L8SaE-RexHn1 Posted January 25, 2015 · Report post Доброго времени суток, aLL Имеется офис с OpenVPN-сервером на убунте и парой десятков подключенных удаленных офисов. Также, роясь давеча в кладовке, нашлась такая себе железяка, как Cisco 2911. Я, наверняка, глупый вопрос задам, но все же: что из себя представляет данное железо и возможно ли на нем поднять замену убунту-серверу в качестве OVPN-сервера? И еще: данную циску можно использовать как балансировщик 2-х инет-каналов? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dr Tr0jan Posted January 25, 2015 · Report post В качестве OpenVPN (и сервера, и клиента) - нельзя. Балансировать два канала можно, но сложно. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
L8SaE-RexHn1 Posted January 25, 2015 · Report post В качестве OpenVPN (и сервера, и клиента) - нельзя. Балансировать два канала можно, но сложно. Спасибо. То-бишь ВПН-сервер (пусть даже и не openvpn) на ней не сделать? Так, тогда чем же так крута сея железяка, судя по пресс-релизам? Какова ее ниша? Навороченный роутер? Какова типичная облатсь применения? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted January 25, 2015 · Report post В качестве OpenVPN (и сервера, и клиента) - нельзя. Балансировать два канала можно, но сложно. Спасибо. То-бишь ВПН-сервер (пусть даже и не openvpn) на ней не сделать? Так, тогда чем же так крута сея железяка, судя по пресс-релизам? Какова ее ниша? Навороченный роутер? Какова типичная облатсь применения? 2911 умеет различные vpn, см. описание к ней на сайте производителя, но конкретно openvpn она не умеет, так же как и её ближайшие конкуренты - juniper, huawei, alu и т.п. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zelfix Posted January 25, 2015 · Report post Как уже ответили, OpenVPN на циске поднять не получится, поэтому если у вас несколько десятков филиалов на нем работает, то смысла циску внедрять нет. А балансировка двух каналов делается на ней достаточно несложно. Вот например мануал http://www.anticisco.ru/pubs/DualISPRouter.pdf от Сергея Федорова Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ShyLion Posted January 29, 2015 · Report post То-бишь ВПН-сервер (пусть даже и не openvpn) на ней не сделать? PPTP, L2TP, L2TP+IPSec - для доступа пользователей DMVPN c IPSec и без, статические туннели GRE, IPIP, Site-to-site IPSec, L2TP xconnect - для подключения удаленных подразделений и еще херова гора технологий для всякого разного. OpenVPN это единственное что она не умеет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dr Tr0jan Posted January 29, 2015 · Report post ShyLion, Cisco SSL VPN умеет ещё (правда с мутным лицензированием). Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
L8SaE-RexHn1 Posted February 4, 2015 · Report post Всем спасибо за ответы. В целом все понятно Дабы не плодить зря темы, продолжу здесь: в конторе на данный момент есть 1 канал 100Мбит, которым удаленные ОпенВПН-клиенты ходят на внутренние сервисы головного офиса. Нагрузка небольшая, на данный момент 30+ офисов и ~300 активных клиентов, но далее все вырастет в 2-3 раза. По клиентам - уже до 2-3х тысяч. На данный момент "точкой входа" является сервер с pfSense (xeon, 8GB памяти, 4 гигабитных сетевых). Его задача - проброс портов, балансировка каналов (в дальнейшем) и отбивание постоянного дДОС и вообще - сетевых атак. Вопрос: есть ли смысл менять pfSense на что-то "железное" типа вышеупомянутой циски? На офисе есть циски серий 3560, 3750 и 2811, и nortel 5510 (но с этим я знаком) - что-то из этого в качестве граничного маршрутизатора-балансера для задачи подойдет? Сам ранее не имел дела с сетями и инфраструктурами такого уровня, равно как и с оборудованием cisco такого класса не работал (предыдущая работа - 250 ПК в одной сети одного здания, оборудование Nortel, никаких VPNов и статические маршруты). Так что прошу простить за некоторую размытость формулировок и "новичковость" вопросов... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted February 4, 2015 · Report post L8SaE-RexHn1 Чтобы отказаться от сервера в пользу Cisco или анологичных решений от других вендоров, вам нужно будет отказаться от OpenVPN Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
L8SaE-RexHn1 Posted February 4, 2015 · Report post L8SaE-RexHn1 Чтобы отказаться от сервера в пользу Cisco или анологичных решений от других вендоров, вам нужно будет отказаться от OpenVPN Да, я уже понял, что опенвпн на циско и Ко не поднять. ВПН-сервер есть (и будет) отдельной машиной, и именно опенвпн. Роль аппаратного маршрутизатора будет сводиться лишь к пробросу порта. Я пытаюсь понять: есть ли в описанной мной задаче какие-то выгоды от использования именно аппаратных решений и, если есть, то какие? Или достаточно будет "программных" роутеров на *nix? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted February 4, 2015 · Report post L8SaE-RexHn1 ставить рядом Cisco только ради проброса портов нет смысла. с этим linux и даже freebsd(на которой построен ваш pfSense) справляется нормально просто у вас вместо одной точки отказа будет 2 точки отказа и ничего больше лучше ставьте рядом Cisco и постепенно переводите трафик на неё, заменяя openvpn на ipsec во всех точках. или сначала перейдите на ipsec, а потом замените сервер на Cisco Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zelfix Posted February 4, 2015 (edited) · Report post лучше ставьте рядом Cisco и постепенно переводите трафик на неё, заменяя openvpn на ipsec во всех точках. или сначала перейдите на ipsec, а потом замените сервер на Cisco Какой смысл потрошить уже хорошо работующую инфраструктуру? С помощью cisco хорошо делать, например, DMVPN, у него есть ряд преимуществ для Hub-and-Spoke сетей перед OpenVPN. Но для этого придется на всех споках также ставить циски. Поэтому, имхо, поставьте циску для терминации каких-нибудь некритичных сервисов, поиграться и поучиться. Edited February 4, 2015 by zelfix Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
L8SaE-RexHn1 Posted February 8, 2015 · Report post s.lobanov,zelfix Большое спасибо за подробные ответы. Понял, что на данном этапе развития конторы существующие циски профита не принесут, раз так, то пусть пока лежат. Буду потихоньку изучать, авось и пригодятся где... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zi_rus Posted February 8, 2015 · Report post лучше ставьте рядом Cisco и постепенно переводите трафик на неё, заменяя openvpn на ipsec во всех точках. или сначала перейдите на ipsec, а потом замените сервер на Cisco Какой смысл потрошить уже хорошо работующую инфраструктуру? С помощью cisco хорошо делать, например, DMVPN, у него есть ряд преимуществ для Hub-and-Spoke сетей перед OpenVPN. Но для этого придется на всех споках также ставить циски. Поэтому, имхо, поставьте циску для терминации каких-нибудь некритичных сервисов, поиграться и поучиться. гуглинг говорит что для линуксов есть реализация nhrp, но кто знает как оно реализовано, это все надо тестировать Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...