цитата djmaloy:

cameron, по поводу раздачи инета в уделенных филиалах, хотелось бы обеспечить некую отказоустойчивость без установки дополнительного оборудования... »

а где я говорила о дополнительном оборудовании?

Цитата djmaloy:

не раз в офисе бывало что нет инета целый день, если все завязать на центральный офис то в этот день продажи встанут. поэтому сетку нужно завязать на офис, но с возможностью резервирования канала скажем так.... да и управлять уже становиться иногда тяжело, проще когда все в одном домене и сети... вот и спрашиваю практического совета, кто как такие вещи делает, я столкнулся с этим впервые, теория есть, практики увы маловато... а времени на эксперементы нет. да и хочется все сделать по уму, чтобы работало.... »

это всё понятно, вариант решения я вам написала.
извините, но читать за вас документацию к микротику для поиска необходимого функционала у меня нет никакого желания.

[djmaloy]

cameron, документация к микротику изучена, по поводу оборудования на точках хочется ограничиться лишь микротиком и все...
в офисе хочется тоже минимум софта и железок.

[cameron]

Цитата djmaloy:

по поводу оборудования на точках хочется ограничиться лишь микротиком и все... »

и что, у микротика нет source-based-routing?

Цитата djmaloy:

в офисе хочется тоже минимум софта и железок »

больше чем у вас сейчас и не надо.

[Tonny_Bennet]

Цитата djmaloy:

необходимо установить соединение с офисом так чтобы весь трафик филиала маршрутизировался через центральный офис и управлялся правилами Forefront. »

А для чего вам интернет-трафик филиалов гонять через основной офис?

Цитата djmaloy:

В случае падения основного канала, соединение с офисом должно проходить по резервному каналу, и когда поднимается основной оно должно тоже переключаться. »

Возможно одновременно поднять два VPN тунеля и сделать маршруты через них с разной метрикой. При падении одного канала трафик подйёт по следующему.

Цитата djmaloy:

В случае проблем в офисе, филиалы продолжат работать с базой и 1с, которая стоит за пределами офиса, предположим в облаке дата центра. »

А до облака они как достучатся?

Цитата djmaloy:

Пробывал делать соединение PPtP с микротика на ису, пинги в локальную сеть офиса шли, клиенты за микротиком видели локалку офисную без проблем. Но вот в обратную сторону к сожалению нет. »

Отсутствовал обратный маршрут или где-то работал NAT.

Цитата djmaloy:

Может кто подскажет решение моей проблемы, или поделится опытом как делает данную процедуру он? »

Я недавно задался вопросом не просто подключением филиалов к главному офису, но и связью филиалов между собой. Чтобы не плодить тунели pptpd пришёл к единому решению на базе tinc. Вот тема, в которой всё обсуждалось.

Вам она может не подойти т.к. вы исползуете аппаратные маршрутизаторы, а tinc по-моему только программное решение.

[cameron]

Цитата Tonny_Bennet:

А для чего вам интернет-трафик филиалов гонять через основной офис? »

что бы TMG'ой разруливать

Цитата Tonny_Bennet:

Возможно одновременно поднять два VPN тунеля и сделать маршруты через них с разной метрикой. При падении одного канала трафик подйёт по следующему. »

можно и так, а можно и OSPF или RIP (прости Господи).

Цитата Tonny_Bennet:

А до облака они как достучатся? »

дык переключат шлюз

[djmaloy]

Tonny_Bennet, отвечаю по порядку:

1. интернета в филиалах быть вообще не должно, никакого, только когда падает канал с офисом оставить им доступ стучаться по рдп на определенные ипы, оставить почту и на том же ипе 80тый порт для доступа к веб ресурсам
но не всегда это нужно, иногда в удаленных филиалах нужно поискать сотрудника на работу, или какую то информацию связанную с работой, к сожалению все нужные ресурсы в правила не запихнешь, никогда не знаешь что может понадобиться а что нужно прикрыть... поэтому чтобы не ставить там городушки, проще поднять тунель и через тунель пускать трафик в офис, где его маршрутизировать и натить в инет исой, или tmg по корпоративным правилам

2. на счет два тунеля я думал, поднять оба ван порта в офисе, вот я и думаю что проще докупить еще один микротик и поставить его в офисе для этих целей, как раз у него будет два ван порта и туда будут стыковаться тунели, в случае падения одно трафик пойдет по другому с помощью метрик это да.....

тогда тут придется ввести метрику третьего уровня, когда оба тунеля не активны. например в головном нет электричества, все оборудование в отключке...

3. под облаком понимается некий дата центр, который стоит далеко от головного офиса, до него они стучат без проблем минуя офис сейчас....

4. Я стыковал так, на TMG настривал VPN Сервер, раздавать адреса клиентам говорил через DHCP офиса, микротик выступал клиентом, где создавался маршрут по умолчанию в тунель, так как на станциях что стоят за микротиком шлюзом выступал микротик, а микротик уже свой трафик гонял по тунелю, я с рабочей станции филиала отлично видел всю локалку в офисе.... попытки прописать статические маршруты на исе, что все запросы на подсеть 192.168.2.0 пропускать через 192.168.1.150 (например это адрес который получал микротик) ничем не заканчивались, трафик просто не шел....
при попытки выдавать ипы VPN клиентам с диапазона 192.168.0.х с удаленного офиса локалка не просматривалась, видимо что то с маршрутами....

5. У меня тоже стоит вопрос не просто завязать филиалы на центральный офис, но и чтобы они видели друг друга.... Такую реализацию позволяет сделать микротик, почему то к этому я плавно и иду, что надо ставить железные маршрутизаторы

cameron, все верно говорите! именно так я и думаю... тоже думал RIP поднять, но с TMG он как то криво заработал, и маршруты не поднимались

[cameron]

Цитата djmaloy:

4. Я стыковал так, на TMG настривал VPN Сервер, раздавать адреса клиентам говорил через DHCP офиса, микротик выступал клиентом, где создавался маршрут по умолчанию в тунель, так как на станциях что стоят за микротиком шлюзом выступал микротик, а микротик уже свой трафик гонял по тунелю, я с рабочей станции филиала отлично видел всю локалку в офисе.... попытки прописать статические маршруты на исе, что все запросы на подсеть 192.168.2.0 пропускать через 192.168.1.150 (например это адрес который получал микротик) ничем не заканчивались, трафик просто не шел.... при попытки выдавать ипы VPN клиентам с диапазона 192.168.0.х с удаленного офиса локалка не просматривалась, видимо что то с маршрутами.... »

facepalm