Всем привет!
В данный момент схема такая:
Офис PFSense (3 провайдера), 16 точек PFSense (1 провайдер) и 1 точка Mikrotik.
VPN настроен по протоколу OpenVPN на основной провайдер (ТТК), если в центральном офисе падает ТТК, то все точки сидят и ждут когда восстановится.
PFSense для меня крайне непонятен и неудобен, хочу перейти на Mikrotik, заменив в офисе и в 16 точках.
Вопрос у меня такой, реально ли сделать так, чтобы VPN переключался с основного провайдера на запасные и обратно, когда ТТК восстановится.
С микротиками толком не работал, но наслышан что они достаточно мощным функционалом обладают.
Подскажите куда смотреть, если это реально!

https://habr.com/ru/post/186284/

17 точек доступа?
Не уверен, что Mikrotik вытянет без проблем. Это все-таки SOHO.

(2) а в чем проблема что у нас 16 удаленных точек работает ?
Цель не проброс трафика, а чтобы когда падает ТТК, то точка автоматически цеплялась на VPN от РТ, а когда ТТК восстанавливался, то обратно

(2) кто заставляет покупать только soho?
https://mikrotik.ru/katalog/katalog/hardware/routers/operator

Думал в офис брать такой
MIKROTIK RB1100AHx4 Dude Edition
а в точках MIKROTIK hEX

Тьфу ты. Я думал 17 wi-fi access point

(3) Ну так это и без всяких микротиков сделать можно.

(8) Утибозечки, какой милый ручной ботик

(0) Это сделать реально! Я так понимаю все 3 провайдера имеют постоянный ip?

объясните почему одмины (имхо недоадмины) так любят эти глюкавые и дырявые микроты?

(11) Ну не все стабильные длинки любят :))))

(11) дешево и достаточно сердито. Кроме того, в отличие от морды той же NMDS, винбокс дает достаточно много чего настроить без консольных команд

ну и комьюнити достаточно большое уже за более чем 10 лет, большинство типовых вопросов гуглится с пошаговыми инструкциями

(12) я люблю кинетики или openwrt

(15) вопрос вкуса. У меня с тиками опыт был неплохой, достаточно отзывчивая железка, если потратить немного времени на изучение. Основной плюс с моей точки зрения - это сверх-развитая морда для настройки в виде винбокса с просто огромным количеством настраиваемых опций. CLI на начальном этапе можно вообще не изучать, и при этом делать достаточно неординарные вещи. У кинетика так не получится, потому что у него морда заточена под домашнего юзера, а все серьезные вещи, насколько я понял, нужно делать командочками. OpenWRT не смотрел, поэтому не знаю как и что у него.

(16) >морда заточена под домашнего юзера, а все серьезные вещи, насколько я понял, нужно делать командочками

это уже давно не так
через морду можно делать почти все
и там дико удобный файл настроек

в смысле один кинетик настроил выгрузил настройки в файл а на все прочие такие же тупо загрузил и все

(17)+ причем файл настроек очень понятный и легко сразу в нем поменять что то

(0) > Офис PFSense (3 провайдера), 16 точек PFSense (1 провайдер) и 1 точка Mikrotik
> хочу перейти на Mikrotik, заменив в офисе и в 16 точках

Не делай так. Лучше изучи PFSense.

(18) Так в микротике тоже самое можно сделать. Причем даже частично выгружать конфиг именно того блока что тебя интересует.

(20) Микротик слишком перегружен всякими настройками, но в этом и прелесть. В кинетике все проще, но шаг в сторону от стандартного - расстрел.

(21) Если бы ещё в микротике openvpn работал не через задницу..

(22) Там вроде только UDP нет, а так норм.

(23) Это и есть "через задницу".

раз уж про задницу заговорили, а богоподобная циска умеет ovpn?

+(23) В RouterOS 7 есть udp. Оказывается в RouterOS 7 еще и Wireguard завезли.

(26) он сколько лет уже release candidate и not recommended for production ?

(27) Так с выхода 7 RC вроде года не прошло.

(28) а пилят её с 19 года

(29) Так они и 6-ку пилят до сих пор. 7ку сейчас активно тестируют сами пользователи и пилят владельцы.

(30) я не отрицаю что они пилят, я к тому что больно медленно пилят фичи которые уже лет 10 все ждут

микротик вообще целится в цисковскую сферу, учитывая количество настроек в их оборудовании

(25) а он является индустриальным стандартом по состоянию на сейчас? Лет пять назад все, что не IPSec, считалось некошерным для корпоративного использования.

(33) у циски полно протоколов и решений которые не являются индустриальными стандартами и ниче

(32) ну вообще они себя и позиционируют как циску для бедных.

(34) +потом у микротика например есть проприетарные wifi протоколы, а ovpn почемуто 'неправильный, не нужен'

(36) да, и кстати довольно недурно мосты микротиковские на них бегают. Скорость прямо ого-го.

