Форум на Kuban.ru (http://forums.kuban.ru/)
-   Сети и их администрирование (http://forums.kuban.ru/f1029/)
-   -   Программный Интернет-шлюз для Windows Server (http://forums.kuban.ru/f1029/programmnyj_internet-shlyuz_dlya_windows_server-3624229.html)

Agran 30.01.2013 01:32

Программный Интернет-шлюз для Windows Server
 
Выбираю программное решение для сервера предприятия для организации доступа в интернет для сотрудников. Сервер на Windows Server 2012 Standart.
Очень желательна поддержка VPN PPTP.

Обратил внимание на следующие продукты:
Kerio Control - [url]http://www.kerio.ru/ru/control[/url]
WinGate - [url]http://www.wingate.ru/[/url]
UserGate Proxy & Firewall - [url]http://usergate.ru/products/usergate/[/url]
Traffic Inspector - [url]http://www.smart-soft.ru/ru/products/Traffic-Inspector/[/url]

Какие есть ещё серьёзные подобные продукты под WIndows?

Agran 30.01.2013 01:54

Ещё вспомнил Forefront Threat Management Gateway 2010 (TMG) - [url]http://www.microsoft.com/ru-ru/server-cloud/forefront/threat-management-gateway.aspx[/url] .
И кстати VPN подойдёт следующих стандартов: PPTP, IPSec, L2TP, PPPoE.

131266 30.01.2013 07:22

У на ТИ, капризен к сетевухам и дополнительным сетевым(!) сервисам на сервере. В остальном - нравится.

ruvirus 30.01.2013 08:10

0-Agran > Посмотри по стоимости, что тебе позволяет бюджет.

Под виндой Forefront у меня вызвал самые положительные чувства, да и информации в сети по этому продукту масса. Так же, если организация достаточно крупная, то стоит заморочиться законом 152-ф3 - у них есть список сертифицированных проксей (что бы потом не пришлось покупать что-то другое). ТрафикИнспектор там точно был, а вот остальные - надо уточнить.

onanim 30.01.2013 08:23

0 Вообще продукты принято выбирать, исходя также из размера организации. Это важный фактор, который позволяет сэкономить немало средств.
Рекомендую продукты TrendMicro
Для большой организации: [url]http://www.trendmicro.com.ru/enterprise/security-suite-solutions/index.html[/url]
Терминирование VPN лучше организовывать в отдельном сегменте DMZ на выделенном устройстве (VPN, SSL- концентратор), но это также некое типовое решение для некой большой организации с централизацией доступа.

Gochy 30.01.2013 09:47

а что еще за роли будут на сервере?
PS: FW на винсервере имхо моветон. Ну разве что Forefront ихний

economist 30.01.2013 11:07

За деньги, которые стоят эти продукты - имхо, можно купить неплохой сервак и развернуть на нем squid+postfix+iptables или что-то аналогичное. В 2009-м из-за кризиса отказались от продления Kerio в пользу такого решения, вроде как админы привыкли и вообще в него не заглядывают. Средств мониторинга под Linux тоже нашлось немало. Инет-юзеров 120, ящиков 200, групп юзеров по правам доступа - 20, внутренних web-ресуров - около десятка. Геморроя было не в разы, а просто несколько больше. Любой серьезный продукт по-любому изучать и изучать.

ruvirus 30.01.2013 12:04

6-economist > Тут основная фишка не в том-что дешево или дорого, а в управлении из одной оснастки. Т.е. уровни доступа и т.д. надо заходить в сквид, вычислять ипшники (которые могут меняться) и т.д. Очень много гемора. Потому и он бесплатный. FW - в этом плане вин, особенно при перемещаемых профилях, когда на компе работает куча народу и каждому нужен свой доступ. В такой задаче я не вижу альтернатив FW за его деньги.

