Помилка - верхній лінк також з маршрутизватора має бути намальованим :) On 7/7/25 21:47, Volodymyr Litovka via UANOG wrote:

Сорян, шо депойняв

під пласкою мережею розуміється ось така топологія? -

тобто три точки якимось чином зв'язані друг з другом в "LAN" й кожна з них має свій аплінк-старлінк в Central Office?

Дякую

On 7/7/25 20:49, VASYL MELNYK wrote:

...

Всім привіт

Допоможіть побудувати таку штуку

Є 3 маршрутизатора, до кожного з них підключений старлінк і разом з цим кожен має інтерфейс в одну плоску мережу , за кожним маршрутизатором є сервер, до якого треба отримати доступ з головного офісу та резервного Типу все класно коли старлінк працює, але якщо наприклад на 1ому старлінк втратив супутник, то цей перший маршуртизатор має використовувати сусідній маршрутизатор і його старлінк для підключення до головного офісу і резервного

НАскільки я розумію, мені на першому маршрутизаторі треба побудувати на кожний випадок тунель, тобто

тунель через старлінк на головний офіс тунель через старлінк на резервний офіс тунель на 2-ий маршрутизатор тунель на 3-ий маршрутизатор

Тобто 4 тунеля, Ну і відповідно налаштувати маршрути до головного офіса і резервного офіса через старлінк метрика 1, через 2-ий маршрутизатор метрика 2 і через 3-ій маршрутизатор метрика 3.

Я для наглядності зробив схеми, але враховуючи що то старлінк і всі сервери вміють IPV6 має сенс все піднімати на IPV6 наскільки я розумію, але секурність ніхто не відміняв, то ж впн потрібен і швидше за все то буде wireguard

Для наглядності картинка із відпавшим старлінком - коли всі працюють і так все зрозуміло

_______________________________________________ UANOG mailing list --uanog@uanog.one To unsubscribe send an email touanog-leave@uanog.one

-- Volodymyr Litovka "Vision without Execution is Hallucination." -- Thomas Edison

_______________________________________________ UANOG mailing list --uanog@uanog.one To unsubscribe send an email touanog-leave@uanog.one

-- Volodymyr Litovka "Vision without Execution is Hallucination." -- Thomas Edison

привіт Це якийсь у мене атавізм я так розумію :) я мав на увазі мережа, в якій всі дейваси доступні без роутингу, в даному випадку 10.0.0.0/24 - тобто це 2-ий інтерфейс, а 1ий то старлінк, ну і третій то своя мережу в яку має бути доступ з СО Ну от я так приблизно і думаю собі, офіси між собою трафік не ганяють - просто є дві точки, з яких треба мати доступ до девайсів за старлінками точно - це ж локалка безпечна, нафіга там тонелі піднімати - достатньо маршрутизації Виходить просто з кожного клієнта по 2 тонелі на СО і на СР через дефайултний гейт старлінк і далі вже гратися роутингом всередині лан-у вт, 8 лип. 2025 р. о 01:57 Andrii Kozlov пише:

Привіт,

На схемі не зовсім зрозуміло як реалізована L2 мережа на LAN. Є спільна на трьох 10.0.0.0/24 - це, маємо розуміти, і є "одна плоска мережа", але є ще три 192.168.[11|22|33].0/24. Ось ці три - це окремі порти на кожному роутері? Тобто у gw11 є LAN interface #1 з адресою 10.0.0.11/24 і LAN interface #2 - 192.168.11.1.24? Чи щось інше?

Якщо всі три підключені LAN-портами до однієї L2 сітки, наприклад 10.0.0.0/24, вистачить тільки тунелів на Г. і Р. офіси і на LAN включити протокол динамічної маршрутизації (наприклад OSPF), щоби вони автоматом обмінювались між собою маршрутною інфомацією по LAN. При цьому кожен з них має також анонсувати: a) свою серверну IP-мережу b) маршрути на головний і резервний офісю

Цим вирішується форвардінг трафіку в напрямку Г. і Р. офісів. Трафік у зворотньому напрямку Г і Р мають відправляти на маршрутизатор з живим старлінком. Для цього також можна включити той самий протокол і на тунельних інтерфейсах с обох боків, при цьому тунелі з Г і Р офісів потрібно робити з усіма gw11, gw22, gw33.

Тобто у вас буде 6 тунелів на WAN і спільна LAN в одному домені маршрутизаціі. При такій схемі треба подбати щоби віддалений майданчик несподівано не став транзитом трафіку між офісами Г і Р.