(37) а это уже другой вопрос, я про то что аргумент 'это не стандарт' при том что штука реально востребованная - не аргумент

циска тоже всё через ipsec но полноценно vpn работает только через cisco vpn client...чтобы в аду сгорела эта кривая софтина

(38) да, VPN-клиентов под IPSec мало.

(23) Ещё psk-режим не работает

Вообще openvpn, если полноценный, который под линуксом, то это идеальный vpn. Можно настроить и просто и сложно, и гибко для кучи клиентов с авторизацией, и тремя строчками в конфиге для точка-точка.. Работать может через любые порты - tcp или udp. Туннелировать можно хоть ip, хоть вообще голые фреймы эзернета.
К сожалению, в винде он уже слегка урезан. А в микротике вообще какой-то обрезок, по принципу "он есть".

(41) Был бы идеальным, Wireguard и прочие не появлялись бы.

(42) Wireguard  умеет l2-туннели?

(43) "You can run vxlan or gretap over wireguard and add that tunnel to a bridge if you want." "Road warriors using IP addresses from the LAN can be implemented with proxy ARP (and proxy NDP?)"
каску ищу

(43) сам нет но можно поднять поверх

(45)+ wireguard это по сути шифрованные vpn соединения точка-точка с простой настройкой
а что будешь делать с появившимся туннелем это уже твое дело

(46) +л3

(46) твою "мечту" кстати в бету пустили https://servernews.ru/1054197

(46) инкапсуляция низкого уровня в протокол высокого уровня? этож оверхед будет адский если делать это на непредназначенном протоколе

(46) чем можно ethernet засунуть в тоннель wireguard?

(50) *я уже давно далек от сетей, реально интересно, возьмем например FCoE ..это из того с чем сталкивался когдато давно

как его просунуть через wireguard?

(49) Это суть туннелирования, внезапно.

(53) я понимаю, ты сможешь fiberoverethernet завернуть в wireguard без упарывания теорией на 20 талмудов и с уверенностью что не надо писать свой драйвер?

Микротик часто коряво определяет, что лег канал. он пингует шлюз по умолчанию на канале если он пингуется считает что канал работает, а то что за шлюзом инета нет он не определяет. И переопределить что канал лежит если нельзя пропинговать нужный адрес или хотя бы ДНС адрес нельзя или наши админы не разобрались.

(54) +у нас например активно использовался x25overIp и он уже втыкался в ipsec тоннель... но это всё про l3 тунеллирование, а в (43) спрашивают про l2

(11) цена, функционал, универсальность - особенно функциональность - в микроте есть вещи которых нет и не будет у любых аналогичных устройств в таком ценовом диапазоне.
А дырки - ну обычно закрывают внешний доступ к микроту, оставляя, например только впн - это решает множество проблем с безопастностью. Да и где нет дырок? Вон биллютени безопасности цисок глянуть, что ни месяц - то критикал, то 0-day :)

(57) у микротиков?
цена может быть
хотя нету там функционала и универсальности

openwrt это универсальность а keenetic функционал

(58) openwrt и на микротик можно поставить :) Если привычней и очень хочется.
Но насколько я помню (очень давно работал с openwrt), ушёл с него, т.к были проблемы с универсализацией (нельзя было один единый раскидать на десяток устройств), не было поддержки mpls, bgp, ospf. Сейчас по идее этих проблем не должно быть.
Ну и например, когда встаёт вопрос поддержки, например у тебя десять филиалов. Да в центре стоит циска, к ней конектятся с десятка филиалов по ipsec, работая в общем пространстве. А если случается какая-либо проблема? Ну вот всё - нет связи с роутером. Насколько удобно будет тебе, как удалённой поддержке и человеку, который находится с одной сети с микротом - разобраться в проблеме? По моему опыту (из устройств пробовила openwrt-роутер, bsd-сервер, cisco, микротик). На микротике решение пробелем в слепую оказалось проще всего для неподготовленного человека (под руководством, конечно).
Я не говорю - что всем поголовно надо юзать микроты. Здесь вопрос удобства, поддержки (в т.ч "вслепую"), функционала и единой универсальности конфигураций. Надо исходить из задач.
У тех же микротов есть свои глобальные проблемы. Начиная от аппаратных (на некоторых моделях до сих порт есть баг с питанием на USB - когда USB периодически либо отключается, либо перегружается из-за хреновой технической реализации). Есть до сих порт нерешённая проблема с IPSec. Построить IPSec с какой-нибудь циской или strongswan'ом - это обычно огромная проблема, особенно когда у тебя микрот, а в другом конце тунеля циска, которую никто не будет конфигурить под твой микрот). На IPSec я много собак съел, я даже когда-то давно написал чуток статей на хабре по этому поводу:
https://habr.com/ru/post/151951/
https://habr.com/ru/post/154829/
https://habr.com/ru/post/150969/
Ну в любом случае - всё это не повод отказываться от микрота или openwrt. Надо исходить из задач, собственных возможностей, финансов и планируемой поддержки.