Gochy 30.01.2013 12:31

да масса альтернатив мс форефронт :)

Gochy 30.01.2013 12:33

но! дораха!

droidman 30.01.2013 15:55

7-ruvirus >[quote]Т.е. уровни доступа и т.д. надо заходить в сквид, вычислять ипшники (которые могут меняться) и т.д[/quote]
внезапно) сквид умеет аутентифицировать не только по IP , но и авторизовывать по LDAP-группе в AD =)

onanim 30.01.2013 16:24

я вот не совсем понимаю материю вашего спора.
Смотрите, автор сформулировал задачу: организация доступа к Интернет. Для такой задачи в простом виде не нужно никакого сервера вообще. А вы уже начали мериться возможностями. Необходима правильная постановка задачи. Она обычно исходит из принятых стандартов.
Если стандартом является: непременно на сервере не знаю почему, я так хочу, это круто, заодно научусь, получу откат и вообще стану крутым админом, то можно просто ткнуть в любой продукт и купить.
Как и в большинстве случаев ситуация пахнет одним: ввязаться, а там посмотрим.

onanim 30.01.2013 16:25

0 Автор, ответь нам. Почему на сервере и почему именно на Win2012 Standard?

Gochy 30.01.2013 16:36

и у ролях на сервере :)

Agran 30.01.2013 17:18

Win2012 Standard уже куплен и менять его на что-то другое не буду. Например мне в нём нравится функция WSUS. И со временем возможно подниму AD. От сервера требуется раздача интернета и сбор статистики кто на каких сайтах лазил и с сколько накачал. Установка приоритета по пользователям. Если в программном шлюзе будут какие-нибудь интересные функции - это приветствуется, возможно их наличие натолкнёт меня на использование. Хотел бы что бы программный шлюз выступал в роли VPN сервера, так как часть сети работает через открытый WIFI и хотелось бы что бы пользователи до сервера ходили через VPN, через него же и авторизовывались, но так же хотелось бы что бы VPN работал без дополнительного софта на клиентах (Windows 7, IPhone).

Agran 30.01.2013 17:21

Компьютеров в сети около 70, бюджет маленький, тысяч до 20-25, но стоит учесть что это образовательное учреждение и многие производители дают хорошие скидки.

onanim 30.01.2013 17:39

Автор, Вы уверены, что поступаете правильно?
На чем базируется Ваша уверенность?

Agran 30.01.2013 18:05

[quote=Онаним;28815400] Автор, Вы уверены, что поступаете правильно? На чем базируется Ваша уверенность? [/quote]Если считаете, что я неправ, то выскажете в чём по вашему я ошибаюсь.

onanim 30.01.2013 18:09

17 Вам следует заказать решение у профессионала, а не экспериментировать самому попутно обучаясь.
Вы и сейчас хотите тут, чтобы Вас научили. А форум- это не то место. Здесь могут только подсказать. Научить - не получится. Все сложнее, чем просто один сервер с кучей функций.
На сим я замолкаю.

Agran 30.01.2013 18:12

18. По первому посту видно, что я хочу, что бы мне посоветовали программный продукт подобный тем, что я привёл.

onanim 30.01.2013 18:48

Вы сами себе и ответили. Для Вашего решения без входных данных подойдет все что угодно.
Т.к. Вы не знаете особенностей того, чего Вы хотите, то можете применить все что угодно, работать будет.
А детали как я понял:
1. Вам не важны
2. Вы их не знаете
3. Вы их хотите выяснить в процессе общения на форуме
4. Да ну их в п0пу, эти детали
выбирайте одно или несколько или все

Все замолк :-)

Gochy 30.01.2013 20:09

AD попенцией в инет это да! это по нашему! :)
поставьте на любой комп pfsense и обрулитесь по самое нихачу. И бесплатно и веб интерфейс и впн и тд и тп

gloomymen 30.01.2013 20:12

21-Gochy >в pfsense фильтром pf или кто?

gloomymen 30.01.2013 20:15

знакомый бздишник летом сетовал, что оно gre не умеет пробрасывать, так что отпадает

131266 30.01.2013 20:39

19-Agran > ставьте ТИ

Agran 30.01.2013 21:01

[quote=Gochy;28817251]поставьте на любой комп pfsense и обрулитесь по самое нихачу. И бесплатно и веб интерфейс и впн и тд и тп [/quote]Спасибо за наводку. Уже сам стал склонятся к подобному решению, как раз есть один свободный системник. Ещё нашёл подобные решения: ClearOS ([url]http://www.clearfoundation.com/[/url]), Zentyal ([url]http://www.zentyal.org/[/url]).

