Здравствуйте. У нескольких наших клиентов сервера размещены в дата-центре, для каждого клиента выделен отдельный роутер. Для связи с офисной сетью используется IPSec over L2TP. Для упрощения физической конфигурации хочется всю маршрутизацию перенести на одно устройство. Т.е. на одном роутере будет: несколько внешних IP-адресов и внутренних сетей; внутренние сети выходят в интернет только через свои внешние IP-адреса; каждая внутренняя сеть соединена одним или несколькими IPSec-туннелями с офисными сетями клиентов; внутренние сети и IPSec-туннели не пересекаются. Предполагаю использовать маркировку соединений: помечаю соединения input на внешнем интерфейсе; маркирую помеченные соединения на output; в зависимости от маркировки отправляю по нужному маршруту (стоит ли использовать на этом этапе правила маршрутизации?); если сеть назначения preroute не в адресном листе, маркирую в зависимости от внутренней сети; в зависимости от маркировки внутренние соединения также отправляю по "своему" маршруту; К сожалению тестировать негде, и у меня появилось несколько вопросов. Надеюсь, что вы сможете помочь хотя бы с частью из них: будет ли работать моя схема? как сильно возрастет нагрузка на ЦПУ? повлияет ли использование таблиц маршрутизации на IPSec-туннели и PPTP\L2TP подключения? может быть есть другие варианты решения моей задачи?
в принципе работать будет. Я бы при такой схеме очень сильно задумался бы о Static VRF, так как оно безопаснее получится.
Спасибо, на праздниках попробую настроить оба варианта. PS При выборе решения сильно подводит теоретическая подготовка )
Повысить теоретическую и практическую подготовку можно на наших тренингах. Ближайшая сессия довольно скоро: http://spw.ru/company/sobytiya/training-mikrotik-spring/