это может работать и на 1 провайдере. На тему правильности. тут каждому свое. я бы dhcp вынес бы с микрота. поимел бы какой нить PCюк, накатил бы ProxMox на нем запихнул самый простой ISCDHCP и раздавал бы отдельной тачкой как минимум разгружает микрот ( хотя зависит от количества людей) на микроте бы был хелпер. на тему wifi. для чего делать складу отдельно, офису отдельно? почему не сделать тот же capsman на нем же запилить 3 сетки 1 corp с маршрутами до серверов вторая гость без доступа к серверам и третья  если необходимо для каких нить ТСД.  Опять таки. у тебя по офису управляемые коммутаторы или ты хабиками? если коммутаторами то вланы может привязать на физические интерфейсы с которых приходит  коммутатор а дальше бриджевать уже то что тебе необходимо

ты предлагаешь сделать вируалки прям на оффисе, и в одну из них закинуть DHCP сервера? Я просто думал схему DHCP сервером на главном оффисе, но влюбом же случае надо статически прибить адреса к вланам и при потере связи сетка раком станет...

я имею ввиду что я не понимаю что у тебя имеется ввиду удаленная точка. удаленная точка виде 1 тела или это офис. если 1 тело то ему нахрен не нужно dhcp если это офис то на удаленном офисе ставишь hap который поднимает туннель с офисом  и он же выступает dhcp сервером. опять таки для разделения все зависит от масштабов. для каждого офиса тогда нужен пул адресов который ты можешь юзать например город Самара. имеет вид 10. далее номер региона 63. далее номер офиса 1 далее шлюз итого получаем 10.63.1.0/24 следующий офис в самаре или облосте 10.63.2.0/24 другой регион другая ария. строишь схему адресов. тогда будешь понимать кто и где. с какого офиса кто куда коннектится это если без динамической маршрутизации

У меня есть сервера они же центральный офис там микротик RB4011iGS+5HacQ2HnD  + 3 ноды proxmox с кучей контейнеров  (4 серверные подсетки ну и офисные 9шт)
На центральном офисе уже поднят ipsec для обычных клиентов (андроиды, айфоны, рабочие станции linux)
также этот же ipsec должен работать и с филиалами (да и работает в принципе)
на филиале№1 установлен  пока hAP ac^2 и CRS112-8P-4S
на него я планировал  подсети 10.44.20.0/24 - 10.44.29.0/24
для следующего 10.44.30.0/24 - 10.44.39.0/24 и т.д.

оборудование минимальное так как денег ни на что нет, иначе бы нанял специалистов :(
возможно в будущем будет добавляться избыточность и модельки по мощьнее
вот задача изначально максимально сделать правильно, чтоб  не переделывать по горячему когда будет рост бизнеса

подожди а у вас нет активного оборудования?

Коллеги. Есть проблемка такая.

Поднят Site-to-Site IPSec VPN между Cisco и Mikrotik. Со стороны Mikrotik сделано как на их Wiki описано, со стороны Cisco по старинке через crypto map, а не как по-красивому через VTI.

Всё как бы работает, но когда трафика нет со стороны машины, стоящей за Mikrotik и посылающей трафик в туннель, то секунд через 20-30 туннель падает даже несмотря на то, что есть трафик со стороны машины, стоящей за Cisco.

Всё, что нужно сделать, чтоб туннель поднялся - послать минимум два пакета ICMP со стороны машины за Mikrotik в сторону машины за Cisco. А если такой ping сделать постоянным, то туннель и вовсе не падает.

Подскажите, можно ли как-то подтюнить и где, чтоб не падал туннель?

Коллеги. Есть проблемка такая.

Поднят Site-to-Site IPSec VPN между Cisco и Mikrotik. Со стороны Mikrotik сделано как на их Wiki описано, со стороны Cisco по старинке через crypto map, а не как по-красивому через VTI.

Всё как бы работает, но когда трафика нет со стороны машины, стоящей за Mikrotik и посылающей трафик в туннель, то секунд через 20-30 туннель падает даже несмотря на то, что есть трафик со стороны машины, стоящей за Cisco.

Всё, что нужно сделать, чтоб туннель поднялся - послать минимум два пакета ICMP со стороны машины за Mikrotik в сторону машины за Cisco. А если такой ping сделать постоянным, то туннель и вовсе не падает.

Подскажите, можно ли как-то подтюнить и где, чтоб не падал туннель?

Доброго времени!

Задача такая - есть МикроТик, подключенный к провайдеру по шнурку со статикой. Есть ВПН соединение в качестве клиента до некого сервера.
Как научить МикроТик отправлять определенный трафик на виртуальный ВПН интерфейс?

в итоге было сделано через маркировку трафика mangle mark routing, но почему то очень медленно все качает буквально 30-50 кбит, может кто помочь с данной проблемой?

есть в filter rules - я так понимаю он дефолтный был

а насколько плохо его отключение?