Центральным серьезным устройством - ни микротик, ни какой-другой роутер, в т.ч под управлением openwrt, ни лиуксовый сервер - я не порекомендую - только циски.
Но с другой стороны - когда надо соединить пару мелкосеточных офисов - я рекомендую брать микроты - потому что, я с ними много работал, и лично мне будет в дальнейшем удобнее и проще давать какие-то подсказки именно по работе с routeros.

Кароч надо дешево и сердито - коробочка типа интел нюк + линь
надо отлаженно и быстро - киску
для домохозяек но чтобы все было - кинетик
для домохозяек любящих садо-мазо и достижение результата - openwrt
для нищебродов - микротик

(58) Извиняюсь, в строке "Центральным серьезным устройством", читать как "Центральным серьезным устройством с использованием IPSec"

(60) Как ты к интел нюк собрался например 2 провайдера засунуть?

(60) да сча микротики самые дешманские даже дешевле mr3020 на удивление

(62) да хоть 10

(64)+ через usb
https://www.dns-shop.ru/catalog/17a8a9e816404e77/setevye-karty/?f[2ci]=81xl-82ib-8fb0p

(59) ну а те которые cloud router или как их там, большие короче - тоже не особо?

мне ZyWall нравится

(59) центральным серьезным устройством отлично работает VPS в датацентре

(66) не работал с ними, но в принципе - RouterOS одинакова на всех устройствах где она установлена. Так что косяки самой оси - будут одинаковые на любом железе.
Если тебе надо делать ipsec'и с чужими хостами, особенно с цисками (банки, сотовые операторы и т.д - т.е конторы которые не будут менять свои регламенты и конфиги под микрот) - то микрот/линуксы/openwrt лучше не ставь.
Если тебе надо дёшево, быстро и просто соединить свои точки-офисы с мелкими сетками и резервными каналами - то норм.

(68) ну, я от ipsec на микротах и линуксах отказываюсь, в случае связи с чужим оборудованием (в основном из-за проблем с ipsec - повторяюсь - сталкивался на линии построения тунеля с цисками - есть ситуации, когда тунель не будет работать между микротом и циской, а так же - между линуксом и циской). Да, несмотря на мои статьи выше о настройках тунелей - я повторюсь, что реально есть ситуации, когда ipsec у тебя не будет работать с циской: ни с линукса, ни с микрота.

В линуксовом strongswan сессии-роутинги - это вообще песня, глобально меняющаяся от версии к версии - тоже хлебнул там достаточно. Если нет возможности повлиять на админа циски для внесения специфичных настроек - проблемы будут.
В стронгсван оказалось - вообще хрень - в версиях 5ой ветки есть лимит на количество роутов, который можно обойти только созданием отдельных сессий.
Так что - не - нафиг. Циска и только циска :)

(69) угу понаставят этих цисок а потом извращайся с OpenConnect

(55) Это ваши админы не разобрались, это делается по другому.. добавляется статический маршрут на какой-нибудь 8.8.8.8 именно через нужного провайдера, далее Netwach... и там тупо менять дистанцию маршрута. Вот и все :)

(62) Там слоты расширений если недостаточно то есть "нюки" специально для этих целей. На Али целые списки таких устройств на мощных но энергоемких процессорах не требующих активного охлаждения.

(71) нельзя рассчитывать на icmp ping как на надежное средство определения коннекта

(73) потому что icmp можер работать, а tcp/ip уже нет..и наоборот

(73) (74) Ну тут в комплексе необходимо конечно смотреть но чаще всё же всё отрубается.

(74)  а каким образом кинетик определяет конект?

(76) Пингом. Не стоит сравнивать роутер для домохозяек с каким либо другим для бизнеса. Хотя часто этого роутера достаточно и для небольших офисов и подразделений вполне.

(77) ну я так и думал...

(77) не надо
у меня на выбор https://i2.paste.pics/F2CYE.png?trs=8a7274a3a9d99edc9e361a40a26b1b0c38865ba6b5055dacd77c331bac78ea00

(79) Ну так микротик тоже может проверять доступен ли TCP порт :)

(77) роутер для домохозяек это циска - потому что надо мастера вызывать ))

(80) просто там запрос сложнее немного будет

(26) имею RB4011iGS+RM на RoterOS 7  с настроенным Wireguard. Работает стабильно. У них уже есть несколько продуктов, которые c ROS 7 RC вышли сразу

(71) может здесь и достаточно будет check gateway на шлюз сети офиса через основного провайдера.