On Mon, Jul 7, 2025 at 9:12 PM VASYL MELNYK wrote:

...

Всім привіт

Допоможіть побудувати таку штуку

Є 3 маршрутизатора, до кожного з них підключений старлінк і разом з цим кожен має інтерфейс в одну плоску мережу , за кожним маршрутизатором є сервер, до якого треба отримати доступ з головного офісу та резервного Типу все класно коли старлінк працює, але якщо наприклад на 1ому старлінк втратив супутник, то цей перший маршуртизатор має використовувати сусідній маршрутизатор і його старлінк для підключення до головного офісу і резервного

НАскільки я розумію, мені на першому маршрутизаторі треба побудувати на кожний випадок тунель, тобто

тунель через старлінк на головний офіс тунель через старлінк на резервний офіс тунель на 2-ий маршрутизатор тунель на 3-ий маршрутизатор

Тобто 4 тунеля, Ну і відповідно налаштувати маршрути до головного офіса і резервного офіса через старлінк метрика 1, через 2-ий маршрутизатор метрика 2 і через 3-ій маршрутизатор метрика 3.

Я для наглядності зробив схеми, але враховуючи що то старлінк і всі сервери вміють IPV6 має сенс все піднімати на IPV6 наскільки я розумію, але секурність ніхто не відміняв, то ж впн потрібен і швидше за все то буде wireguard

Для наглядності картинка із відпавшим старлінком - коли всі працюють і так все зрозуміло _______________________________________________ UANOG mailing list -- uanog@uanog.one To unsubscribe send an email to uanog-leave@uanog.one

Hello, Я так розумію тунелі тому що є частини мережі які знаходяться поза контролем, і там треба шифрування. -- WBR, Max Tulyev MT6561-RIPE - Jabber maxtul@netassi.st - Phone +447441953543 - Telegram @mt6561 On Tue, 8 Jul 2025 19:28:25 +0200 Vlad Skuba wrote:

Вітаю!

Я теж не зрозумів, нахіба там усі ці внутрішні тонелі. Вистачить протоколу маршрутизації всередині, у який будуть редистрібʼютитися маршрути VPN. Все. Можна якісь VRRP між маршрутизаторіми на випадок, якщо якись помре. 

Хіба ні?

З повагою, Влад

On 8 Jul 2025, at 17:03, VASYL MELNYK wrote:

...

 привіт

Це якийсь у мене атавізм я так розумію :) я мав на увазі мережа, в якій всі дейваси доступні без роутингу, в даному випадку 10.0.0.0/24 - тобто це 2-ий інтерфейс, а 1ий то старлінк, ну і третій то своя мережу в яку має бути доступ з СО

Ну от я так приблизно і думаю собі, офіси між собою трафік не ганяють - просто є дві точки, з яких треба мати доступ до девайсів за старлінками

точно - це ж локалка безпечна, нафіга там тонелі піднімати - достатньо маршрутизації

Виходить просто з кожного клієнта по 2 тонелі на СО і на СР через дефайултний гейт старлінк і далі вже гратися роутингом всередині лан-у

вт, 8 лип. 2025 р. о 01:57 Andrii Kozlov пише: Привіт,

...

На схемі не зовсім зрозуміло як реалізована L2 мережа на LAN. Є спільна на трьох 10.0.0.0/24 - це, маємо розуміти, і є "одна плоска мережа", але є ще три 192.168.[11|22|33].0/24. Ось ці три - це окремі порти на кожному роутері? Тобто у gw11 є LAN interface #1 з адресою 10.0.0.11/24 і LAN interface #2 - 192.168.11.1.24? Чи щось інше?

Якщо всі три підключені LAN-портами до однієї L2 сітки, наприклад 10.0.0.0/24, вистачить тільки тунелів на Г. і Р. офіси і на LAN включити протокол динамічної маршрутизації (наприклад OSPF), щоби вони автоматом обмінювались між собою маршрутною інфомацією по LAN. При цьому кожен з них має також анонсувати:    a) свою серверну IP-мережу    b) маршрути на головний і резервний офісю

Цим вирішується форвардінг трафіку в напрямку Г. і Р. офісів. Трафік у зворотньому напрямку Г і Р мають відправляти на маршрутизатор з живим старлінком. Для цього також можна включити той самий протокол і на тунельних інтерфейсах с обох боків, при цьому тунелі з Г і Р офісів потрібно робити з усіма gw11, gw22, gw33.

