Возможно, кому-то интересно, что можно "наколхозить" имея два дешевых Микротика и горстку старого железа. Да-да, сегодня про мою домашнюю сеть.
Итак, в моем распоряжении:
- Легендарный Mikrotik 951G-2HnD
- Малютка Mikrotik 951-2n
- Что-то вроде сервера, который я описывал в начале поста про MPLS лабу.
Текущее
Итак, на картинке моя текущая конфигурация. Расскажу про неё, а потом упомяну как я до этого дошел и немного про планы на будущее.
Ядром, так сказать, сети выступают два Микротика.
mkrtk1
На левом из них, на том, что помощней, у меня есть белый IP и L2TP+IPSec/PPTP доступ. Так же на нем настроен WiFi со своей подсетью. Локальный WiFi, ясное дело, NATится в Интернет. Кирпичная стена намекает на файервол. На роутере так же поднят DHCP, DNS и прочая необходимая инфраструктурная мелочь.
mkrtk2
Второй Микротик не имеет белого адреса и подключен к первому как L2TP+IPSec клиент. За правым микротиком сейчас располагается вся основная инфраструктура. Здесь у меня есть локальный WiFi со своей подсетью и сервер с Vmware ESXi на борту. Для управления сервером выделена отдельная подсеть. Для управления виртуалками тоже есть своя подсеть, как и для NAS сервера. Все это роутится само собой. У меня вообще для всего отдельная подсеть. ) На картинке, кстати, можно заметить, что я ещё и вычурные префиксы использую. DHCP, DNS, NTP и прочее подобное также присутствует.Конечно же, я хочу иметь доступ с подсетей первого Микротика к подсетям второго. Решает эту задачу OSPFv2, в который анонсируются все нужные подсети. Тут ничего особенного, но на OSPF я накрутил все что мог накрутить.
VMs
На NAS сервере, помимо всякого, поднят ещё и DLNA сервер с коллекцией фильмов и музыки (на самом деле, особо не пользовался...). Само собой, коллекцию эту я хочу просматривать со своего устройства, подключенного к локальному WiFi. Напомню, это другая подсеть. Более того, и на левом микротике есть устройства, который хотят иметь доступ к DLNA коллекции на втором Микротике. DLNA использует мультикаст, а его надо как-то маршрутизировать. Для этих целей поднят PIM. Клиенты с первого и второго микротика по IGMP запрашивают нужные группы, а PIM уже доставляет мультикаст трафик от NASа клиентам. Как-то в командировке смотрел фильмы с сервера через L2TP по DLNA, было круто. На том же NASе хранятся различные бэкапы, стоит приятный глазу сервер мониторинга Observium (рекомендую) и ещё всякое по мелочи.
Вот такой вот нехитрый конфиг.
Немного истории
Изначально у меня был только один роутер. Концепция "настроил и забыл" меня абсолютно не устраивала, поэтому решено было крутить по полной, но со смыслом. Сразу же я перевел в "routed" режим все порты. Настроил подключение к интернету с белым IP и законфигурировал файервол. Конечно же, я сразу настроил L2TP+IPSec. Выяснилось, что в некоторых местах он бывает прикрыт, поэтому в качестве альтернативы был поднят старый добрый PPTP.
Потом я собрал себе серверок и поставил второй Микротик для его обслуживания. Изначально подключался он к первому по WiFi мосту и стоял в другой комнате. Потом я переехал и теперь у меня получилось два географически разнесенных "сайта". WiFi мост, само собой, пришлось упразднить, теперь вместо него L2TP туннель, но в целом конфиг особо не поменялся.
Потом я собрал себе серверок и поставил второй Микротик для его обслуживания. Изначально подключался он к первому по WiFi мосту и стоял в другой комнате. Потом я переехал и теперь у меня получилось два географически разнесенных "сайта". WiFi мост, само собой, пришлось упразднить, теперь вместо него L2TP туннель, но в целом конфиг особо не поменялся.
Планы
Ясно, что нужно что-то крутить дальше, но вот что конкретно? Вопрос... Вроде и так все работает. Были идеи переходить на MPLS, но MPLS ради MPLSа не особо-то и интересен. Скорее всего следующее, что я буду делать - QoS. Штука эта нужная и в целом полезная даже для домашней сети. Более того, скоро мне достанется практически за бесплатно некий low-end коммутатор Cisco. Думаю, 2960 или что-то похожее. Надо и его будет как-то впихнуть в сеть. Скорее всего, буду всю коммутацию VMок вытаскивать на него.Если есть предложения, оставляйте их в комментариях.
Не понял только смысла связки l2tp+ipsec vs прямой патчкорд/эзернет между микротиками..
ОтветитьУдалитьНа самом деле, все просто. Эти два Микротика располагаются в разных городах. )
ОтветитьУдалитьТоже сначала не понял зачем между Mikrotik'ами L2TP с IPSec'ом. Но дальше стало понятно, что ни в разных городах.
ОтветитьУдалитьА почему выбрали L2TP? У IPIP оверхеда меньше.
Ответ очень прост. Надо было быстро, а с L2TP я довольно плотно работал в то время. ) IPIP крутить не приходилось до сих пор.
Удалить