| 0
- 07.11.2012 - 16:29
|
Возникла задача объединения двух офисов VPN-туннелем и плюс обеспечение доступа мобильных юзеров в сеть. Т.е. конфигурация сети должна выглядеть так: Центральный офис с установленным VPN-роутером, выполняющим роль VPN-сервера. Для простоты понимания LAN-подсеть этого офиса будем считать 192.168.5.0/24. Интернет подается Ростелекомом через ADSL без статического IP-адреса, в этой связи планируется использование сервиса dlinkddns. Дополнительный офис с установленным VPN-роутером, выполняющим роль VPN-клиента к роутеру в центральном офисе. Для простоты понимания LAN-подсеть этого офиса будем считать 192.168.6.0/24. Интернет подается модемом 4G от мегафона через роутер Zyxel Keenetic. В доп.офисе всего два или три компьютера, поэтому 4G вполне достаточно. Логика маршрутизации для обоих офисов должна быть одинаковой: роутер центрального офиса «понимая», что из сети за его спиной идет пакет в подсеть 192.168.6.0/24 отправляет его в VPN-туннель. В противном случае в свой WAN-интерфейс, который выходит на ADSL-модем. Аналогично в доп.офисе – роутер должен «понимать», что если пакет из его локалки предназначен для 192.168.5.0/24 – отправляем его в VPN-туннель. В противном случае – на WAN-интерфейс, где стоит Zyxel Keenetic с подключенным модемом 4G. Количество мобильных пользователей одновременно подключенных к VPN вряд ли превысит десяток. Однако всего их будет около 20. Для каждого из них необходимо заводить какую-то учетку, чтобы понимать, кто именно к нам пришел. Интеграция с AD приветствуется, т.к. внедрение AD не за горами, однако сейчас необходимо каждому клиенту создавать отдельный аккаунт без AD. В качестве дополнительных пожеланий к роутерам – хорошо бы, если он мог поднимать PPPoE-сессию на ADSL-модеме, настроенном бриджом; а так же наличие WiFi будет плюсом. Посоветуйте - какие VPN-роутеры купить для этой задачи?     | | |||||||||
| 1
- 07.11.2012 - 17:05
|
Забудь пока про Кинетик, я с ними уже полгода бьюсь. Обещали в новой версии прошивки победить проброс портов сквозь Кинетик при подсоединении его как клиентом ВПН, но проверить не могу, так как эта сволочь при указании аутентификации по MS-CHAP v2 валит ошибки что MS-CHAP и CHAP не фурычит а про MS-CHAP v2 даже не вспоминает. Лень для проверки менять настройки на серваке. Ну и не проверял по L2TP, только по PPTP. | | |||||||||
| 2
- 07.11.2012 - 17:06
| речь для Кинетиков с прошивкой версии 2 ессно. | | |||||||||
| 3
- 07.11.2012 - 17:45
|
Кинетик предполагается использовать только как поставщика инета. Роль VPN-клиента хочется повесить на кого-нибудь более профессионального. Т.е. чтобы у этого роутера Кинетик был подкинут на WAN и просто давал ему инет - не более. Вот думаю - кого купить, чтобы он в одном офисе стоял как VPN-сервер, а в другом как VPN-клиент, да еще и грамотно маршрутизировал пакеты - кого просто на WAN форварднуть и выпустить через свой локальный инет наружу, а кого в VPN-туннель отправить | | |||||||||
| 4
- 07.11.2012 - 20:33
|
заплати прову 40р за статик ип http://spvd.ru/page/ddwrt-openvpn-static если офисов будет много, и в каждом до 3-х человек я бы сделал так. офис - openvpn + плагин для авторизации в домене. клиенты - у каждого стоит openvpn client. | | |||||||||
| 5
- 07.11.2012 - 20:58
|
3-ИТД > а 4G какой именно использовать предполагается ? LTE ? з.ы. в любом случае советую на серваке делать либо openVPN либо L2TP, у PPTP нет контроля соединения к сожалению... | | |||||||||
| 6
- 07.11.2012 - 22:45
|
Mikrotik rb751g-2hnd количество 2 шт понимают 3ж модэмы умеют WIFI и отлично работают как VPN роутеры | | |||||||||
| 7
- 07.11.2012 - 23:06
| 6-NOVIchok >а штоб до конца испугать автора неведомой железякой, сообщим, что сервисы типа dyndns на микротике не реализованы, точнее необходимо самому писать скрипты. | | |||||||||
| 8
- 07.11.2012 - 23:12
| 7-Sages >120 р за статический айпи адрес на 3ж модэме решит эту пугалку | | |||||||||
| 9
- 07.11.2012 - 23:13
| 3-ИТД >кинетик для бизнеса - зло | | |||||||||
| 10
- 08.11.2012 - 09:50
|
В ЦО наверняка есть сервак. Поднять на нем РРТР и ovpn ovpn - для поддержания постоянного соединения офисов и юзеров с мразматичным отношением к шифрованию. РРТР для упёртых или очень упертых. Пугалки, что он скоро будет колоться на раз-два небезосновательны. DDNS лучше заменить на просто DNS. Все эти длинк-асус и прочие сервисы - фуфел и иногда лежат. Так, что или постоянный айпи, или корыстный ddns, который за деньги будет работать 24/7/365. дешевые железки типа netgear подерживают РРТР и 10 клиентов нативно, но требования - 20. Да и netgear стоит 5-6к, за эти деньги можно взять нетбук, водрузить нормальную ось и поставить необходимые сервисы. Он еще и с дисплеем окажется, несложным бэкапом, бесперибойником и возможностью роста. Либо, самосбор. В общем, цена вопроса не озвучена, исхожу из того, что денег нет ваще нет. | | |||||||||
