Wifi в филиалах, правильный дизайн

Здравствуйте.

Имеется ЦО и филиалы. Между филиалами и ЦО настроен VPN. Все работает. Необходимо в филиалах установить точки доступа wifi кометы которых должны иметь доступ к серверам ЦО. Каким образом настраивается маршрутизация и какой дизайн сети должен быть?

Сейчас используется для раздачи настроек campman и клиенты на филиалах на каждый ssid попадают в нужный vlan где им раздается адрес по dhcp (который поднят на маршрутизаторе филиала).

Основные вопросы правильный ли дизайн сети?

Как правильно настроить маршрутизацию?

 

Еще вопрос по адресации.
Точка доступ и маршрутизатор филиала не должны быть в одной подсети? т.к. все порты маршрутизатора в бридже не получиться сделать NAT на последующих маршрутизаторах, придется каждую подсеть wifi клиентов маршрутизировать в ЦО, или я не прав?

 

Дизайн сети оптимальный с единым центром, как у вас.
Немного непонятен вопрос. У вас сейчас связность есть между офисами и ЦО ? Маршруты настроены ?

 

Сейчас у меня есть связь Филиал-ЦО (но филиалы друг друга не видя - им и не нужно, главное чтобы ЦО видно было).
Вопрос в маршрутизации был как правильно по best practices.
Сейчас настроить получилось так:
1) На филиальном маршрутизаторе созданы порты VLANы, каждый VLAN под нужный SSID
2) На филиальном маршрутизаторе подняты DHCP сервера которые выдают свою адресацию в нужный VLAN.
3) На точку в филиале прилетают настройки от CAPSMAN. Все прилетает, нужные настройки и нужные SSID.
4) Между точкой и маршрутизатором в филиале ходят в транке нужные VLAN.
5) Настроен NAT на GRE порт который связывает филиал с ЦО так чтобы от wifi клиентов трафик шел в ЦО и NATился (иначе не получалось т.к. все адреса что DHCP раздает нужно было маршрутизировать в ЦО).
6) Маршрутизацию нужных подсетей (которые выдает DHCP) делаю через Firewall Rules и таблицы.

Или эта схема костыльная получается?

 

Нормальная схема. Но если есть возможность уйти от NAT, лучше уходить.

 

Почему уходить от NAT? Доступ к конечным клиентам мне не будет нужен.
И ещё вопрос как быть с RADIUS авторизацией на клиентах когда пропадет связь с ЦО? Ведь RADIUS сервер находится в ЦО.
Спасибо.

 

Ну тут либо резервирование каналов, либо какой-то распределенный Radius server c локальными копиями в филиалах. Тут не селен, что-то конкретное подсказать не смогу.