L8SaE-RexHn1 Posted January 25, 2015 Доброго времени суток, aLL Имеется офис с OpenVPN-сервером на убунте и парой десятков подключенных удаленных офисов. Также, роясь давеча в кладовке, нашлась такая себе железяка, как Cisco 2911. Я, наверняка, глупый вопрос задам, но все же: что из себя представляет данное железо и возможно ли на нем поднять замену убунту-серверу в качестве OVPN-сервера? И еще: данную циску можно использовать как балансировщик 2-х инет-каналов? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dr Tr0jan Posted January 25, 2015 В качестве OpenVPN (и сервера, и клиента) - нельзя. Балансировать два канала можно, но сложно. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
L8SaE-RexHn1 Posted January 25, 2015 В качестве OpenVPN (и сервера, и клиента) - нельзя. Балансировать два канала можно, но сложно. Спасибо. То-бишь ВПН-сервер (пусть даже и не openvpn) на ней не сделать? Так, тогда чем же так крута сея железяка, судя по пресс-релизам? Какова ее ниша? Навороченный роутер? Какова типичная облатсь применения? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted January 25, 2015 В качестве OpenVPN (и сервера, и клиента) - нельзя. Балансировать два канала можно, но сложно. Спасибо. То-бишь ВПН-сервер (пусть даже и не openvpn) на ней не сделать? Так, тогда чем же так крута сея железяка, судя по пресс-релизам? Какова ее ниша? Навороченный роутер? Какова типичная облатсь применения? 2911 умеет различные vpn, см. описание к ней на сайте производителя, но конкретно openvpn она не умеет, так же как и её ближайшие конкуренты - juniper, huawei, alu и т.п. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zelfix Posted January 25, 2015 Как уже ответили, OpenVPN на циске поднять не получится, поэтому если у вас несколько десятков филиалов на нем работает, то смысла циску внедрять нет. А балансировка двух каналов делается на ней достаточно несложно. Вот например мануал http://www.anticisco.ru/pubs/DualISPRouter.pdf от Сергея Федорова Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ShyLion Posted January 29, 2015 То-бишь ВПН-сервер (пусть даже и не openvpn) на ней не сделать? PPTP, L2TP, L2TP+IPSec - для доступа пользователей DMVPN c IPSec и без, статические туннели GRE, IPIP, Site-to-site IPSec, L2TP xconnect - для подключения удаленных подразделений и еще херова гора технологий для всякого разного. OpenVPN это единственное что она не умеет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dr Tr0jan Posted January 29, 2015 ShyLion, Cisco SSL VPN умеет ещё (правда с мутным лицензированием). Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
L8SaE-RexHn1 Posted February 4, 2015 Всем спасибо за ответы. В целом все понятно Дабы не плодить зря темы, продолжу здесь: в конторе на данный момент есть 1 канал 100Мбит, которым удаленные ОпенВПН-клиенты ходят на внутренние сервисы головного офиса. Нагрузка небольшая, на данный момент 30+ офисов и ~300 активных клиентов, но далее все вырастет в 2-3 раза. По клиентам - уже до 2-3х тысяч. На данный момент "точкой входа" является сервер с pfSense (xeon, 8GB памяти, 4 гигабитных сетевых). Его задача - проброс портов, балансировка каналов (в дальнейшем) и отбивание постоянного дДОС и вообще - сетевых атак. Вопрос: есть ли смысл менять pfSense на что-то "железное" типа вышеупомянутой циски? На офисе есть циски серий 3560, 3750 и 2811, и nortel 5510 (но с этим я знаком) - что-то из этого в качестве граничного маршрутизатора-балансера для задачи подойдет? Сам ранее не имел дела с сетями и инфраструктурами такого уровня, равно как и с оборудованием cisco такого класса не работал (предыдущая работа - 250 ПК в одной сети одного здания, оборудование Nortel, никаких VPNов и статические маршруты). Так что прошу простить за некоторую размытость формулировок и "новичковость" вопросов... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted February 4, 2015 L8SaE-RexHn1 Чтобы отказаться от сервера в пользу Cisco или анологичных решений от других вендоров, вам нужно будет отказаться от OpenVPN Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
L8SaE-RexHn1 Posted February 4, 2015 L8SaE-RexHn1 Чтобы отказаться от сервера в пользу Cisco или анологичных решений от других вендоров, вам нужно будет отказаться от OpenVPN Да, я уже понял, что опенвпн на циско и Ко не поднять. ВПН-сервер есть (и будет) отдельной машиной, и именно опенвпн. Роль аппаратного маршрутизатора будет сводиться лишь к пробросу порта. Я пытаюсь понять: есть ли в описанной мной задаче какие-то выгоды от использования именно аппаратных решений и, если есть, то какие? Или достаточно будет "программных" роутеров на *nix? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted February 4, 2015 L8SaE-RexHn1 ставить рядом Cisco только ради проброса портов нет смысла. с этим linux и даже freebsd(на которой построен ваш pfSense) справляется нормально просто у вас вместо одной точки отказа будет 2 точки отказа и ничего больше лучше ставьте рядом Cisco и постепенно переводите трафик на неё, заменяя openvpn на ipsec во всех точках. или сначала перейдите на ipsec, а потом замените сервер на Cisco Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zelfix Posted February 4, 2015 (edited) лучше ставьте рядом Cisco и постепенно переводите трафик на неё, заменяя openvpn на ipsec во всех точках. или сначала перейдите на ipsec, а потом замените сервер на Cisco Какой смысл потрошить уже хорошо работующую инфраструктуру? С помощью cisco хорошо делать, например, DMVPN, у него есть ряд преимуществ для Hub-and-Spoke сетей перед OpenVPN. Но для этого придется на всех споках также ставить циски. Поэтому, имхо, поставьте циску для терминации каких-нибудь некритичных сервисов, поиграться и поучиться. Edited February 4, 2015 by zelfix Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
L8SaE-RexHn1 Posted February 8, 2015 s.lobanov,zelfix Большое спасибо за подробные ответы. Понял, что на данном этапе развития конторы существующие циски профита не принесут, раз так, то пусть пока лежат. Буду потихоньку изучать, авось и пригодятся где... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zi_rus Posted February 8, 2015 лучше ставьте рядом Cisco и постепенно переводите трафик на неё, заменяя openvpn на ipsec во всех точках. или сначала перейдите на ipsec, а потом замените сервер на Cisco Какой смысл потрошить уже хорошо работующую инфраструктуру? С помощью cisco хорошо делать, например, DMVPN, у него есть ряд преимуществ для Hub-and-Spoke сетей перед OpenVPN. Но для этого придется на всех споках также ставить циски. Поэтому, имхо, поставьте циску для терминации каких-нибудь некритичных сервисов, поиграться и поучиться. гуглинг говорит что для линуксов есть реализация nhrp, но кто знает как оно реализовано, это все надо тестировать Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...