Соединяем филиалы в офисную сеть
 

Доброго времени суток уважаемые. Возник у меня следующий вопрос, если честно уже голову себе сломал как реализовать сию идею, так как способов много. Итак начнем с постановки задачи.
Имеем центральный офис
LAN 192.168.1.0/24
WAN1 193.32.x.x
WAN2 87.241.x.x
Windows Server 2008R2 Forefront TMG 2010 (VPN PPtP) WAN Failover

Ряд филиалов с белыми и серыми ИП адресами. В каждом филиале планируется замена маршрутизаторов на Mikrotik RB750.
Локальные подсети филиалов будут идти в диапазоне 192.168.X.0/24 где Х будет числом от 2 до 254 по номеру филиала будет подсеть.
За микротиками что будут стоять в филиалах будет от 1 до 3-5 устройств, которым нужен выход в интернет.

По умолчанию, инет раздает микротик через шлюз провайдера, и ограничивает его встроенный фаерволл, на микротике поднят DHCP сервер, которые вещает адреса в сеть филиала, и в своих параметрах передает различные опции на клиенты.

Далее необходимо установить соединение с офисом так чтобы весь трафик филиала маршрутизировался через центральный офис и управлялся правилами Forefront. В случае падения основного канала, соединение с офисом должно проходить по резервному каналу, и когда поднимается основной оно должно тоже переключаться. В случае падения двух каналов, весь трафик идет через шлюз провайдера в обычном режиме. Таким образом реализовываем отказоустойчивость. В случае проблем в офисе, филиалы продолжат работать с базой и 1с, которая стоит за пределами офиса, предположим в облаке дата центра.

Соединение с офисом происходит на уровне ISA и Mikrotik. Нужно все это для того, чтобы машинки авторизовывались в домене, видели файловые шары, работал WDS, WSUS, SCCM и прочее.
Пробывал делать соединение PPtP с микротика на ису, пинги в локальную сеть офиса шли, клиенты за микротиком видели локалку офисную без проблем. Но вот в обратную сторону к сожалению нет. Попытка прописать маршруты ничего хорошего не принесла. Организовывал STS через IPSEC но сеть пингуется только из офиса в удаленную сеть, с удаленки в локалку пинги не идут.


Может кто подскажет решение моей проблемы, или поделится опытом как делает данную процедуру он?

AFAIK там только Source NAT failover и ничего больше.
у нас параллельно с ISA стоит Juniper, который занимается IPsec STS с филиалами, а ISA только NAT'ит наружу и служит VPN сервером для удалённых клиентов.
соот-но что бы клиенты с филиалов шли в интернет через ISA\TMG их нужно туда роутить, к примеру у Cisco это называется Source-based routing, у Juniper - Filter Based Forwarding, что-то похожее должно быть и у Microtik ну и плюс TMG Client, для идентификации.
вот этот момент я не поняла, определитесь.
у Cisco, по-моему, это называется IP SLA, у Juniper этого можно добиться с помощью rpm probe.

cameron, по поводу раздачи инета в уделенных филиалах, хотелось бы обеспечить некую отказоустойчивость без установки дополнительного оборудования...

Ситуация такая, что на микротике настроен впн канал до офиса, и когда он активен, весь инет идет через офис, а когда связи до офиса нет, соответственно шлюзом по умолчанию становится соединение с провайдером, тоесть весь трафик маршрутизируется микротиком через шлюзы провайдера, а не через тунель. таким образом обеспечиваем отказоустойчивость в филиалах. не раз в офисе бывало что нет инета целый день, если все завязать на центральный офис то в этот день продажи встанут.

поэтому сетку нужно завязать на офис, но с возможностью резервирования канала скажем так....
да и управлять уже становиться иногда тяжело, проще когда все в одном домене и сети...

вот и спрашиваю практического совета, кто как такие вещи делает, я столкнулся с этим впервые, теория есть, практики увы маловато... а времени на эксперементы нет. да и хочется все сделать по уму, чтобы работало....

а где я говорила о дополнительном оборудовании?это всё понятно, вариант решения я вам написала.
извините, но читать за вас документацию к микротику для поиска необходимого функционала у меня нет никакого желания.

cameron, документация к микротику изучена, по поводу оборудования на точках хочется ограничиться лишь микротиком и все...
в офисе хочется тоже минимум софта и железок.

