Выбор VPN-роутера
 

Возникла задача объединения двух офисов VPN-туннелем и плюс обеспечение доступа мобильных юзеров в сеть.
Т.е. конфигурация сети должна выглядеть так:
Центральный офис с установленным VPN-роутером, выполняющим роль VPN-сервера. Для простоты понимания LAN-подсеть этого офиса будем считать 192.168.5.0/24. Интернет подается Ростелекомом через ADSL без статического IP-адреса, в этой связи планируется использование сервиса dlinkddns.
Дополнительный офис с установленным VPN-роутером, выполняющим роль VPN-клиента к роутеру в центральном офисе. Для простоты понимания LAN-подсеть этого офиса будем считать 192.168.6.0/24. Интернет подается модемом 4G от мегафона через роутер Zyxel Keenetic. В доп.офисе всего два или три компьютера, поэтому 4G вполне достаточно.
Логика маршрутизации для обоих офисов должна быть одинаковой: роутер центрального офиса «понимая», что из сети за его спиной идет пакет в подсеть 192.168.6.0/24 отправляет его в VPN-туннель. В противном случае в свой WAN-интерфейс, который выходит на ADSL-модем. Аналогично в доп.офисе – роутер должен «понимать», что если пакет из его локалки предназначен для 192.168.5.0/24 – отправляем его в VPN-туннель. В противном случае – на WAN-интерфейс, где стоит Zyxel Keenetic с подключенным модемом 4G.
Количество мобильных пользователей одновременно подключенных к VPN вряд ли превысит десяток. Однако всего их будет около 20. Для каждого из них необходимо заводить какую-то учетку, чтобы понимать, кто именно к нам пришел. Интеграция с AD приветствуется, т.к. внедрение AD не за горами, однако сейчас необходимо каждому клиенту создавать отдельный аккаунт без AD.
В качестве дополнительных пожеланий к роутерам – хорошо бы, если он мог поднимать PPPoE-сессию на ADSL-модеме, настроенном бриджом; а так же наличие WiFi будет плюсом.
Посоветуйте - какие VPN-роутеры купить для этой задачи?

Забудь пока про Кинетик, я с ними уже полгода бьюсь.
Обещали в новой версии прошивки победить проброс портов сквозь Кинетик при подсоединении его как клиентом ВПН, но проверить не могу, так как эта сволочь при указании аутентификации по MS-CHAP v2 валит ошибки что MS-CHAP и CHAP не фурычит а про MS-CHAP v2 даже не вспоминает.

Лень для проверки менять настройки на серваке. Ну и не проверял по L2TP, только по PPTP.

речь для Кинетиков с прошивкой версии 2 ессно.

Кинетик предполагается использовать только как поставщика инета. Роль VPN-клиента хочется повесить на кого-нибудь более профессионального. Т.е. чтобы у этого роутера Кинетик был подкинут на WAN и просто давал ему инет - не более.
Вот думаю - кого купить, чтобы он в одном офисе стоял как VPN-сервер, а в другом как VPN-клиент, да еще и грамотно маршрутизировал пакеты - кого просто на WAN форварднуть и выпустить через свой локальный инет наружу, а кого в VPN-туннель отправить

заплати прову 40р за статик ип
[url]http://spvd.ru/page/ddwrt-openvpn-static[/url]

если офисов будет много, и в каждом до 3-х человек
я бы сделал так.
офис - openvpn + плагин для авторизации в домене.
клиенты - у каждого стоит openvpn client.

3-ИТД > а 4G какой именно использовать предполагается ? LTE ?

з.ы. в любом случае советую на серваке делать либо openVPN либо L2TP, у PPTP нет контроля соединения к сожалению...

Mikrotik rb751g-2hnd количество 2 шт
понимают 3ж модэмы умеют WIFI и отлично работают как VPN роутеры

6-NOVIchok >а штоб до конца испугать автора неведомой железякой, сообщим, что сервисы типа dyndns на микротике не реализованы, точнее необходимо самому писать скрипты.

7-Sages >120 р за статический айпи адрес на 3ж модэме решит эту пугалку

3-ИТД >кинетик для бизнеса - зло

В ЦО наверняка есть сервак. Поднять на нем РРТР и ovpn
ovpn - для поддержания постоянного соединения офисов и юзеров с мразматичным отношением к шифрованию.

РРТР для упёртых или очень упертых. Пугалки, что он скоро будет колоться на раз-два небезосновательны.

DDNS лучше заменить на просто DNS. Все эти длинк-асус и прочие сервисы - фуфел и иногда лежат. Так, что или постоянный айпи, или корыстный ddns, который за деньги будет работать 24/7/365.

дешевые железки типа netgear подерживают РРТР и 10 клиентов нативно, но требования - 20. Да и netgear стоит 5-6к, за эти деньги можно взять нетбук, водрузить нормальную ось и поставить необходимые сервисы. Он еще и с дисплеем окажется, несложным бэкапом, бесперибойником и возможностью роста. Либо, самосбор.
В общем, цена вопроса не озвучена, исхожу из того, что денег нет ваще нет.