Тобто у вас буде 6 тунелів на WAN і спільна LAN в одному домені маршрутизаціі. При такій схемі треба подбати щоби віддалений майданчик несподівано не став транзитом трафіку між офісами Г і Р.

On Mon, Jul 7, 2025 at 9:12 PM VASYL MELNYK wrote: ________ ____________

...

____________________ ____________________ ________ __________

__ 3 ____________________________, ____ ______________ __ ______ ______________________ ________________ __ __________ __ ______ __________ ______ __________________ __ ________ ____________ ____________ , ____ ____________ ______________________________ __ ____________, ____ __________ __________ ________________ ____________ __ __________________ __________ ____ ____________________ ________ ______ ____________ ________ ________________ ____________, ______ ________ __________________ ____ 1________________________ ______________ ________________, ____ ______ ________________________________________________ ______________________________ ________________ __________________________ __ ________ ________________ ______ ____________________________ __________________ __________ __ ____________________

__________________ __ ______________, ________ ____ ______________ ____________________________ __________ ____________________ ____ ____________ ______________ ____________, __________

________________________ ______________________ ________________ ________ ________________________ ______________________ __________________ ________ ____________ ____ 2-____ __________________________ __________________ 3-____ __________________________

__________ 4 ____________, ________ ____________________ ______________________ ________________ ____ __________________ __________ __ ____________________ __________ __________ ________________ ______________ 1, __________ 2-____ __________________________ ______________ 2 __ __________ 3-____ __________________________ ______________ 3.

__ ______ ______________________ ____________ __________, ______ ____________________ ____ ____ ________________ __ ______ ______________ ____________ IPV6 ______ ________ ______ __________________ ____ IPV6 __________________ __ ______________, ______ ____________________ __________ ____ ________________, ____ __________ ________________ __ ____________ ____ ______ ____ ________ wireguard

______ ______________________ ________________ ____ __________________ ____________________ - ________ ______ ________________ __ ______ ______ __________________ _______________________________________________ UANOG mailing list -- uanog@uanog.one To unsubscribe send an email to uanog-leave@uanog.one _______________________________________________

UANOG mailing list -- uanog@uanog.one To unsubscribe send an email to uanog-leave@uanog.one

з OSPF буде складно створити preferable routes, BGP дає більше можливостей керувати ну й BGP простіше траблшутити On 7/9/25 07:43, VASYL MELNYK wrote:

всім дякую - тут як завжди головне написати і поки пишеш і читаєш задача частіше за все сама і вирішується

буду пробувати просто тонелі і гратися з маршрутизацією, спробуємо спочатку простим роутингом з метриками, якщо не влаштує - буду думати оспф чи бгп як кажуть - не налаштовував ні один ні другий :)

вт, 8 лип. 2025 р. о 21:29 Max Tulyev пише:

Hello,

Я так розумію тунелі тому що є частини мережі які знаходяться поза контролем, і там треба шифрування.

-- WBR, Max Tulyev MT6561-RIPE - Jabber maxtul@netassi.st - Phone +447441953543 - Telegram @mt6561

On Tue, 8 Jul 2025 19:28:25 +0200 Vlad Skuba wrote:

