Добрый день!
Терминальный сервер стоит за роутером (kerio), у которого есть белый адрес. Сейчас каждый "клиент со стороны" подключается к роутеру либо через "родного" впн-клиента керио, либо встроенным L2TP/IPsec клиентом Windows. Само собой, настраивать по одному клиенту должно было когда-то надоесть, что и случилось. Сейчас есть три удаленных подразделения, в каждом из которых по 3-5 клиентов. Т.к. не вникал в технические моменты, я скорее сочувствующий, то идея настроить несколько аппаратных маршрутизаторов для формирования общей локальной сети показалась мне осуществимой за недорого. Фиксированный адрес есть только в центральном офисе, три удаленных подразделения этой привилегии лишены.
Посоветуйте, как можно организовать подключение трех роутеров к четвертому (и, главное, КАКИХ моделей), чтобы объединить весь этот колхоз в одну сеть.
Спасибо.

Дык микротики. В голову - помощнее с аппаратным шифрованием типа HAP AC2, в периферию - вплоть до HAP Lite.

(1) Как-то настраивал точку доступа ейную, оказалось, что лицензию надо докупать. Сейчас с этим проблем не будет?

В Routeros 7 они кстати умеют WireGuard, очень удобный и "проходимый" через всякие наты VPN

(2) Лицензия идет в составе железа, на всяких HAP она level4. Докупать лицензию это если вы купили wifi шлюз для p2p и хотите его сделать точкой доступа для нескольких клиентов.

(4) Ну да, именно так и было

(3) А версию RouterOS обновить можно без доплат? Я просто не в курсе их политики

(6) Без проблем, даже с сохранением настроек

(0) Латвийские Микротики не бери, говно дырявое
Лучше китайские (разработка Тайвань, производство Гонконг и КНР) Кинетики бери!

(8) А конкретные модели подскажете?

(3) В Кинетиках Wireguard появился раньше чем в микротиках и уже отлично отлажен

(9) По характеристикам выбирать что надо https://keenetic.ru/ru/products

(8) Кинетики это тупо роутеры. А микротик - штука универсальная, с полным управлением каждым портом.

(12) Да ну? На микротике можно запустить полноценный Debian через chroot как на мощных (понятно они дороже) кинетиках?

(12) Не оправдывай своей ник, кинетики ничем не уступают микротикам (возможно кроме цены) и даже во многом превосходят
Они по управлению кроме интерфейса имеют консоль (и файл настроек) как у оборудования Cisco, практически совместимую по командам

(13)+ https://forum.keenetic.com/topic/458-debian-stable-на-кинетике/

Entware (opkg) на кинетиках давно, микротики тоже научились со временем да

(14) Ну может я отстал слегка, просто лет 10 назад кинетики были обычными домашними роутерами от зюкселя.

(16) И 10 лет назад у них в линейке были устройства гораздо продвинутей микротиков.

Спасибо, теперь буду по моделям глазеть.

(18) возьми для начала самый дешевый https://www.dns-shop.ru/catalog/17a8aa1c16404e77/wi-fi-routery/?q=keenetic+start&stock=now-today-tomorrow-later-out_of_stock&order=6
и поиграйся с ним

(12) в кинетике тоже можно управлять каждым портом, насколько я понимаю, для роутера это сейчас уже скорее норма нежели исключение.

(20) То есть можно порты произвольно в бриджи объединять с поддержкой RSTP при необходимости и с аппаратным ускорением?

а по (0)... можно микрот, можно кинетик, можно Zyxel USG какой-нибудь, если сумеете купить... В любом случае, если будете настраивать самостоятельно, матчасть по сетям придется немного подбить, не так-то там все просто. В голову лучше брать железку, которая вывозит побольше туннелей, особенно если планируются удаленщики.

(21) вот это не пробовал. Но добавить еще один WAN-порт к имеющемуся запросто, сделать отдельные сети на разных наборах портов тоже.

Таким образом, Keenetic Peak в голову и Keenetic Hopper по филиалам должно хватить? Мне чтобы порядок суммы определить.

"Само собой, настраивать по одному клиенту должно было когда-то надоесть, что и случилось."
пишут на электропочту заявку ФИО подразделение, в ответ отправляете индивидуальный конфиг вайргварда и экзе, сохранить на рабочий стол, .. профит

(23) Вот мне чем и нравятся микротики, что они абсолютно одинаковы по функциям, что дорогие что дешевые. И различаются лишь производительностью. А в кинетиках такое есть?

(26) ну в общем да, там у них своя операционка, называемая NDMS, которая пошла еще с Zyxel Keenetic. Она одна и та же на разных роутерах, поддерживается веб-морда и командный язык. Правда, нет такого клиента как Winbox. В целом по состоянию на сейчас роутеры неплохи.

у микрота масса довольно тонких настроек выведена в винбокс, в NDMS, если захочется поизгаляться, придется делать скриптом командной строки

(28) Ну даже у микротиков не все настройки через интерфейс реализованы, но много, это точно. Потребность в написании команды вручную возникает крайне редко.

(28) "нет такого клиента как Winbox"
То есть safe mode там нет и если напортачить с настройками - то придется ножками с ноутбуком бежать на объект?

(30) ну если замордовать до такого состояния что удаленный доступ будет невозможен - тогда, очевидно, да. Не без этого :)

(31) Ну так бывает. Иногда надо именно экспериментировать. Скажем, точка подключена через wifi и настраиваешь всякие тонкие параметры связи, чтобы связь была стабильнее. И можешь вылезти по настройкам куда-то не туда. У микротиков в безопасном режиме через минуту-две после отвала точка получает исходные настройки на момент включения safe mode и связь восстанавливается.

с микротом не сталкивался с таким, не было необходимости настолько сильно корежить настройки. С Zyxel USG 100 было, приезжал и перезагружал.

(2) любой кинетик сойдет

(0) такие задачи принято решать на Микротике, это проверенная надежная схема. Поднимешь WireGuard. Достаточно одного фикс IP в центральном офисе. На двух других пропишешь KeepAlive 5 сек и порядок.

(10) в RouterOS тот же ядерный модуль что и в обычных линуксах

в 7-ке, там ядро линукса 5-й ветки