[quote=wladuha;27608910]заплати прову 40р за статик ип[/quote] в центральном офисе у Ростелекома статик купить в общем-то не сложно. А вот как у грамафона с этим? - надо позвонить, узнать. В принципе да - если будет два статик IP, то и на попсовых длинках можно будет туннель собрать...
[quote=Перпетум Мобиле;27609229] 3-ИТД > а 4G какой именно использовать предполагается ? LTE ? з.ы. в любом случае советую на серваке делать либо openVPN либо L2TP, у PPTP нет контроля соединения к сожалению... [/quote]
Да, мегафон 4Г ЛТЕ - собственно щас он и стоит в доп.офисе стабильно дает около 4 мегабит, чего с головой хватает.
А вот от сервака хочется как раз таки уйти - щас с центральном офисе стоит WinSrv2008 с поднятым RAS, который обеспечивает NAT+VPN, по финансовым обстоятельствам он же и сервер БД и терминальный сервер - в общем не кошерно все это на одной машине держать, да и RAS почему-то регулярно падает, приходится его руками передергивать... в общем отсюда и родилась идея вынести VPN-сервер на отдельную железку.
В доп.офисе кинетик с грамафоном 4Г так же стоит давно и у юзеров просто выведены на рабочий стол ярлыки VPN-соединения с центральным офисом. По сути коннект идет на хост bla-bla-bla.dlinkddns.com, ADSL-модем в центральном офисе поддерживает dlinkddns, бросается порт 1723 на сервер и как-то так все это работает на данный момент.
Не нравится идея того, что стационарным юзерам из доп.офиса постоянно приходится ручками инициировать коннект. С полевыми все понятно - никуда они от этого не уйдут, а вот офисным хочется жизнь облегчить. Плюс постоянный VPN-туннель позволит из центрального офиса получать доступ к ресурсам дополнительного - например посмотреть IP-камеры, что тоже было бы не лишним...
[quote=NOVIchok;27610645] Mikrotik rb751g-2hnd количество 2 шт понимают 3ж модэмы умеют WIFI и отлично работают как VPN роутеры [/quote] Купили мы два микротика - тока кажется какая-то другая модель, но не суть. - сидим курим маны, девайсы жосткие - это тебе не длинк :) в общем пока не очень понятно, КАК именно их заставить работать, плюс еще подсказывают
[quote=Sages;27610840] 6-NOVIchok >а штоб до конца испугать автора неведомой железякой, сообщим, что сервисы типа dyndns на микротике не реализованы, точнее необходимо самому писать скрипты. [/quote]
это вообще грусть печальная...
[quote=pinya;27614034]В ЦО наверняка есть сервак. Поднять на нем РРТР и ovpn[/quote]
См выше про сервак
[quote=pinya;27614034]ovpn - для поддержания постоянного соединения офисов и юзеров с мразматичным отношением к шифрованию.[/quote]
честно говоря про OpenVPN не думал - можно, конечно, попробовать, но для этого в доп.офисе тоже нужно машину ставить, которая будет туннель держать? Расставлять клиентом ovpn не хочется, т.к. см выше про общий доступ к сети доп.офиса.
[quote=pinya;27614034]DDNS лучше заменить на просто DNS. Все эти длинк-асус и прочие сервисы - фуфел и иногда лежат. Так, что или постоянный айпи, или корыстный ddns, который за деньги будет работать 24/7/365.[/quote]
ну наверно все таки статик ип. хотя должен заметить, что dlinkddns сколько его юзаем уже наверно почти год - лагов замечено не было...
[quote=pinya;27614034] взять нетбук, водрузить нормальную ось[/quote]
за 5 штук не получится - нормальная ось денег стоит, а пиратку ставить религия не позволяет. собсна и это тоже рассматривается как аргумент в пользу железки, чтоп не ставить второй сервак в доп.офисе.
[quote=pinya;27614034]В общем, цена вопроса не озвучена, исхожу из того, что денег нет ваще нет.[/quote]
Денег есть 10-12 тыщ на оба офиса

11-ИТД >не клюйте мозг никому. два микротика за 2900 (у нас пусть 3500 у барыг будут) и статику хотя бы в один офис.

[em]OpenVPN не думал - можно, конечно, попробовать, но для этого в доп.офисе тоже нужно машину ставить[/em]
посмотрите на микротики внимательнее, может и не придется

(11) нормальная ось скачивается бесплатно.
У меня доп офис (4 клиента в терминал/файлопомойку + 4 SIP alaw) работает на asus eee701 (цилер 600мгц, 4гб SSD). Дистр линукса выбирал исходя из вмещаемости SSD. Отвалов еще небыло, дополнительные затраты на оборудование и софт - ноль (ну, 15 рублей за болванку под линукс).

