История изменений

1. Если нужен любой туннель или скажем так любая инкапсуляция (что то поверх чегото) то нужны две железки - с двух сторон - одна инкапсулирует, вторая декапсулирует. И для шифрования нужны две железки - шифратор и дешифратор. Микротик это все умеет в одной коробке - и туннели и шифрование
2. В предлагаемой схеме для микротика в головном офисе нужен будет белый IP. На этот IP будете делать туннель с удаленного офиса через 4G сеть. Если в головном офисе уже есть статический белый IP то по идее его можно перенести на микротик, но нужно смотреть что у Вас на нем сейчас работает и как это скажется на работу после переноса - это не желательный вариант.
При падении основного канала - VLANа в удаленном офисе, можно активировать резервный маршрут например скриптом (https://habrahabr.ru/post/231565/) интерфейс 4G в офисе. Для поднятия интерфейса скрипт не подходит, только как пример. Возможно есть к.л. встроенные активаторы интерфейсов с отслеживанием состояний в микротике.
Если в удаленном офисе планируется 4G как резерв, то пусть интерфейс в 4G сеть будет постоянно активным. ДА трафик служебный будет.
Мне схема с двумя активными туннелями - через VLAN и 4G видится предпочтительнее. т.к. не нужно городить скрипты-костыли. STP в бридже все что нужно заблокирует и активирует.
3. Я не знаю как сделать одной железкой или я не понимаю Вас
То что vlan Вы получаете в локаль, ни о чем мне не говорит. У Вас было требование - все зашифровать и трафик через vlan и через 4G сеть. См. п.1. По сути Вам нужно выкинуть два тупых свича в гол. и удал. офисах и вместо них поставить два микротика которые, умеют - туннели, шифрование, отслеживание состояние каналов связи и переключение между ними.
ОБа канала - vlan и 4G будут приходить в ОДИН микротик в удаленном офисе.

1. Если нужен любой туннель или скажем так любая инкапсуляция (что то поверх чегото) то нужны две железки - с двух сторон - одна инкапсулирует, вторая декапсулирует. И для шифрования нужны две железки - шифратор и дешифратор. Микротик это все умеет в одной коробке - и туннели и шифрование
2. В предлагаемой схеме для микротика в головном офисе нужен будет белый IP. На этот IP будете делать туннель с удаленного офиса через 4G сеть. Если в головном офисе уже есть статический белый IP то по идее его можно перенести на микротик, но нужно смотреть что у Вас на нем сейчас работает и как это скажется на работу после переноса
При падении основного канала - VLANа в удаленном офисе, можно активировать резервный маршрут например скриптом (https://habrahabr.ru/post/231565/) интерфейс 4G в офисе. Для поднятия интерфейса скрипт не подходит, только как пример. Возможно есть к.л. встроенные активаторы интерфейсов с отслеживанием состояний в микротике.
Если в удаленном офисе планируется 4G как резерв, то пусть интерфейс в 4G сеть будет постоянно активным. ДА трафик служебный будет.
Мне схема с двумя активными туннелями - через VLAN и 4G видится предпочтительнее. т.к. не нужно городить скрипты-костыли. STP в бридже все что нужно заблокирует и активирует.
3. Я не знаю как сделать одной железкой или я не понимаю Вас
То что vlan Вы получаете в локаль, ни о чем мне не говорит. У Вас было требование - все зашифровать и трафик через vlan и через 4G сеть. См. п.1. По сути Вам нужно выкинуть два тупых свича в гол. и удал. офисах и вместо них поставить два микротика которые, умеют - туннели, шифрование, отслеживание состояние каналов связи и переключение между ними.
ОБа канала - vlan и 4G будут приходить в ОДИН микротик в удаленном офисе.

1. Если нужен любой туннель или скажем так любая инкапсуляция (что то поверх чегото) то нужны две железки - с двух сторон - одна инкапсулирует, вторая декапсулирует. И для шифрования нужны две железки - шифратор и дешифратор. Микротик это все умеет в одной коробке
2. В предлагаемой схеме для микротика в головном офисе нужен будет белый IP. На этот IP будете делать туннель с удаленного офиса через 4G сеть. Если в головном офисе уже есть статический белый IP то по идее его можно перенести на микротик, но нужно смотреть что у Вас на нем сейчас работает и как это скажется на работу после переноса
При падении основного канала - VLANа в удаленном офисе, можно активировать резервный маршрут например скриптом (https://habrahabr.ru/post/231565/) интерфейс 4G в офисе. Для поднятия интерфейса скрипт не подходит, только как пример. Возможно есть к.л. встроенные активаторы интерфейсов с отслеживанием состояний в микротике.
Если в удаленном офисе планируется 4G как резерв, то пусть интерфейс в 4G сеть будет постоянно активным. ДА трафик служебный будет.
Мне схема с двумя активными туннелями - через VLAN и 4G видится предпочтительнее. т.к. не нужно городить скрипты-костыли. STP в бридже все что нужно заблокирует и активирует.
3. Я не знаю как сделать одной железкой или я не понимаю Вас
То что vlan Вы получаете в локаль, ни о чем мне не говорит. У Вас было требование - все зашифровать и трафик через vlan и через 4G сеть. См. п.1. По сути Вам нужно выкинуть два тупых свича в гол. и удал. офисах и вместо них поставить два микротика которые, умеют - туннели, шифрование, отслеживание состояние каналов связи и переключение между ними.
ОБа канала - vlan и 4G будут приходить в ОДИН микротик в удаленном офисе.

1. Если нужен любой туннель или скажем так любая инкапсуляция (что то поверх чегото) то нужны две железки - с двух сторон - одна инкапсулирует, вторая декапсулирует. И для шифрования нужны две железки - шифратор и дешифратор.
2. В предлагаемой схеме для микротика в головном офисе нужен будет белый IP. На этот IP будете делать туннель с удаленного офиса через 4G сеть. Если в головном офисе уже есть статический белый IP то по идее его можно перенести на микротик, но нужно смотреть что у Вас на нем сейчас работает и как это скажется на работу после переноса
При падении основного канала - VLANа в удаленном офисе, можно активировать резервный маршрут например скриптом (https://habrahabr.ru/post/231565/) интерфейс 4G в офисе. Для поднятия интерфейса скрипт не подходит, только как пример. Возможно есть к.л. встроенные активаторы интерфейсов с отслеживанием состояний в микротике.
Если в удаленном офисе планируется 4G как резерв, то пусть интерфейс в 4G сеть будет постоянно активным. ДА трафик служебный будет.
Мне схема с двумя активными туннелями - через VLAN и 4G видится предпочтительнее. т.к. не нужно городить скрипты-костыли. STP в бридже все что нужно заблокирует и активирует.
3. Я не знаю как сделать одной железкой или я не понимаю Вас
То что vlan Вы получаете в локаль, ни о чем мне не говорит. У Вас было требование - все зашифровать и трафик через vlan и через 4G сеть. См. п.1. По сути Вам нужно выкинуть два тупых свича в гол. и удал. офисах и вместо них поставить два микротика которые, умеют - туннели, шифрование, отслеживание состояние каналов связи и переключение между ними.
ОБа канала - vlan и 4G будут приходить в ОДИН микротик в удаленном офисе.