Új hálózat Mikrotik-el

Hálózatok egyéb

Üdv fórumtagok,
Cégünknél "kidobtuk" a Cisco ASA routert és egy RB1100AHx4-t vettünk, mivel közel 200 VPN alhálózatot kell kezelni és a régi routerre már nincs support. Ezt ajánlották.
Van közel 8 fizikai Server amiből 2 VPS-ket futtat. Közel 5-8 gépenként.
Jelenleg még nincs semmi sem szétszedve és az új Router itt "pihen" mellettem.
Gondolom célszerű a szervereket a Routerre közvetlenülk rádugni mert célirányosabb lesz a kapcsolat és nem Switcheken jut el a csomag.
Szeretném a véleményeteket kérni, hogy merre induljak.
Ha van köztetek aki szakavatottabb a témában az kérem jelentkezzen.
Mivel az idő sürget és szeretném ezt mielőbb beüzemelni ezért ha valakinek van egy kis szabadideje és tudna nekem segiteni azt meghálálnám. Nem vatikáni valutában természetesen.

Előre is köszönöm!

  • 1661 megtekintés

VPN kódolásban nagyon kevés a különbség a kettő közt, tehát ha nem használják ki maximálisan a route-ing teljesítményt, akkor kevésbé éri meg a CCR
RB1100AHx4 - 256 tunnels AES-128-CBC + SHA256 2154.9 Mbps
CCR1009-7G-1C-1S+256 tunnels AES-128-CBC + SHA256 2658.9 Mbps
1400 bytos csomagméretnél.

Nagyon köszönöm a gyors választ.
Igen ez volt a második amit ajánlottak de végül az első mellett döntöttünk alapvetően hőmérsékleti megfontolások végett. Ennek passziv a hűtése ami az esetemben sokat jelent.
A távoli hálózatokkal IPSEC-VPN van már eleve kiépitve.
A tűzfal tekintetében tényleg semmi extra. Néhány portot kell megnyitni befelé a szerverek irányába.
A központban van egy 48-portos Switch amire minden rá van dugva. Nincs semmi sem túlbonyolitva és ezen szeretnék egy kicsit módositani.
Két ISP kapcsolatunk van amiből az egyiket teljesen kihasználja a VPN.
Gondoltam, hogy a szervereket más IP tartományba rakom de ezt nem tudom, hogy lehetséges-e.
Szeretnék egy olyan belső hálózatott amire dugok egy AP-t és az érkező vendégek azt használhatják. Ez a hálózat teljesen el lenne szeparálva az irodaitól.

https://www.tp-link.com/hu/download/TL-SL3452.html#Firmware , és a switch VLAN képes: https://www.tp-link.com/hu/products/details/cat-39_TL-SL3452.html#features A firmware frissítést nagyon erősen ajánlott megcsinálni. Bár igaz nem mai a firmware. Manual a switch-hez: https://cdn.cnetcontent.com/62/f8/62f8666e-7a5f-4a0c-bd22-312cdeabd0af.pdf

Ahogy irtak, ide vlanok kellenek.

Gyanitom a switch is vlan kepes. Elso korben dolgozd ki a Vlanokat. (Server, AP, klinesek, etc...)

Untaggedbe mehetnek a portok, ha nem akarsz klinesenkent vlanolni, bar szerintem zart helyen annak nincs sok ertelme.

Eszkozoket switch-re koss, ne routerre! Oda csak az menjen, amit kimondottan routeolni akarsz!

( akoscomp | 2018. 04. 17., k – 09:32 )

Az RB1100AHx4 nem switch, hanem router, ezért a switchinget szoftveresen oldja meg, hacsak nincs switch chip benne. Pont ez a model számomra nem hozzáférhető, ezért ezt én nem tudom.
Ezért a szerverek közt a switch-inget ajánlott switch-el megoldani, és a router route-ingra használni, illetve VPN-re.
Ez a router tökéletes IPSec VPN-re, talán 1 Gbps fölött képes kódolni a forgalmat, tehát ha ilyen sok VPN-t használtok, akkor azt érdemes használni.
Az IPSec-nek egyetlen nagy hátránya van (de lehet csak én nem találtam rá megoldást), hogy 1 publikus IP-ről 1 kapcsolatot tud létrehozni. Ez így, hogy szűkösen van IPv4 cím gond lehet, főleg ha mobil és otthoni hálózatból is lépnek be VPN-be, mivel ott egyre ritkább a publikus IP.

( Mortymer | 2018. 04. 17., k – 10:21 )

Tud valaki segíteni a Mikrotik konfigurálásában?

Ha írsz pontosabb speckót, helyszínt, neked alkalmas időpontot (akár privátban), akkor én - szabadidőm függvényében - szívesen.

----------------------------------^v--------------------------------------
"Probléma esetén nyomják meg a piros gombot és nyugodjanak békében!"

( elod v | 2018. 04. 17., k – 16:06 )

Ha nincs sok VLAN (és van elég port a Mikrotiken meg a switch-en) akkor nem bonyolítanám a router oldalán ezzel is. Minél egyszerűbb marad a Router konfigja annál egyszerűbb lesz hibát keresni majd.