Внедрения Mikrotik для компании «Альтерра»
Клиент
Торговая группа Альтерра реализует строительные и отделочные материалы оптом и в розницу на территории Алтайского края, Республики Алтай, юга Кемеровской и Новосибирской областей.
Цели и задачи внедрения:
Не так давно к нам обратился клиент с задачей связать посредством VPN каналов главный офис с филиалами. А так как и в главном офисе и в филиалах у клиента помимо основного Internet подключения в наличии еще и резервное, то необходимо было реализовать автоматическое переключение на резервный канал, в случае выхода из строя основного.
С выбором железа под данную задачу долго копий не ломали. Сразу решили, что делать будем на оборудовании Mikrotik. Поставленная задача требует от устройства достаточно продвинутого функционала, а десятки тысяч за каждую коробочку клиент платить не был готов. Поэтому выбор сразу пал на Mikrotik, который на данный момент не имеет конкурентов в соотношении фукнционал/цена. Оборудование таких производителей как Cisco, Juniper, Huawei, которое поддерживает необходимый функционал, будет стоить на порядки дороже. А офисные решения от тех же DLink, TPLink не обладают ни необходимым функционалом, ни достаточной надежностью в работе. Более того, с оборудование Mikrotik у нас есть многолетний опыт работы, и они зарекомендовали себя как хорошие рабочие лошадки. Из разряда настроил и забыл. Более того, это оборудование настолько хорошо себя показало, что мы отправили наших специалистов на специализированные курсы Mikrotik, результатом которых стало получение сертификатов MTCRE (Mikrotik Certified Routing Engineer). Это специализированные курсы по углубленному погружению как в статическую, так и в динамическую маршрутизацию и все, что с ней связано.
Что было на старте:
- главный офис (ГО) со своей внутренней сетью;
- три дополнительных офиса (ДО), каждый со своей внутренней сетью;
- на каждой точке в наличии два провайдера, один с широким каналом (основной), другой с узким (резерв);
- публикуемые сервисы в ГО;
- IP-телефония как в ГО, так и в ДО;
- различные сервисы в ГО, к которым необходим доступ через VPN из ДО (например сервер 1С, серверы общих ресурсов, почтовый сервер и т. д.).
Что хотел клиент:
- связать внутренние сети ГО и ДО посредством VPN;
- каналы VPN должны быть отказоустойчивыми (отвалился основной провайдер, переходим на резервного, связь между внутренними сетями восстанавливается);
- доступ внешних пользователей к публикуемым ресурсам: WWW сервер, сервер электронной почты;
- доступ от всех пользователей организации к сервисам ГО, независимо, где эти пользователи находятся, в главном офисе или в ДО, если пользователи в ДО, то доступ осуществляется посредством VPN, если в ГО, то напрямую;
- для удаленной работы необходима возможность подключаться по VPN (PPTP) с ноутбуков и домашних компьютеров и таким образом получать доступ к сервисам в ГО;
- необходимо организовать проброс по RDP на некоторые машины внутри организации с определенных внешних IP-адресов (удаленный рабочий стол);
- организовать доступ к ресурсам Internet для каждого филиала через основного провайдера, в случае проблем со связью на основном канале, переключение на резервный;
- АТС в каждом филиале должны видеть друг друга через VPN;
- весь трафик необходимо поделить на определенные типы и назначить каждому типу приоритет (QoS), включая трафик проходящий через туннели, таким образом наиболее значимые сервисы обслуживаются всегда и с большим приоритетом (обращения к корпоративному порталу, обращения к 1С, телефония), чем наименее значимые сервисы (просмотр интернет-ресурсов, скачивание файлов из сети и т. д.);
- доступ из внешнего мира на внутренние сети должен быть закрыт, исключение составляют только публикуемые ресурсы ГО (межсетевой экран).
