Допоможіть з вибором обладнання для офісу

[Туйон 1 087]

Все нормально там у микротика. Есть разные способы, да. 

Но 2011 уже в утиль. 

[linkar 59]

В 03.05.2023 в 14:18, ikuferu сказал:

Доброго дня. Потрібно обладнання для офісу до 20 машин.

 

1) Є два провайдера в 1 та 2 з статичними PPPoE підключеннями.

2) Потрібно обладнання щоб автоматично переключався з одного провайдера  на іншого у випадку відключення.

3) Маємо два внутрішні влани, 1 влан для виходу в інтернет, 2 влан для обладнання без виходу в інет. ( Але є декілька машин з 1 влана які будуть ходить до 2 влану )

4) Також між основним маршрутизатором та віддаленим офісом побудований IP sec. 

Потрібно основний маршрутизатор та свічі для розв'язки внутрішньої мережі та роутери для WI-FI.

 

 

Строим с нового чужое или строим для себя?

1, 2, 4 - на 2x100 мбит вполне хватит hap ac^2 (чуть быстрее чем упомянутый выше hex s, а стоит заметно дешевле). Если  нужно больше, если уж брать - так уже 5009-й (по цене не сильно ушел от 4011, но он уже закроет все офисные кейсы, как роутер).

На ppp вешаются скрипты, которые будут дописывать/убирать правила роутинга и фаерволла, передергивать тоннели. Дальше основной скрипт по планировщику заданий будет проверять доступность и  переключать маршруты с одного интерфейса на другой.

На коммутацию надо взять нужное количество свитчиков, управляемых L2, но лучше сразу гигабитные. Так как одних хостов два десятка, то одного 24-х портового будет маловато, а на больше портов уже с кулерами, т.е. шумят. Требований к ним немного - щелкать вланы в основном. Под wifi - если нужно чисто мобилки посадить, то берем домашние роутеры в качестве ап (из серии дешево и сердито), если нужно именно поработать (ноуты и прочее) - то радиоразведка и какие нибудь рукусы со вторички.

[linkar 59]

41 минуту назад, nvr сказал:

Якось печально з подібним функціоналом в мікротіка.

Тоді вже тазік з трьома мережевими, debian і load balancing.

І не треба ліпии скріпти для переключення.

В смысле печально? Точно такой же дуалван, тот же iptables (только в обвертке), тот же роутинг. Только коробочка махонькая, жрет мало, живет на 12v/7.2Ah много часов.

[vlin 42]

6 часов назад, Alver сказал:

Сейчас как раз у меня стоит задача сделать ДВА 1Г канала внешних в Интернет ( две разных IP сети и соответственно gateway-  далее NAT в серые адреса) в режиме дублирования ( горячего резерва )- то есть работает основной , если он упал то автоматом поднимается второй. Гуглить я могу и вникать в вопрос тоже.  Но может быть у кого есть готовый конфиг , решающий эту задачу для  RB4011 или  RB2011. Поделитесь пожалуйста.

Дефолт резервного каналу має бути більше 1. Якщо це статика то вказуєте при додаванні. Якщо отримуєте по dhcp, то в клієнті вказуєте в параметрі Default routing distance
На основний канал списуєте маршрут до, наприклад, 8.8.4.4 (можна і до адреси провайдера, але якщо впаде у нього аплінк то ваш канал фактично робити не буде)

/ip route add dst-address=8.8.4.4 gateway=<main_isp_gw>

Додаєте рекурсивний маршрут через 8.8.4.4

/ip route add check-gateway=ping gateway=8.8.4.4
check-gateway=ping - активує механізм полінгу шлюза, кожні 10 сек виконується пінг і після двох невдалих перевірок (20сек) маршрут деактивується. Але перевірки виконуються далі і при вдалій перевірці маршрут стає активним.
І в файерволі треба заборонити вихід пакетів на 8.8.4.4 через резервний канал.

/ip firewall filter add chain=output dst-address=8.8.4.4 out-interface=<interface_reserv> action=drop

Більш складну логіку або інші інтервали перевірки можна реалізувати скриптами в netwatch або scheduler

[Alver 334]

Спасибо ! Будем пробовать. 

[linkar 59]

Я тут гит принес, оставлю как пример https://github.com/vikilpet/mikrotik-interface-check - на семерку возможно надо переделать, но там где дуалван у меня стоит - там шестерка, поэтому не заморачивался.

Суть - скрипт проверяет доступность хостов пингом и что-то там делает по результату. Ну, т.е. маршрут переключить, конекшн трекер сбросить и все в таком духе.

 

PS: в смысле переделать скрипт: не синтаксис, а логику - может где изменили что. Хотя внешне должно работать, скрипт прост как валенок. Есть более продвинутый вариант, там критерий на переключение - процент потерь. Да и вообще, можно гонять ping speed как контроль за каналом, но как показывает опыт - обычно провайдер либо работает, либо нет, усложнение логики не всегда оправдано.

Відредаговано 2023-05-08 11:15:13 linkar

[scaran 1]

Juniper SRX240H2POE (є моделі і без рое)
Juniper SRX550
Тобі файрвол, роутер, іпсек молотилка (срх240 пережує десь 250мбіт іпсека на sha-384+dh group20, срх550 десь під 1гбіт) і рое коммутатор в одному девайсі. Або більш кучеряву модель SRX550. На ебеях коштує копійки (навіть дешевше нового мікрота), а по функціоналу дрючить всіх і вся.

[carver 76]

о, раз Juniper вспомнили, кто-то в курсе, как mx5 в mx80 переделать. ну там за 300USD ?
видел тут пару спаммеров, на какрой-то A10 и пон, постоянно апают топики.

но продаванов Juniper - что-то не нагуглил.

[Юрка 91]

В 08.06.2023 в 00:43, carver сказал:

продаванов Juniper - что-то не нагуглил

пишите в лс

[netstriker 19]

55 минут назад, Юрка сказал:

пишите в лс

продавани Juniper дуже швидко відповідають))))))))))))))))

[Юрка 91]

В 05.04.2024 в 14:09, netstriker сказал:

дуже швидко відповідають))))))))))))))))

за всіма не услідиш)) не так часто тут буваю, тому краще в лічку пишіть якщо є потреба в обладнанні)

[fialka 0]

В 03.05.2023 в 21:21, Туйон сказал:

Что? UBNT? Давно они стали энтерпрайзом?

По теме - берите Микротик.

а є ще альтернативи мікротіку під таку заадчу?