Jump to content

Архитектура сети и выбор vpn между кинетиками


Recommended Posts

Привет

Вопрос будет с довольно длинной преамбулой (в аттаче схема человека, первый раз в жизни рисовавшего сеть)

Есть по сути три точки выхода в интернет:
- Keenetic 1 (Air)
- Keenetic 2 (Giga)
- vps сервер

Белый ip на Keenetic 1 и vps
Keenetic 2 стоит за провайдерским роутером, на котором нету белого ip

В сети Keenetic 2 все основные ресурсы: стоят сервера с веб сервисами, samba и бэкапами
На VPS стоят веб сервисы

На keenetic 1 поднят pptp vpn сервер, к нему подключаются keenetic 2 и vps, нужно доступ между ними - присутствует

Что я хочу получить:
- единую сеть, где можно из любой точки (keenetic 1, keenetic 2, vps) получить доступ к ресурсам любой другой точки
- vpn (L2TP? хотелось бы тот, который нативно поддерживается в ios/macos, либо openvpn) сервер на vps для подключения с ноутбука/телефона ко всей сети
- прямой доступ между keenetic 1 и keenetic 2 (чтобы не гонять трафик через vps, если нужно например забэкапиться из сети keenetic 1 в сеть keenetic 2)
- доступ к провайдерском роутеру из любой точки сети

Вопросы:
- достаточно ли будет pptp для межсетевого взаимодействия (включая мобильные устройства), чтобы не прописывая роуты на дейвасах иметь доступ к ресурсам любой подсети? (прерывистые линии - непрямой доступ, который "хотелось бы чтобы работал")
- не получается подключиться к провайдерскому роутеру (192.168.0.1) из сети keenetic 1 (192.168.3.0/24) (по сути цепочка должна выглядеть так: устройство - keenetic 1 - pptp до keenetic 2 - роутинг на провайдерский роутер - провайдерский роутер), keenetic 2 подключается к pptp на keenetic 1 как клиент 172.168.1.2 и имеет прямой доступ к провайдерскому роутеру
при этом прописаны роуты:
  - keenetic 1: 192.168.0.0/24 -> 172.168.1.2
  - keenetic 2: 192.168.0.0/24 -> 192.168.0.1
- любые рекомендации, что можно улучшить в сети 

 

Спасибо

408759226_ScreenShot2021-02-18at01_25_20.thumb.png.56821edf1139a4289d5081d63df28ba8.png

 

Edited by T3ch Cat
clarification
Link to comment
Share on other sites

12 часа назад, T3ch Cat сказал:

- не получается подключиться к провайдерскому роутеру (192.168.0.1) из сети keenetic 1 (192.168.3.0/24) (по сути цепочка должна выглядеть так: устройство - keenetic 1 - pptp до keenetic 2 - роутинг на провайдерский роутер - провайдерский роутер), keenetic 2 подключается к pptp на keenetic 1 как клиент 172.168.1.2 и имеет прямой доступ к провайдерскому роутеру
при этом прописаны роуты:
  - keenetic 1: 192.168.0.0/24 -> 172.168.1.2
  - keenetic 2: 192.168.0.0/24 -> 192.168.0.1

На кинетике 2 есть маршрут в сеть кинетика 1(192.168.3.0/24)? На впн-интерфейсе кинетика 2 есть разрешающие правила межсетевого экрана? На кинетике 1 есть маршрут в сеть кинетика 2 (192.168.1.0/24)?

Link to comment
Share on other sites

42 minutes ago, werldmgn said:

На кинетике 2 есть маршрут в сеть кинетика 1(192.168.3.0/24)? На впн-интерфейсе кинетика 2 есть разрешающие правила межсетевого экрана? На кинетике 1 есть маршрут в сеть кинетика 2 (192.168.1.0/24)?

