[L8SaE-RexHn1]

Доброго времени суток, aLL

 

Имеется офис с OpenVPN-сервером на убунте и парой десятков подключенных удаленных офисов. Также, роясь давеча в кладовке, нашлась такая себе железяка, как Cisco 2911.

Я, наверняка, глупый вопрос задам, но все же: что из себя представляет данное железо и возможно ли на нем поднять замену убунту-серверу в качестве OVPN-сервера?

И еще: данную циску можно использовать как балансировщик 2-х инет-каналов?

[dr Tr0jan]

В качестве OpenVPN (и сервера, и клиента) - нельзя.

Балансировать два канала можно, но сложно.

[L8SaE-RexHn1]

В качестве OpenVPN (и сервера, и клиента) - нельзя.

Балансировать два канала можно, но сложно.

Спасибо.

То-бишь ВПН-сервер (пусть даже и не openvpn) на ней не сделать?

Так, тогда чем же так крута сея железяка, судя по пресс-релизам? Какова ее ниша? Навороченный роутер? Какова типичная облатсь применения?

[s.lobanov]

В качестве OpenVPN (и сервера, и клиента) - нельзя.

Балансировать два канала можно, но сложно.

Спасибо.

То-бишь ВПН-сервер (пусть даже и не openvpn) на ней не сделать?

Так, тогда чем же так крута сея железяка, судя по пресс-релизам? Какова ее ниша? Навороченный роутер? Какова типичная облатсь применения?

 

2911 умеет различные vpn, см. описание к ней на сайте производителя, но конкретно openvpn она не умеет, так же как и её ближайшие конкуренты - juniper, huawei, alu и т.п.

[zelfix]

Как уже ответили, OpenVPN на циске поднять не получится, поэтому если у вас несколько десятков филиалов на нем работает, то смысла циску внедрять нет.

А балансировка двух каналов делается на ней достаточно несложно. Вот например мануал http://www.anticisco.ru/pubs/DualISPRouter.pdf от Сергея Федорова

[ShyLion]

То-бишь ВПН-сервер (пусть даже и не openvpn) на ней не сделать?

 

PPTP, L2TP, L2TP+IPSec - для доступа пользователей

DMVPN c IPSec и без, статические туннели GRE, IPIP, Site-to-site IPSec, L2TP xconnect - для подключения удаленных подразделений

и еще херова гора технологий для всякого разного. OpenVPN это единственное что она не умеет.

[dr Tr0jan]

ShyLion, Cisco SSL VPN умеет ещё (правда с мутным лицензированием).

[L8SaE-RexHn1]

Всем спасибо за ответы. В целом все понятно

Дабы не плодить зря темы, продолжу здесь: в конторе на данный момент есть 1 канал 100Мбит, которым удаленные ОпенВПН-клиенты ходят на внутренние сервисы головного офиса. Нагрузка небольшая, на данный момент 30+ офисов и ~300 активных клиентов, но далее все вырастет в 2-3 раза. По клиентам - уже до 2-3х тысяч.

На данный момент "точкой входа" является сервер с pfSense (xeon, 8GB памяти, 4 гигабитных сетевых). Его задача - проброс портов, балансировка каналов (в дальнейшем) и отбивание постоянного дДОС и вообще - сетевых атак.

Вопрос: есть ли смысл менять pfSense на что-то "железное" типа вышеупомянутой циски?

На офисе есть циски серий 3560, 3750 и 2811, и nortel 5510 (но с этим я знаком) - что-то из этого в качестве граничного маршрутизатора-балансера для задачи подойдет?

Сам ранее не имел дела с сетями и инфраструктурами такого уровня, равно как и с оборудованием cisco такого класса не работал (предыдущая работа - 250 ПК в одной сети одного здания, оборудование Nortel, никаких VPNов и статические маршруты). Так что прошу простить за некоторую размытость формулировок и "новичковость" вопросов...

[s.lobanov]

L8SaE-RexHn1

Чтобы отказаться от сервера в пользу Cisco или анологичных решений от других вендоров, вам нужно будет отказаться от OpenVPN

[L8SaE-RexHn1]

L8SaE-RexHn1

Чтобы отказаться от сервера в пользу Cisco или анологичных решений от других вендоров, вам нужно будет отказаться от OpenVPN

Да, я уже понял, что опенвпн на циско и Ко не поднять. ВПН-сервер есть (и будет) отдельной машиной, и именно опенвпн. Роль аппаратного маршрутизатора будет сводиться лишь к пробросу порта.

Я пытаюсь понять: есть ли в описанной мной задаче какие-то выгоды от использования именно аппаратных решений и, если есть, то какие? Или достаточно будет "программных" роутеров на *nix?

[s.lobanov]

L8SaE-RexHn1

ставить рядом Cisco только ради проброса портов нет смысла. с этим linux и даже freebsd(на которой построен ваш pfSense) справляется нормально

 

просто у вас вместо одной точки отказа будет 2 точки отказа и ничего больше

 

лучше ставьте рядом Cisco и постепенно переводите трафик на неё, заменяя openvpn на ipsec во всех точках. или сначала перейдите на ipsec, а потом замените сервер на Cisco

[zelfix]

лучше ставьте рядом Cisco и постепенно переводите трафик на неё, заменяя openvpn на ipsec во всех точках. или сначала перейдите на ipsec, а потом замените сервер на Cisco

Какой смысл потрошить уже хорошо работующую инфраструктуру? С помощью cisco хорошо делать, например, DMVPN, у него есть ряд преимуществ для Hub-and-Spoke сетей перед OpenVPN. Но для этого придется на всех споках также ставить циски. Поэтому, имхо, поставьте циску для терминации каких-нибудь некритичных сервисов, поиграться и поучиться.

Изменено 4 февраля, 2015 пользователем zelfix

[L8SaE-RexHn1]

s.lobanov,zelfix

Большое спасибо за подробные ответы.

Понял, что на данном этапе развития конторы существующие циски профита не принесут, раз так, то пусть пока лежат. Буду потихоньку изучать, авось и пригодятся где...

[zi_rus]

лучше ставьте рядом Cisco и постепенно переводите трафик на неё, заменяя openvpn на ipsec во всех точках. или сначала перейдите на ipsec, а потом замените сервер на Cisco

Какой смысл потрошить уже хорошо работующую инфраструктуру? С помощью cisco хорошо делать, например, DMVPN, у него есть ряд преимуществ для Hub-and-Spoke сетей перед OpenVPN. Но для этого придется на всех споках также ставить циски. Поэтому, имхо, поставьте циску для терминации каких-нибудь некритичных сервисов, поиграться и поучиться.

гуглинг говорит что для линуксов есть реализация nhrp, но кто знает как оно реализовано, это все надо тестировать