Головной офис
Схема сети
Обзор
Сетевая инфраструктура офиса построена на оборудовании MikroTik и SNR с использованием Kerio Control в качестве UTM-решения. Архитектура реализует сегментацию через VLAN с гибридной маршрутизацией между Kerio Control и MikroTik L009UiGS.
Устройства и их роли
| Устройство | Модель | Роль | Примечание |
|---|---|---|---|
| CCR2216 | CCR2216-12G-4S | Граничный роутер | WAN, WireGuard VPN, passthrough для внутреннего трафика |
| Kerio Control | — | UTM + маршрутизатор | Фильтрация интернет-трафика, Inter-VLAN routing (VLAN 100/104), DHCP-сервер |
| L009UiGS | MikroTik L009UiGS | L2+ коммутатор | Тегирование VLAN, маршрутизация для VLAN 106 (телефония) |
| SNR Switch | SNR-S2985G-48T | Коммутатор доступа | Access/trunk порты в зависимости от назначения |
| UniFi | — | WiFi-инфраструктура | Автономная экосистема (контроллер + точки доступа) |
| Proxmox Cluster | pve, Proxi-9, Proxi-5 | Виртуализация | Asterisk с SIP trunk, прочие сервисы |
Сегментация сети (VLAN)
| VLAN | Подсеть | Назначение | Маршрутизатор |
|---|---|---|---|
| 100 | 172.20.100.0/22 | WiFi-сеть (UniFi) | Kerio Control |
| 104 | 172.20.104.0/24 | Рабочие станции (HPe, Call-center, Finances) | Kerio Control |
| 105 | 172.20.105.0/24 | Камеры видеонаблюдения | CCR2216 (напрямую) |
| 106 | 172.20.106.0/24 | Телефонная сеть | L009UiGS |
| 109 | 172.20.109.0/24 | Кластерная сеть Proxmox | Kerio Control |
| 200 | 10.30.10.0/30 | Служебный VLAN (passthrough) | Kerio Control + L009UiGS |
Служебные линки
| Линк | Назначение |
|---|---|
| 10.11.10.0/30 | CCR2216 ↔ Kerio Control (интернет-трафик) |
| 10.21.10.0/30 | L009UiGS ↔ CCR2216 (passthrough для камер/облака) |
| 10.30.10.0/30 | Kerio Control ↔ L009UiGS (VLAN 200) |
Потоки трафика
Интернет-трафик
Клиенты (VLAN 100/104) → L009 → Kerio Control (фильтрация) → CCR2216 → WAN
Inter-VLAN трафик
VLAN 100 ↔ VLAN 104: через Kerio Control
Внутренний трафик (камеры, облако)
Клиенты → L009 → CCR2216 (passthrough через 10.21.10.0/30 + VLAN 200)
Трафик к камерам и облачным сервисам обходит Kerio Control и маршрутизируется напрямую через CCR2216.
WireGuard VPN
VPN-клиенты → CCR2216 (WireGuard) → Камеры (172.20.105.0/24)
Удалённый доступ к камерам видеонаблюдения через VPN.
Телефония (SIP)
IP-телефоны (VLAN 106) → L009 (routing) → Asterisk (pve) → SIP trunk → Провайдер
SIP trunk имеет отдельный физический выход напрямую к роутеру провайдера, минуя CCR2216.
Особенности архитектуры
Гибридная маршрутизация
Маршрутизация распределена между двумя устройствами:
- Kerio Control — VLAN 100, 104 (WiFi, рабочие станции)
- L009UiGS — VLAN 106 (телефония)
Такое разделение обусловлено тем, что телефонному трафику не требуется интернет-фильтрация Kerio, а SIP trunk выходит напрямую в мир.
Passthrough через VLAN 200
Из-за нехватки свободных сетевых портов на Kerio Control, трафик к камерам и облачным сервисам маршрутизируется через служебный VLAN 200 вместо отдельного физического линка.
Выделенный SIP trunk
Asterisk на pve имеет отдельный физический порт, выходящий напрямую к роутеру провайдера. Это обеспечивает минимальную задержку для голосового трафика.
Известные ограничения и планы
| Ограничение | Статус | План |
|---|---|---|
| Passthrough через VLAN 200 вместо физического линка | Временное решение | Добавить сетевую карту(порт) в Kerio |
| Гибридный routing (Kerio + L009) | Рабочее решение | — |
| In-band management | Осознанный риск | — |
| Отсутствие failover | Компенсируется UPS | — |
| Общий порт для Proxmox cluster и corosync | Работает | Выделить отдельный порт для corosync |
Сервисы
| Сервис | Расположение | Примечание |
|---|---|---|
| DHCP | Kerio Control | Для всех VLAN |
| WireGuard VPN | CCR2216 | Доступ к камерам |
| Asterisk (PBX) | pve (Proxmox) | SIP trunk напрямую к провайдеру |
| UniFi Controller | UniFi устройство | PoE, автономная WiFi-экосистема |