Configurazione rete – Aggregazione WAN + Failover con Mikrotik + Firewall

Draxen · 12 mar

Ciao a tutti,
sto cercando di sistemare definitivamente la mia rete, ma finora ho ricevuto pareri contrastanti e vorrei fare un po’ di chiarezza. In particolare, ho notato che molti vanno in difficoltà appena si parla di Starlink, che però per me è indispensabile, essendo in alta montagna.
Attualmente la rete è così strutturata:
Connessione 1 (principale): Starlink Residenziale Gen 2, che vorrei gestire senza il router in dotazione.
Connessione 2 (backup e supporto): FWA INTRED 100 Mbps, distribuita in più locali tramite ponte radio.
Switch: 2x Mikrotik CRS326-24G-2S+RM (uno gestisce il traffico).
Router da installare: Mikrotik L009UIGS-RM sulla rete INTRED.
Firewall: Ho inserito dei MikroTik L009UIGS-RM per migliorare la sicurezza, ma ho ricevuto pareri discordanti sulla loro reale efficacia.
Problemi principali:
Aggregazione WAN (Starlink + INTRED) per migliorare velocità e stabilità.
Failover efficiente: attualmente se una linea cade, la rete crolla invece di passare automaticamente sull’altra.
Firewall: alcuni dicono che gli switch Mikrotik non possono fare da firewall, mentre altri sostengono il contrario. Voglio capire esattamente come stanno le cose.
VLAN o riorganizzazione IP per evitare congestioni di rete.
Vorrei capire quale sia la strada migliore da seguire per ottenere una rete stabile ed efficiente, evitando di complicare inutilmente la configurazione o di fare investimenti superflui.

Se qualcuno ha esperienza diretta su questa configurazione o sa consigliarmi il giusto approccio, ogni opinione è ben accetta!

Grazie!

wtf · 12 mar

Draxen
Avendo 2 WAN, dovresti semplicemente collegarle entrambe al router e su questo definire sia la parte firewall che la gestione di fault tolerance o load balancing.
Le vlan servono per segregare il traffico se ci sono implicazioni di sicurezza (reti guest, iot, ecc.).

Io su Mikrotik ho implementato una policy per fault tolerance e funziona bene. C'è comunque una ricca documentazione di supporto sul sito Mikrotik.

gio79 · 12 mar

Il Mikrotik L009 non ha difficoltà a gestire quelle 2 wan, però non è possibile fare aggregazione delle 2 wan in maniera semplice. ti serve una vps e qualche config ... vedi https://www.openmptcprouter.com/

Failover: trovi n guide su come si fa con Mikrotik. dal loro sito o loro forum trovi molte guide semplici.

Firewall: non è comparabile a firewall ngfw, ma il suo lavoro lo fa, poi dipende molto da cosa vuoi fare tu.

TTechnetium · 12 mar

gio79 non è comparabile a firewall ngfw

Non c'è niente di soho che abbia una "ngfw".
Ci si avvicina ubiquiti.. ma comunque non è un un "ngfw".

Draxen Firewall: Ho inserito dei MikroTik L009UIGS-RM per migliorare la sicurezza, ma ho ricevuto pareri discordanti sulla loro reale efficacia.

Hai inserito ?
Quanti ne hai messi ?

Draxen Firewall: alcuni dicono che gli switch Mikrotik non possono fare da firewall,

Uno switch fa lo switch, il firewall fa il firewall.
C'è una serie di switch che può fare anche da router... ma non lo farei.

LLSan83 · 12 mar

Draxen alcuni dicono che gli switch Mikrotik non possono fare da firewall, mentre altri sostengono il contrario. Voglio capire esattamente come stanno le cose.

In teoria lo fanno, nella pratica è un suicidio. Gli switch Mikrotik hanno CPU estremamente lente, adatte a gestire i comandi per le impostazioni e basta. Tutto quello che esce dalle funzioni del chip dello switch è praticamente inutilizzabile, infatti Mikrotik produce guarda a caso anche dei router.... Che al contrario hanno buone CPU per routing/firewall mentre le loro funzioni switch sono basilari. Ma pensa un po'!!
Con la maggior parte degli switch Mikrotik è già tanto che fai da router/firewall a una adsl 7 Mbps

Draxen · 16 mar

Questa è la situazione odierna, a dire il vero il router mikrotik non è mai stato messo. sta facendo da ferma porte. se qualcuno volesse darmi consigli sono ben accetti. siate magnanimi.

https://www.canva.com/design/DAGh0_l_UI4/2PPZlmmiue_omtfbAB79BA/edit?utm_content=DAGh0_l_UI4&utm_campaign=designshare&utm_medium=link2&utm_source=sharebutton

HHadx · 16 mar

Draxen a dire il vero il router mikrotik non è mai stato messo. sta facendo da ferma porte.