> Вітаю! > > Я теж не зрозумів, нахіба там усі ці внутрішні тонелі. Вистачить протоколу маршрутизації всередині, у який будуть редистрібʼютитися маршрути VPN. Все. Можна якісь VRRP між маршрутизаторіми на випадок, якщо якись помре. > > Хіба ні? > > З повагою, Влад > > On 8 Jul 2025, at 17:03, VASYL MELNYK wrote: > > > >  > > привіт > > > > Це якийсь у мене атавізм я так розумію :) я мав на увазі мережа, в якій всі дейваси доступні без роутингу, в даному випадку 10.0.0.0/24 http://10.0.0.0/24 - тобто це 2-ий інтерфейс, а 1ий то старлінк, ну і третій то своя мережу в яку має бути доступ з СО > > > > Ну от я так приблизно і думаю собі, офіси між собою трафік не ганяють - просто є дві точки, з яких треба мати доступ до девайсів за старлінками > > > > точно - це ж локалка безпечна, нафіга там тонелі піднімати - достатньо маршрутизації > > > > Виходить просто з кожного клієнта по 2 тонелі на СО і на СР через дефайултний гейт старлінк і далі вже гратися роутингом всередині лан-у > > > > > > > > вт, 8 лип. 2025 р. о 01:57 Andrii Kozlov пише: > > Привіт, > >> > >> На схемі не зовсім зрозуміло як реалізована L2 мережа на LAN. Є спільна на трьох 10.0.0.0/24 http://10.0.0.0/24 - це, маємо розуміти, і є "одна плоска мережа", але є ще три 192.168.[11|22|33].0/24. Ось ці три - це окремі порти на кожному роутері? Тобто у gw11 є LAN interface #1 з адресою 10.0.0.11/24 http://10.0.0.11/24 і LAN interface #2 - 192.168.11.1.24? Чи щось інше? > >> > >> Якщо всі три підключені LAN-портами до однієї L2 сітки, наприклад 10.0.0.0/24 http://10.0.0.0/24, вистачить тільки тунелів на Г. і Р. офіси і на LAN включити протокол динамічної маршрутизації (наприклад OSPF), щоби вони автоматом обмінювались між собою маршрутною інфомацією по LAN. При цьому кожен з них має також анонсувати: > >>    a) свою серверну IP-мережу > >>    b) маршрути на головний і резервний офісю > >> > >> Цим вирішується форвардінг трафіку в напрямку Г. і Р. офісів. Трафік у зворотньому напрямку Г і Р мають відправляти на маршрутизатор з живим старлінком. Для цього також можна включити той самий протокол і на тунельних інтерфейсах с обох боків, при цьому тунелі з Г і Р офісів потрібно робити з усіма gw11, gw22, gw33. > >> > >> Тобто у вас буде 6 тунелів на WAN і спільна LAN в одному домені маршрутизаціі. При такій схемі треба подбати щоби віддалений майданчик несподівано не став транзитом трафіку між офісами Г і Р. > >> > >> > >> > >> On Mon, Jul 7, 2025 at 9:12 PM VASYL MELNYK wrote: > >> ________ ____________ > >>> > >>> ____________________ ____________________ ________ __________ > >>> > >>> __ 3 ____________________________, ____ ______________ __ ______ ______________________ ________________ __ __________ __ ______ __________ ______ __________________ __ ________ ____________ ____________ , ____ ____________ ______________________________ __ ____________, ____ __________ __________ ________________ ____________ __ __________________ __________ ____ ____________________ > >>> ________ ______ ____________ ________ ________________ ____________, ______ ________ __________________ ____ 1________________________ ______________ ________________, ____ ______ ________________________________________________ ______________________________ ________________ __________________________ __ ________ ________________ ______ ____________________________ __________________ __________ __ ____________________ > >>> > >>> __________________ __ ______________, ________ ____ ______________ ____________________________ __________ ____________________ ____ ____________ ______________ ____________, __________ > >>> > >>> ________________________ ______________________ ________________ ________ > >>> ________________________ ______________________ __________________ ________ > >>> ____________ ____ 2-____ __________________________ > >>> __________________ 3-____ __________________________ > >>> > >>> __________ 4 ____________, ________ ____________________ ______________________ ________________ ____ __________________ __________ __ ____________________ __________ __________ ________________ ______________ 1, __________ 2-____ __________________________ ______________ 2 __ __________ 3-____ __________________________ ______________ 3. > >>> > >>> __ ______ ______________________ ____________ __________, ______ ____________________ ____ ____ ________________ __ ______ ______________ ____________ IPV6 ______ ________ ______ __________________ ____ IPV6 __________________ __ ______________, ______ ____________________ __________ ____ ________________, ____ __________ ________________ __ ____________ ____ ______ ____ ________ wireguard > >>> > >>> ______ ______________________ ________________ ____ __________________ ____________________ - ________ ______ ________________ __ ______ ______ __________________ > >>> _______________________________________________ > >>> UANOG mailing list -- uanog@uanog.one > >>> To unsubscribe send an email to uanog-leave@uanog.one > >>> _______________________________________________ > > UANOG mailing list -- uanog@uanog.one > > To unsubscribe send an email to uanog-leave@uanog.one > > _______________________________________________ UANOG mailing list -- uanog@uanog.one To unsubscribe send an email to uanog-leave@uanog.one

_______________________________________________ UANOG mailing list --uanog@uanog.one To unsubscribe send an email touanog-leave@uanog.one

-- Volodymyr Litovka "Vision without Execution is Hallucination." -- Thomas Edison