701054 30.01.2013 21:13

[quote=gloomymen;28817301]21-Gochy >в pfsense фильтром pf или кто? [/quote]
ога pf там фильтром, зато к АД теже всякие лдапы цеплять могет парой кликов )))

[quote=gloomymen;28817340]знакомый бздишник летом сетовал, что оно gre не умеет пробрасывать, так что отпадает [/quote]
давно посл раз пробовал,если точнее то не умеет больше одного соединения одновременно , если навесить алиасом адресов на внешке, то ещё варианты, но как-то с ipfw обычно пробрасывали...вроде при сильной необходимости...у меня как-то не возникала :)

Flukostat 30.01.2013 21:13

glomymen, почему не даешь совет воткнуть на свободный системник endian ? :)

131266 30.01.2013 21:16

25-Agran > тогда клирос, только 5 версии. pf не ставь - запутаешься. и к клиросу вебмин ещё, а то в клиросе многого из интерфейса не сделаешь.

701054 30.01.2013 21:20

[em]до недавненго времени во freebsd pf nat не умел gre через себя пускать, а с ftp он так и не дружит особо. держит ftp-proxy или как его на лупбаке? [/em]
(c) коммент из [url]http://habrahabr.ru/post/82656/[/url]
у pfsense-а точно есть ftp-helper, а насчет gre даже не знаю, не нужно оно мне было, мож и вправду в pf поправили или тож костыль какой для гре стоит типа нат другой под gre даж не интересовался...

Agran 30.01.2013 21:32

28-Старый Седой Лис >Почему 5 версии? Есть же ClearOS 6.3.0.

131266 30.01.2013 21:37

30-Agran > [url]http://www.clearos.ru/forum/[/url]
и читать, читать, читать....

701054 30.01.2013 21:54

да, я главное то упустил, пробрасывать обычно через pfsense не надо т.к. на нем терминировать можно и pptp и openvpn и ipsec и просто gre туннели, и наверняка что-то чего не знаю ))) openvpn в любом случае само оно, дык там для клиента и сборку с инсталлером под форточки\просто конфиг\под вискосити или как его там маковский одним кликом можно дернуть..
для меня былоб странно ставить *nix и пробрасывать vpn внутрь чтоб терминировать на win :)

NOVIchok 30.01.2013 21:58

Forefront Threat Management Gateway 2010 (TMG) уже не продаётся

gloomymen 30.01.2013 22:20

27-Flukostat > оставил эту возможность тебе
32-701054 > [em]ставить *nix и пробрасывать vpn внутрь чтоб терминировать на win :)[/em]
почему именно на вин?
а с исходящими туннелями что делать? есть информация что их не будет?

701054 30.01.2013 22:26

через нат на pf-е один должен быть, дальше не знаю...надо проверять...я на самом деле давно pptp не пользовался...или openvpn или поднято со шлюза, не могу сказать...

701054 30.01.2013 23:00

вообще воспоминание есть с rdr всего gre с внешнего адреса на внутр, а вот для чего не помню...есть подозение это исходящий не работал, на 6-ке чтоли было фре с pf, по-другому не хотело...поэтому старался openvpn использовать, у меня вообще предвзятое отношение к gre , ike для мобильных клиентов, тут openvpn самое оно, ...но теже банк клиенты с gre бывают...но мне толи не попадались после того случая, толи что-то поправили.

701054 30.01.2013 23:10

чем кончилось не вспомню, может алиас поднимал и bi-nat который 1 в 1 сопоставляет именно под того банк-клиента или натил чем-то другим, но грабли именно с банк-клиентом который пользовал gre были это точно.

Agran 31.01.2013 04:45

31-Старый Седой Лис >Посмотрел СlearOS 5. Всё хорошо, но настроек некоторый не хватает. Установил Webmin и показалось, что они с СlearOS не совсем дружат. Боюсь если начну менять настройки через Webmin, то СlearOS может заглючить. Так же посмотрел Zentyal, настроек больше, но в этом всём сложнее разобраться. И очень не понравилось что для VPN надо заводить отдельных пользователей. В СlearOS все пользователи общие на все сервисы, но не понравилось, что под одним и тем же пользователем VPN можно подключатся одновременно с разных компьютеров, а где это настроить не видно.

131266 31.01.2013 07:07

38-Agran > да, где-то не дружат, вернее, пересекаются, но это легко вычислить простой перезагрузкой). в общем если, то клирос - глобальные настройки и взаимодействие пакетов, вебмин - причесать.


Текущее время: 01:32. Часовой пояс GMT +3.