Ma lo sai configurare? Perché se bisogna guidarti nel fare tutto da zero diventa lunga.

gio79 · 16 mar

Draxen Riesci a fare un disegno/schema della tua rete attuale?
Perché così è piuttosto complicato capirla, va bene anche a mano o con app come https://app.diagrams.net/

Draxen · 16 mar

Hadx purtroppo, ho pagato 50 € l’ora per provare a configurarlo.
ma quanto pare adesso servono consulenti da 150 € l’ora, chiedevano rima tappare tutta la rete. Per poi trovare una soluzione. Quindi il fatto è chiedere a voi nel forum era per evitare di star lì a far uscire 20 volte i tecnici e trovare una soluzione meno onerosa. Ovviamente interpellando chi di dovere.

gio79 lo so hai ragione.
Adesso vedo di farla disegnare.

TTechnetium · 16 mar

Draxen purtroppo, ho pagato 50 € l’ora per provare a configurarlo.
ma quanto pare adesso servono consulenti da 150 € l’ora,

E chi hai chiamato ?

gio79 · 16 mar

Draxen purtroppo, ho pagato 50 € l’ora per provare a configurarlo.

Da quello che hai scritto non è una configurazione con 200 router in vrrp, switch in mlag, con uno tuo ASN e ci metti pure bgp, vpn o robe astruse.
sono 2 connessioni da collegare ad un router, configurarlo per stare sempre online in caso di caduta di una delle connessioni, poi è una normale lan (magari anche con le vlan), qualche AP, un paio di switch con pc, stampanti, pos ...
Roba che un qualsiasi tecnico te lo fa in un meno di una giornata di lavoro e poi ti fa assistenza da remoto.

Se vuoi stare su apparati Mikrotik potresti cercare qualche professionista certificato (chiedi a google elenco dei nomi). qui magari ti possiamo dare qualche dritta, consiglio, ma se sei in ambito professionale, mio parere, meglio essere seguiti da professionisti seri.

LLorenzo1635 · 16 mar

gio79 Da quello che hai scritto non è una configurazione con 200 router in vrrp, switch in mlag, con uno tuo ASN e ci metti pure bgp, vpn o robe astruse.

L'incognita è sempre il bonding però. Quello c'è rischio che glielo vendano a prezzo d'oro visto che è roba SD-WAN

Draxen · 16 mar

Technetium un informatico del mio paese. di sarezzo provincia di Brescia

LLorenzo1635 · 16 mar

Draxen Spero che per 150€/h abbia le certificazioni di Cristo...

Draxen · 16 mar

Lui vuole 50 € l’ora.
Adesso dice che c’è un sistemista microtik che dovrebbe salire.
la cosa che mi dà fastidio. È che gli ho dato una mano per quattro weekend di fila ad ottobre. E adesso sembra che bisogna ripartire da capo. Ovvero riguardare tutta la rete per poi trovare una soluzione.
Capisco che bisogna fare un po’ di analisi però a cosa è servito il vecchio lavoro se poi adesso bisogna ripartire da capo?
Tutto qua

gio79 · 16 mar

Lorenzo1635 L'incognita è sempre il bonding però. Quello c'è rischio che glielo vendano a prezzo d'oro visto che è roba SD-WAN

io direi niente bonding (i costi esplodono), ma un semplice fault tolerance.

LLorenzo1635 · 16 mar

gio79

Era per soddisfare il secondo requirement che ha imposto OP. Se fà LB o FT non lo rispetti

Draxen Ovvero riguardare tutta la rete per poi trovare una soluzione

Onestamente...
Se non hai bisogno di bonding ma solo di fare fault-tolerance una volta che hai fatto il diagramma di rete 3/4 della complessità (non del tempo) è andato

TTechnetium · 16 mar

Draxen
Ma cosa vuoi fare ?
Failover è fattibile.
Load balancing su base "connessione" lo sconsiglio su connessioni così diverse. Funzionerebbe male... poi molti siti con sicurezza si piantano.

Lorenzo1635
Dipende dal lavoro, ma ho visto aziende chiedere quei soldi...

wtf · 16 mar

Draxen
Schematizza la tua rete e posta qui, ma soprattutto pensa bene a quali siano le tue reali esigenze in modo che possiamo indirizzarti verso una soluzione adeguata.

Una connessione SD-WAN (Software-Defined Wide Area Network) utilizza principalmente load balancing a livello di rete e trasporto (L3/L4), con tecniche avanzate per ottimizzare la latenza, la perdita di pacchetti e la disponibilità delle connessioni; nel tuo caso sarebbe una versioneepiù "casalinga" usando Mikrotik.

Il bonding è un'aggregazione L2 e va utilizzata per aggregare le nic di un server ed avere maggior hroughput e failover (non è il caso in oggetto).