Вот, я нарисовал схему, как я всё это примерно представляю, это уже предполагается, что будет рабочая схема, а та, что я прикладывал ранее, была моей учебной, на виртуальном полигоне VirtualBox, дома. Поэтому и адреса были серые, которые WAN, в этом нет ничего удивительного.
Расклад такой. В административном корпусе находится мозговой центр, то есть там корпоративная почта, к которой сотрудники других корпусов должны иметь доступ, для получения писем, файловая шара с важными документами, вроде делопроизводства, консультант плюс, 1С бухгалтерия (для стоматологической клиники, столовых). Ко всему этому должны получать доступ некоторые сотрудники корпусов и общежитий. Везде, кроме двух общежитий есть контроллеры домена, которым очень важно проводить репликацию, между собой. Кроме того, в административном корпусе находится централизованное управление антивирусной защитой академии.
В общежитиях сотрудников мало, в основном на вахте, видео, система ОПС, которые должны быть, как и из других корпусов, отображаться на главном компьютере начальника службы безопасности, который находится в административном корпусе, столовые, комендант и заведующий общежитием, а также компьютерные классы и комнаты самоподготовки. Поэтому дополнительные контроллеры я там не предусмотрел, я лучше укажу DNS соседних корпусов, а также адреса вручную. У студентов сеть отдельная, они не имеют в нашу доступ, их обслуживает провайдер.
И, конечно, самое важнейшее это репликация. Нужно, чтобы она проходила, без проблем.
Я, конечно, могу подключить и так, мощностей шлюза в административном корпусе хватит, чтобы тянуть сразу всё. Но мне важно ещё одно. Например, я нахожусь в лабораторном корпусе. Мне сообщают, что в общежитии №2 неполадка. При такой схеме мне придётся подключаться сначала к административному корпусу, а потом к общежитию или же я сразу смогу, напрямую? К тому же я хочу подключаться из дома через OpenVPN и иметь доступ сразу ко всем корпусам и общежитиям. Я думаю, это можно реализовать. И ещё, доступ в Интернет есть у каждого корпуса и общежития, по отдельности. Очень важна связь.
Та статья, что мне посылали, больно запутанная, к тому же она устаревшая, там всё замазано. Но ход мыслей я примерно понял. Что я должен буду сделать (на pfSense):
1. Создать и настроить на каждом шлюзе IPSec в режиме transport. Для WAN. Далее создать соответствующие правила сетевого экрана (не люблю, когда в руководствах разрешают всё и всем, делая дыру в безопасности, это не профессионально).
2. Создать и настроить GRE подключения. Для WAN. Указать адреса из сети 10.8.0.0. Далее создать соответствующие правила сетевого экрана (не люблю, когда в руководствах разрешают всё и всем, делая дыру в безопасности, это не профессионально).
3. Настроить на каждом узле Quagga OSPF. Я думаю, что это будет самое сложное. Надо будет разобраться, побольше.
Но тут у меня есть ещё один вопросик. Я настраиваю IPSec, потом пускаю GRE. Но не кажется ли, что в этом случае они будут работать параллельно, нет? Я то предполагал в IPSec указать интерфейсы GRE и затем уже адреса из сети 10.8.0.0.