Результаты:
После тестирования различных типов VPN-туннелей выбрали IPIP over IPSec туннели. IPIP туннели показали себя достаточно стабильными в работе с различными провайдерами и различными типами подключений (провайдеры в каждом ДО различны и подключаться к ним нужно по-разному, где-то это обычная статика, где-то IPoE). Безопасность обеспечивается шифрованием IPSec поверх IPIP.
Для отказоустойчивости устанавливается 4 туннеля, от каждого провайдера ДО до каждого провайдера ГО:
- основной провайдер ДО на основного провайдера ГО;
- основной провайдер ДО на резервного провайдера ГО;
- резервный ДО на основной ГО;
- резервный ДО на резервный ГО.
Для каждого туннеля задается свой приоритет, так, в штатном режиме всегда используется туннель: основной ДО <-> основной ГО. Наименее приоритетный туннель: резервный ДО <-> резервный ГО. Состояние каждого туннеля постоянно мониторится, и как только туннель по каким-либо причинам обрывается, трафик направляется в следующий по приоритету туннель. При восстановлении работоспособности более приоритетного туннеля, трафик тут же направляется через него. Получилось довольно гибкое и отказоустойчивое решение.
Доступ внешних пользователей к публикуемым ресурсам организации реализован помощью элементарного проброса (DNAT). Благо, RouterOS, используемая Mikrotik, выросла из Linux с их знаменитым IPTABLES и обладает всей его мощью и гибкостью.
Для организации доступа к ресурсам организации из удаленных точек (командировка, дом, дача) используется сервер PPTP, который так же включен в функционал Mikrotik. Пользователь авторизуется на сервере PPTP, после чего получает доступ к определенным ресурсам компании.
Доступ к ресурсам Internet в каждом филиале организован через основного провайдера с помощью NAT (SNAT). Если основной канал выходит из строя, происходит автоматическое переключение на резервный канал (с более низкой скоростью). При восстановлении работоспособности основного канала, происходит автоматическое переключение на него. Таким образом обеспечивается отказоустойчивость работы.
Наибольший интерес и трудоемкость вызвала именно приоритизация трафика. Тщательно обсудив все с клиентом, было решено выделять следующие типы трафика:
- Winbox, DNS, NTP, ICMP (сервисный трафик, всегда необходим);
- VPN (туннели);
- Телефония;
- 1C, RDP;
- WWW-портал;
- Mail, SMB;
- Опубликованные сервисы, видео, прочий трафик.
С помощью файерволла каждый тип трафика был промаркирован и затем направлен в так называемые HTB-очереди (иерархическая структура очередей). Где производилось назначение трафику приоритета и принималось решение о его дальнейшем продвижении и ограничении. Для каждого провайдера были созданы свои деревья очередей, где заданы максимальные пороги скорости входящего и исходящего трафика в зависимости от ширины канала.
В итоге трафик пошел именно так, как нам (клиенту) того хотелось. Туннели и телефония перестали обрываться и «икать» из-за того, что некто Эдуард Львович ЗамДиректора решил поразглядывать YouTube. Наоборот, ютуб и торренты теперь не мешают рабочему процессу, отжирая под себя всю пропускную способность канала, а довольствуются тем, что осталось на их долю. При этом просмотр обычных страниц интернета практически не пострадал, так как ему хватает того канала, что для него гарантировано выделен. Получилась довольно неплохая оптимизация информационных потоков, которая благотворно сказывается на рабочих процессах.
Клиент остался доволен тем, что удалось реализовать все его «хотелки», причем не пришлось тратить на это сотни тысяч рублей. Оборудование Mikrotik позволило все это настроить без особого напряжения сил и воли, не потребовалось никаких танцев с бубнами, в очередной раз убедились, что функционал в них заложен просто богатейший. А если учитывать, что стоят они на уровне обычных офисных решений от Dlink, то выбор в их пользу становится очевидным.
Над проектом работали
- руководитель проектов
- руководитель сектора системного администрирования