Микротик щупать не доводилось, работаем с тем, что есть.

[quote=Sages;27615290] 11-ИТД >не клюйте мозг никому. два микротика за 2900 (у нас пусть 3500 у барыг будут) и статику хотя бы в один офис. [/quote][quote=gloomymen;27615781]посмотрите на микротики внимательнее, может и не придется[/quote]
Специально достал коробки с купленными микротиками - таки да, оба RB751G-2HnD
Коллеги, если у кого-то есть желание+возможность оказать саппорт в их настройке под мою задачу - буду крайне признателен в магарычево-рублевом эквиваленте. Если что - пишите в личку.[quote=pinya;27617439]У меня доп офис (4 клиента в терминал/файлопомойку + 4 SIP alaw) работает на asus eee701 (цилер 600мгц, 4гб SSD). Дистр линукса выбирал исходя из вмещаемости SSD. Отвалов еще небыло, дополнительные затраты на оборудование и софт - ноль (ну, 15 рублей за болванку под линукс).[/quote]
т.е. я так понимаю, что недобуки под линями в каждом офисе по сути и являются VPN-роутерами, плюс статические ип и вот оно решение моей задачи?
Ну, возьму как запасной вариант, если с микротиками ничего не получится...

[url]http://www.lanmart.ru/blogs/mikrotik-rb751u-2hnd_rezim-besprovodnyj-router[/url]
[url]http://www.sibdata.ru/catalog/cid/228/[/url]
[url]http://habrahabr.ru/post/80883/[/url]
Пиво с тебя :)))
Мне кстати минут 10 назад такой принесли, надо настроить примерно под те же цели. Отличная железка. Дома такой же :)

[quote=KpblcuK;27620751] [url]http://www.lanmart.ru/blogs/mikrotik...ovodnyj-router[/url] [url]http://www.sibdata.ru/catalog/cid/228/[/url] [url]http://habrahabr.ru/post/80883/[/url] Пиво с тебя :))) Мне кстати минут 10 назад такой принесли, надо настроить примерно под те же цели. Отличная железка. Дома такой же :) [/quote]
Признаюсь честно - админить роутеры с консоли не умею, всю жизнь длинкоподобное железо мышкой настраивал, поэтому вторая и третья твои ссылки мне как мертвому рукопожатие. Первую щас буду пристально курить.
А вообще мое предложение в силе - приходи ко мне, настроим обе железки, ну и пиво с меня - никаких проблем!

Пользуйся WinBox'ом, удобная штука (из нее консоль тоже открывается). К сожалению в гости в ближайшие пару дней не смогу, приболел :( Выкарабкаюсь либо на выходных либо в понедельник...

Скажите, где купить обозванный Микротик ? а то зюксели достали уже, да и воевать с ними надоело...

Грамафон на ЛТЕ вроде не дает статику, хотя может уже что изменилось.

[quote=Перпетум Мобиле;27622417] Скажите, где купить обозванный Микротик ? а то зюксели достали уже, да и воевать с ними надоело... [/quote]
Ну, если город Краснодар, я пользуюсь 2 магазинами (лично мое мнение, не на правах рекламы). 1) wifimag если есть дня 4 на доставку из Москвы, цены самые приятные даже с доставкой 2) ipboom филиал есть на ул ставропольской, почти всегда все есть, но цена за единицу товара будет как в первом только с доставкой (это если очень срочно нужна железка). Есть конечно еще ЦМТО, они как раз начинают торговать оборудованием УБНТ и МикроТик, но и ассортимент пока страдает и цены как обычно - не айс.
Так что если собираетесь покупать 1 единицу железок 2й вариант самое то (по сайту как раз на складе одна осталась), если 2 или больше железок тогда в первый вариант.

21-KpblcuK > уже заказал во втором :)

Если он запустится с полпинка на настроенном серваке, то Зиксель явно отправится в топку, только ради интереса техподдержку добью на предмет работы проброса портов сквозь VPN... чисто задело :)

11-ИТД >не поверишь даже в ютьюбе есть ролики "как настроить PPTP на микротике"

[quote=Перпетум Мобиле;27622676] Если он запустится с полпинка на настроенном серваке, то Зиксель явно отправится в топку, только ради интереса техподдержку добью на предмет работы проброса портов сквозь VPN... чисто задело :) [/quote]
А что там добивать? Есть конкретный пример, у меня дома висит подключенным к динамик ip провайдера и постоянно висит подключение к работе по впн, нарезан полный доступ с моей рабочей машины на адрес впн интерфейса в микротике, а там... В общем куда хочешь и что хочешь пробрасывай (тестил проброс на рдп, хттп и сип, думаю на остальном тоже без проблем будет работать).

[quote=NOVIchok;27622841] 11-ИТД >не поверишь даже в ютьюбе есть ролики "как настроить PPTP на микротике" [/quote]
Они же по моему без голоса? Все же, прочитать лучше :) А статейка на ланмарт все же хорошая.