| 11
- 08.11.2012 - 10:27
| Цитата:
Цитата:
А вот от сервака хочется как раз таки уйти - щас с центральном офисе стоит WinSrv2008 с поднятым RAS, который обеспечивает NAT+VPN, по финансовым обстоятельствам он же и сервер БД и терминальный сервер - в общем не кошерно все это на одной машине держать, да и RAS почему-то регулярно падает, приходится его руками передергивать... в общем отсюда и родилась идея вынести VPN-сервер на отдельную железку. В доп.офисе кинетик с грамафоном 4Г так же стоит давно и у юзеров просто выведены на рабочий стол ярлыки VPN-соединения с центральным офисом. По сути коннект идет на хост bla-bla-bla.dlinkddns.com, ADSL-модем в центральном офисе поддерживает dlinkddns, бросается порт 1723 на сервер и как-то так все это работает на данный момент. Не нравится идея того, что стационарным юзерам из доп.офиса постоянно приходится ручками инициировать коннект. С полевыми все понятно - никуда они от этого не уйдут, а вот офисным хочется жизнь облегчить. Плюс постоянный VPN-туннель позволит из центрального офиса получать доступ к ресурсам дополнительного - например посмотреть IP-камеры, что тоже было бы не лишним... Цитата:
Цитата:
Цитата:
Цитата:
Цитата:
Цитата:
Цитата:
| | |||||||||
| 12
- 08.11.2012 - 10:44
| 11-ИТД >не клюйте мозг никому. два микротика за 2900 (у нас пусть 3500 у барыг будут) и статику хотя бы в один офис. | | |||||||||
| 13
- 08.11.2012 - 11:04
| OpenVPN не думал - можно, конечно, попробовать, но для этого в доп.офисе тоже нужно машину ставить посмотрите на микротики внимательнее, может и не придется | | |||||||||
| 14
- 08.11.2012 - 12:32
|
(11) нормальная ось скачивается бесплатно. У меня доп офис (4 клиента в терминал/файлопомойку + 4 SIP alaw) работает на asus eee701 (цилер 600мгц, 4гб SSD). Дистр линукса выбирал исходя из вмещаемости SSD. Отвалов еще небыло, дополнительные затраты на оборудование и софт - ноль (ну, 15 рублей за болванку под линукс). Микротик щупать не доводилось, работаем с тем, что есть. | | |||||||||
| 15
- 08.11.2012 - 13:43
| Цитата:
Цитата:
Коллеги, если у кого-то есть желание+возможность оказать саппорт в их настройке под мою задачу - буду крайне признателен в магарычево-рублевом эквиваленте. Если что - пишите в личку. Цитата:
Ну, возьму как запасной вариант, если с микротиками ничего не получится... | | |||||||||
| 16
- 08.11.2012 - 15:05
| http://www.lanmart.ru/blogs/mikrotik...ovodnyj-router http://www.sibdata.ru/catalog/cid/228/ http://habrahabr.ru/post/80883/ Пиво с тебя :))) Мне кстати минут 10 назад такой принесли, надо настроить примерно под те же цели. Отличная железка. Дома такой же :) | | |||||||||
| 17
- 08.11.2012 - 15:16
| Цитата:
А вообще мое предложение в силе - приходи ко мне, настроим обе железки, ну и пиво с меня - никаких проблем! | | |||||||||
| 18
- 08.11.2012 - 15:23
| Пользуйся WinBox'ом, удобная штука (из нее консоль тоже открывается). К сожалению в гости в ближайшие пару дней не смогу, приболел :( Выкарабкаюсь либо на выходных либо в понедельник... | | |||||||||
| 19
- 08.11.2012 - 16:32
| Скажите, где купить обозванный Микротик ? а то зюксели достали уже, да и воевать с ними надоело... | | |||||||||
| 20
- 08.11.2012 - 16:33
| Грамафон на ЛТЕ вроде не дает статику, хотя может уже что изменилось. | | |||||||||
| 21
- 08.11.2012 - 16:48
| Цитата:
Так что если собираетесь покупать 1 единицу железок 2й вариант самое то (по сайту как раз на складе одна осталась), если 2 или больше железок тогда в первый вариант. | | |||||||||
| 22
- 08.11.2012 - 16:50
| 21-KpblcuK > уже заказал во втором :) | | |||||||||
| 23
- 08.11.2012 - 16:51
| Если он запустится с полпинка на настроенном серваке, то Зиксель явно отправится в топку, только ради интереса техподдержку добью на предмет работы проброса портов сквозь VPN... чисто задело :) | | |||||||||
| 24
- 08.11.2012 - 17:04
| 11-ИТД >не поверишь даже в ютьюбе есть ролики "как настроить PPTP на микротике" | | |||||||||
| 25
- 08.11.2012 - 17:09
| Цитата:
| | |||||||||
| 26
- 08.11.2012 - 17:10
| Цитата:
| |
Интернет-форум Краснодарского края и Краснодара |