и что, у микротика нет source-based-routing?
больше чем у вас сейчас и не надо.

А для чего вам интернет-трафик филиалов гонять через основной офис?

Возможно одновременно поднять два VPN тунеля и сделать маршруты через них с разной метрикой. При падении одного канала трафик подйёт по следующему.

А до облака они как достучатся?

Отсутствовал обратный маршрут или где-то работал NAT.

Я недавно задался вопросом не просто подключением филиалов к главному офису, но и связью филиалов между собой. Чтобы не плодить тунели pptpd пришёл к единому решению на базе tinc. Вот тема, в которой всё обсуждалось.

Вам она может не подойти т.к. вы исползуете аппаратные маршрутизаторы, а tinc по-моему только программное решение.

что бы TMG'ой разруливать =)
можно и так, а можно и OSPF или RIP (прости Господи).
дык переключат шлюз =)

Tonny_Bennet, отвечаю по порядку:

1. интернета в филиалах быть вообще не должно, никакого, только когда падает канал с офисом оставить им доступ стучаться по рдп на определенные ипы, оставить почту и на том же ипе 80тый порт для доступа к веб ресурсам
но не всегда это нужно, иногда в удаленных филиалах нужно поискать сотрудника на работу, или какую то информацию связанную с работой, к сожалению все нужные ресурсы в правила не запихнешь, никогда не знаешь что может понадобиться а что нужно прикрыть... поэтому чтобы не ставить там городушки, проще поднять тунель и через тунель пускать трафик в офис, где его маршрутизировать и натить в инет исой, или tmg по корпоративным правилам

2. на счет два тунеля я думал, поднять оба ван порта в офисе, вот я и думаю что проще докупить еще один микротик и поставить его в офисе для этих целей, как раз у него будет два ван порта и туда будут стыковаться тунели, в случае падения одно трафик пойдет по другому с помощью метрик это да.....

тогда тут придется ввести метрику третьего уровня, когда оба тунеля не активны. например в головном нет электричества, все оборудование в отключке...

3. под облаком понимается некий дата центр, который стоит далеко от головного офиса, до него они стучат без проблем минуя офис сейчас....

4. Я стыковал так, на TMG настривал VPN Сервер, раздавать адреса клиентам говорил через DHCP офиса, микротик выступал клиентом, где создавался маршрут по умолчанию в тунель, так как на станциях что стоят за микротиком шлюзом выступал микротик, а микротик уже свой трафик гонял по тунелю, я с рабочей станции филиала отлично видел всю локалку в офисе.... попытки прописать статические маршруты на исе, что все запросы на подсеть 192.168.2.0 пропускать через 192.168.1.150 (например это адрес который получал микротик) ничем не заканчивались, трафик просто не шел....
при попытки выдавать ипы VPN клиентам с диапазона 192.168.0.х с удаленного офиса локалка не просматривалась, видимо что то с маршрутами....

5. У меня тоже стоит вопрос не просто завязать филиалы на центральный офис, но и чтобы они видели друг друга.... Такую реализацию позволяет сделать микротик, почему то к этому я плавно и иду, что надо ставить железные маршрутизаторы

cameron, все верно говорите! именно так я и думаю... тоже думал RIP поднять, но с TMG он как то криво заработал, и маршруты не поднимались

facepalm

знаю.... разбираться некогда было, в этот день канал отваливался каждый 3 -5 минут в итоге эту идею я забросил.....
так как под мои задачи она не очень подходит....

Самое реально решение это IPSEC тунель, два тунеля для разных WAN с разными метриками.....

Возможно, но я бы настраивал VPN site-to-site на пограничном маршрутизаторе (BGW)
При падении канала между офисом в филиалом, клиенты филиала перестают получать адреса и даже печать по сети работать не будет. Как мне кажется роль DHCP сервера должна быть локализована внутри автономной группы комптютеров.

Отлично, что система поднялась....

К сожалению (или к счастью :)) я давно не работал с сетевыми службами в Windows, но как мне помнится в настройках можно было указать сеть (галочка использовать статическую маршрутизацию). Система сама добавляла маршрут когда этот пользователь подключался по VPN:




Мне кажется выдавать удалённым клиентам адреса локальной сети не совсем правильно. Хотя я могу ошибаться.

Цитата:

Цитата cameron facepalm »

:yes: