Доброго времени суток!
Вопрос у меня довольно обширный, поэтому не знаю точно в какую ветку его писать...Собственно суть и предыстория проблемы:
Ранее была локальная сеть 192.168.1.0/24 накрывала около 10 домов.
Потом соответсвенно расширялась, теперь в ней еще две подсети 2.0/24 и 18.0/24 и накрывает она довольно приличные расстояния.
Биллинг: Traffic Inspector
Все сервисы, включая DNS, DHCP, NAT, маршрутизацию и пр. на одной машине Windows Server 2003 (на той же, где и биллинг).
Соответсвенно вся эта конструкция начала не выдерживать и не справлятся с нагрузкой, а также сыпаться (ибо Windows)В этот-то момент меня и пригласили в эту сеть системным администратором.
Что требуется:
1. Подсети 10.x.x.x/24 (по подсети на дом)
2. Нормальная маршрутизация
3. Отказаться от NAT
3. Интернет через VPN с прямым пробросом белых IP, распределяемых динамически из пула, да так, чтобы ipconfig для этого интерфейса показывал именно белый IP адрес.
4. Выдавать эти самые белые IP динамически, а также статически, тем кто оплатил соответствующую услугу.
4. В последствии докупить необходимое оборудование, чтобы поставить на каждый дом (сейчас есть, но не на каждом доме)С точки зрения маршрутизации, железа и внутренней кабельной организации в сети сейчас полный бардак.
С точки зрения ПО - тоже.На данный момент я имею три только что купленных сервера и вот что я на них поставил:
1. FreeBSD 6.3, Биллинг Netup UTM5, официально купленный, с лицензией.
2. Mikrotik (RouterOS) который будет стоять непосредственно на выходе в интернет.
Он же будет принимать входящие VPN подключения, подключаться к Radius на первом сервере (UTM5), раздавать интернет и прочие подобные задачи.
3. FreeBSD 6.3 на которой пока я поставил только DNS, DHCP но в последствии там появятся доп. сервисы.Также есть одна железка D'LINK DXS 3326 GSR к счастью доставшаяся нам по дешевке, которую я хочу сделать своего рода центральной частью сети, а на каждый дом поставить по D'LINK DES 3526 (или по два, в зависимости от кол-ва абонентов).
Теперь небольшая кучка вопросов:
1. Реально ли на этом всем сделать нормальную сеть построенную по нормальным канонам сете-строения? иными словами реально ли на этом сделать всё грамотно?
2. Как правильно реализовывать маршрутизацию в такой сети? Хочу чтобы все было грамотно и красиво, думал даже сделать так, чтобы когда раздаются адреса в качестве default gateway указывался роутер стоящий на доме, а тот уже в свою очередь будет роутить кого куда надо, и так далее, т.е. чтобы лишний трафик попусту не гонять там где не надо.
3. Если все мои идеи не верны, то подскажите пожалуйста какое оборудование необходимо, какие технологии (и протоколы) использовать и как это все реализовывать. Единственное что, на биллинг и микротик уже куплены лицензии, иными словами отказаться от них уже нельзя.
4. Как сделать так чтобы у клиента адрес на VPN интерфейсе получался динамически (dhcp) и в ipconfig выглядел как настоящий прямой(белый) IP адрес? Как сделать так чтобы адреса раздавались для VPN динамически из пула? Реализуется ли это обычными средствами DHCP?
Ну и соответсвенно как пробрасывать такие адреса, при условии что от NAT мы отказываемся совсем (провайдер готов нам предоставить любое необходимое кол-во адресов)
5. Ну и из всего вышесказанного последний вопрос: какие вообще технологии тут должны будут применятся? а то я даже не знаю по каким ключевым словам терзать гугл...Очень буду рад развернутым ответам.
Если я забыл что-то укзать - только скажите, я обязательно дополню всю необходимую информацию. Также прошу учесть что я не профессионал, хоть и хочу им стать, а самый настоящий начинающий, так что прошу не винить за возможные пробелы в знаниях...P.S. Буду очень признателен ответам lavr-а, уж больно хорошие ответы, да и помог он мне очень здорово когда-то (года три назад) ;)
Каков планируемый суммарный траффик ?создание сетей с впн-ом не самое лучшее решение, но оно оправдано когда нет нормального оборудования.