На кинетике 2 есть маршруты к кинетику 1 и его сети:

1204589075_ScreenShot2021-02-18at14_46_05.thumb.png.9254acb56393b40887fd0ab22787ab93.png

На впн интерфейсе кинетика 2 выставлено правило для pptp vpn соединения

1603765857_ScreenShot2021-02-18at14_48_43.thumb.png.72cf8f06c159377337bb15af7225bdcd.png

На кинетике 1 пользовательские маршруты:

265751254_ScreenShot2021-02-18at14_50_41.thumb.png.9619a34aefc90a5bcb64184be1a49fd6.png

На кинетике 1 в таблице роутинга:

2055216531_ScreenShot2021-02-18at14_51_31.thumb.png.a4149e1bf02c228d4bff07ce17482f42.png

Link to comment
Share on other sites

- PPTP похоронить

- Для связи с Giga использовать IPIPoverIPsec или IPsec IKEv2. У них наименьший оверхед среди других вариантов с IPsec, особенно в сравнении с популярным L2TP/IPSec

- Для связи с Air можно попробовать использовать Wireguard, может быть быстрее. Либо те же ***IPsec

- маршруты в любом случае придется прописать на роутерах и VPS.

Для подключения мобил-ноутов L2TP/IPsec сойдет как наиболее универсальное.

Link to comment
Share on other sites

1 minute ago, KorDen said:

- PPTP похоронить

- Для связи с Giga использовать IPIPoverIPsec или IPsec IKEv2. У них наименьший оверхед среди других вариантов с IPsec, особенно в сравнении с популярным L2TP/IPSec

- Для связи с Air можно попробовать использовать Wireguard, может быть быстрее. Либо те же ***IPsec

- маршруты в любом случае придется прописать на роутерах и VPS.

Для подключения мобил-ноутов L2TP/IPsec сойдет как наиболее универсальное.

спасибо за ответ.

pptp потому что использовал инструкцию с сайта :) до этого был ipsec туннель между кинетиками - почему-то работал иногда нестабильно, отваливался коннект. сейчас месяц висит pptp - "ни единого разрыва". но смотрю в сторону openvpn (благо инструкция тоже есть для кинетиков).

"- Для связи с Giga использовать IPIPoverIPsec или IPsec IKEv2" - не очень понял этот пункт. откуда-куда связь? потому что на нем нету белого ip, доступ к нему хочу получать через роутинг с кинетика 1 и vps

"- Для связи с Air можно попробовать использовать Wireguard, может быть быстрее. Либо те же ***IPsec" - обязательно попробую wg

"- маршруты в любом случае придется прописать на роутерах и VPS." - да, это не проблема, сеть маленькая, реконфигураций особо нету, один раз прописал и забыл

"Для подключения мобил-ноутов L2TP/IPsec сойдет как наиболее универсальное." - будет ли достаточно при этом статических роутов на всех узлах? с макбуком наблюдаю иногда странную историю - не хочет роутиться (по крайней мере пока жил на ipsec туннеле между кинетиками - так было, с pptp пока не видел проблем), притом что ios нормально всё видит в это же время. рестарт макбука - всё чинится. насколько я узнал, роуты может пушить клиенту openvpn - есть ли смысл тогда использовать его для доступа, чтобы не иметь проблем с роутингом?

Link to comment
Share on other sites

@T3ch Cat Думаю, еще на роутере провайдера нужен маршрут до 192.168.3.0/24. Так как, по идее, кинетик 2 пересылая пакеты от кинетик 1 не натит их, то до провайдерского роутера они доходят с адресом источника из сети 192.168.3.0/24, а значит чтобы отправлять ответы, этому роутеру тоже нужен маршрут.

Link to comment
Share on other sites

2 часа назад, T3ch Cat сказал:

не очень понял этот пункт. откуда-куда связь

Имеется ввиду любые связи с девайсом (исходящие, входящие - не важно) лучше делать на указанных протоколах с точки зрения производительности.

У Giga криптоускоритель, можно на практике получить 150 (до 200 в вакууме) мбит/с в IPsec, Wireguard вроде чуть медленнее

У Air IPsec выдаст 25-30 мбит/с и там Wireguard может быть быстрее

С макбуками не подскажу, OpenVPN тормозной и лучше использовать как последний вариант

Edited by KorDen
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...