Unir dos redes con dos mikrotiks con dos enlaces diferentes

Iniciado por kama_wildfire, 17 Febrero 2016, 21:14 PM

0 Miembros y 2 Visitantes están viendo este tema.

kama_wildfire

buenas

He creado un entorno virtualizado con dos routers mikrotik y varios SO simulando la union de dos redes diferentes, el asunto realmente es que intento hacerlo teniendo dos caminos diferentes para unirlas, salida de los routers a internet, mediante una vpn y un radioenlace con dos quipos wifi puto a punto en modo bridge

adjunto el diagrama


http://imgur.com/wH9zTJA

De momento solo he hecho un ruteo estatico satisfactorio con los mikrotik ya que emular el entorno que quiero me es  imposible por que no dispongo de material ni de dos ip's publicas,adjunto la configuración provisional de los mikrotik.


http://imgur.com/qV2JDTB

supongo que lo que hice de momento es correcto,

La idea principal seria establecer la carga en el radioenlace, y si por algun motivo se encuentra off-line  pasar a utilizar la vpn.

Para gestionar ambos enlaces, lo correcto seria utilizar OSPF?
Puedo utilizar el cifrado L2TP para ambos enlaces junto a OSPF?
puedo derivar algun servicio por diferentes enlaces?
Necesito levantar interfaces virtuales para ello?
Tengo alguna opción para virtualizar lo mas parecido posible al diagrama solo con el server y un equipo, me refiero a a la vpn con ips publicas y un radioenlace emulado.



Muchas gracias al foro hacker.net, espero aprender pronto y poder aportar mi granito de arena a la comunidad , ya que de momento estoy muy verde en conceptos : (.

Un saludo !

andavid

La idea principal seria establecer la carga en el radioenlace, y si por algun motivo se encuentra off-line  pasar a utilizar la vpn.

Para gestionar ambos enlaces, lo correcto seria utilizar OSPF?
Puedo utilizar el cifrado L2TP para ambos enlaces junto a OSPF?
puedo derivar algun servicio por diferentes enlaces?
Necesito levantar interfaces virtuales para ello?
Tengo alguna opción para virtualizar lo mas parecido posible al diagrama solo con el server y un equipo, me refiero a a la vpn con ips publicas y un radioenlace emulado.

Si quieres usar OSPF y dejar el radioenlace como principal entonces el costo que debes asignarle en el router sera menor que el de la VPN. 2) Supongo que el el cifrado L2TP lo vas a hacer validando contra el servidor CT que tienes en el diagrama, en cuyo caso no veo porque no puedas implementar ambas cosas, es mas al momento de hacer la VPN tendrias que poder. 3) Para derivar los servicios probaste implementando VLANS? 4) Lo que no me queda claro es para que necesitas las IPS publicas, supongo que como lo estas pensando es que vaya el radioenlace como principal y la VPN como backup pero usando otro medio de comunicacion u otro radionelace. Es correcto?


kama_wildfire

Gracias andavid por la rapida respuesta.

La explicacion a todo esto se encuentra en que las dos redes estan en dos edificios distintos, cada uno dispone de su cpd con sus servidores etc, la idea es eliminar el cpd de MT  y centralizarlo en el edificio CT.

Aprovechando la visión directa de ambos centros queria montar un radio enlace y configurar los routers para obtener alta disponibilidad, ya que una antena puede fallar o simplemente bajar mucho la velocidad en condiciones metereologicas adversas entonces poder utilizar el enlace de vpn mediante el internet de los dos centros y de esta manera no perderia la conexión con el server, de ahi lo de las dos ip's publicas, por que el montaje real seria con las ip's WAN de CT y MT.

lo de derivar los servicios (puerto (8080) es para que los ordenadores que se encuentran en MT salgan a internet por su internet (MT) i no el de CT ya que tiene soportar gran carga por que en la red CT también hay pc's y asi equilibraria los consumos (no se si este concepto seria correcto) o equilibrar y hacer un bonding con las 2 wans, creo que seria un error ya que sobrecargaria mucho el radioenlace, en el que aproximadamente obtendra 500 mb de ancho.

No se si mi planteamiento es el adecuado en este caso, o si existe alguna configuración mejor.

No acabo de entender lo del costo, nunca configuré OSPF.

mi idea era validar con el server y cifrar aún mas los dos enlaces de router a router ya que quizá es el punto mas vulnerable de la instalación.


Necesito consejo muchas gracias :D

andavid

Resumiendo un poco, cada router del sitio va a tener su salida WAN independiente, y a su vez quieres cerrar el anillo
poniendo un radio enlace para que en una eventual caida de alguna de las WAN el servicio quede funcionando. Si es asi,
lo de "derivar los servicios" no tiene problema ya que si cada LAN tiene su wan no se va a ver afectado, lo que asignas
son VLANS en cada switch para identificar la red con su edificio. Lo del costo OSPF se configura en el router, a menor costo
mayor prioridad y a mayor costo menos prioridad, entonces, si alguna de las WAN cae, inmediatamente con OSPF el trafico
pasa al enlace de menor prioridad (en este caso el radio enlace), y como te dije antes el cifrado L2TP lo haces contra el servidor
que seria el ubicado en MT y tambien el que tiene el ancho de banda mas robusto.


kama_wildfire

El servidor estaría en CT.

El radioemlace seria el proncipal en casinde caida del mismo entonces utilizaria el enlace mediante wans

Es necesario ospf o simplemente con la creacion de vlans ya seria suficiente para gestionar ambos enlaces?

Debo darle el mismo nombre a las vlans en las interficies diferentes?

andavid

1) No importa donde este el servidor, se puede hacer la validacion L2TP
2) El radioenlace es el backup ya que una vez se tengan las dos direcciones publicas por parte de un proveedor se monta la VPN y ese es el principal, en caso de caida el radioenlace pasa a ser el principal.
3) OSPF es necesario para cuando se caiga un enlace pase al otro. Lo de las VLANS es para tener un orden en la subnet asignada para cada sitio en el switch, luego el router encapsula lo que recibe del switch y lo saca hacia la WAN.


kama_wildfire

Pero es mas interesante que el backup sea vpn ya que el radioenlace tendra mas ancho de banda, aun que se utilice el radioenlace, podra ir cifrado contra el servdiro sin alterar elnservicio no?


Enviado desde mi iPhone utilizando Tapatalk

andavid

Por ahora se puede implementar asi, yo pense que lo de la VPN iba a hacer el principal no solo por la conectividad entre los dos sitios si no por la salida a internet, pero si el enlace va a hacer solo MPLS entonces si se puede hacer asi.