Рекомендацией будет всем ставить управляемые свичи, с привязкой маков на порт, благо такие свичи значительно подешевели, и раздавать всем честные белые айпи. Вариантом удешевления сети может быть то, что управляемый свич не является оконечным для пользователя, а к его порту подключен маленький 8ми портовый свич, тогда максимальная проблема будет в том, что пользователи одного свича смогут подставить пару мак-айпи своего соседа. Если ставить управляемый свич оконечным для пользователя (без промежуточного тупого свича), то таких проблем вообще не будет. Заодно не будет проблем с впн-сервером, для пользователей будет более удобно шарить свои файлы.
проблемная ситуация № хх при использовании локалки с _сетями_ с серыми адресами + впн-а.
Пользователи хотят файловые обменники. сетей несколько, значит в другие серые сети они пойдут через впн. Биллинговать это не честно, а нагрузку на впн-сервер (да и самому клиенту) добавит прилично :)Так что самый лучший вариант это управляемые свичи и выделять белый айпишник клиенту сразу.
Далее, не понимаю странного желания делать их динамическими. Если у вас все клиенты должны ходить в интернет (откажемся от странностей типа "мне нужна только локалка") - то белые айпи всеравно нужны в количестве ваших клиентов - для целей экономии - не получится.
проблемы, которые возникнут при перетасовке айпишников (а траффик то платный, верно? ):
пользователь запустил торрент + DHT, на его айпи начали сыпаться запросы.
1. Пользователь отключил ВПН (допустим я вас от него не отговорил :) - запросы идут всеравно, кто оплатит "паразитку" ?
пользователь кричит - я впн отключил, а траффик уменьшается.2. пользователь не привязан к айпи. Пока впн не поднят, паразитка падает на счет провайдера. Другой пользователь подключил впн, получил "грязный" айпи, и на него полетел шторм запросов - "ой ?" А ему почему-то придется за этот ой заплатить. Криво, в общем-то :)
---
Не имел опыта работы с microtic, но мне кажется что mpd самый производительный VPN-сервер. Если в микротик впн-сервер реализован с использованием pppd - то это дело ляжет от траффика.
В общем - не надо впн, не надо нат, не надо серых адресов. Надо управляемые свичи и можно будет спать спокойно.
Такс... Ну для начала должен поблагодарить за подробный ответ, вроде бы теория в моей голове уложилась, теперь по поводу практики и вопросов:1. У ADSL провайдеров IP адреса предоставляются динамически, там конечно большинство анлимщиков и я не знаю как адреса выделяются для тех кто по трафику...
2. Если об устройстве и маршрутизации в локальных сетях я имею представление, то как делать в случае если у всех сразу прямые IP - я не знаю. Плюс я не знаю как организовывать ресурсы сети (файловые, игровые и пр. сервера) в этом случае, а также маршрутизацию... Буду благодарен за подробности, либо ссылку.
3. Боюсь что начальство может не пойти на такой шаг, чтобы купить белые адреса на всех, сейчас эта услуга стоит 150р./мес с человека, и я пока не знаю за какую плату наш провайдер предоставляет нам адреса. Знаю лишь что может предоставить необходимое количество, но это необходимое количество.
Плюс когда пользователей станет 1000 и больше - мне кажется будет довольно проблематично получить такое кол-во адресов... Ну и плюс мне все таки кажется что это не очень оправданно... возможно ошибаюсь...4. В корбине как-то реализовано именно по схеме 10.x.x.x/24 + интернет через VPN, я не думаю что там работают дураки, значит данная схема все таки оправдана... но это опять таки возможно из-за незнания/непонимания мной каких-то тонкостей... Но все же у них очень много пользователей, деление подсетей по районам, внутренние ресурсы и динамический внешний IP... Прошу просвятить по данному вопросу :)
Документацию и форум на http://ww.netup.ru почитай. Многие вопросы по реализации сами отпадут. А вот белые айпи по DHCP выдавать - непонятная затея.