Выбор борудования VPN / VoIP

[Kamik]

Добрый день,

помогите с выбором оборудования в следующей конфигурации.

 

1. Имеется головной офис и 6 филиалов вразных городах, в каждом от 3 до 7 компьютеров.

2. Головной офис имеет подключение со скоростью 100Мбит синхрон *(постоянный ИП), филиалы от 16/4 до 50/10 (динамический ИП)

3. Телефонная станция(OpenScape Bussines X3R) в головном офисе, в филиалах VoIP от провайдеров с 3-6 номерами.

 

Хотелка шефа:

 

1. Подключить все филиалы через VPN к головному офису (AD + RDS)

2. Подключить все телефоны через станцию в головном офисе (SIP телефоны скорей всего будут OpenStage )

 

Мои предположения

 

1. Головной офис ставим CCR1009-8G-1S-1S+ для OpenVPN сервера

2. в филиалах RB2011UiAS-2HnD-IN

 

Вопросы:

 

1. Правильный ли выбор оборудования?

2. и типа VPN?

3. Вопрос по телефонии. Стоит ли подключать к станции каждый SIP-Trunk с филиала? Может быть проще взять отдельный транк с SIPconnect1.1 с 20-30 каналами? В таком транке же могут быть номера с разных городов?

4. Потянет ли 100Мбитный канал это все? Математически вроде должен, но может опыт говорит об обратном?

5. Как выставить приоритет телефоных каналов и/или задать для них минимальную ширину канала?

Edited July 14, 2016 by Kamik

[SOs]

Добрый день,

помогите с выбором оборудования в следующей конфигурации.

 

1. Имеется головной офис и 6 филиалов вразных городах, в каждом от 3 до 7 компьютеров.

2. Головной офис имеет подключение со скоростью 100Мбит синхрон *(постоянный ИП), филиалы от 16/4 до 50/10 (динамический ИП)

3. Телефонная станция(OpenScape Bussines X3R) в головном офисе, в филиалах VoIP от провайдеров с 3-6 номерами.

 

Хотелка шефа:

 

1. Подключить все филиалы через VPN к головному офису (AD + RDS)

2. Подключить все телефоны через станцию в головном офисе (SIP телефоны скорей всего будут OpenStage )

 

Мои предположения

 

1. Головной офис ставим CCR1009-8G-1S-1S+ для OpenVPN сервера

2. в филиалах RB2011UiAS-2HnD-IN

 

Вопросы:

 

1. Правильный ли выбор оборудования?

2. и типа VPN?

3. Вопрос по телефонии. Стоит ли подключать к станции каждый SIP-Trunk с филиала? Может быть проще взять отдельный транк с SIPconnect1.1 с 20-30 каналами? В таком транке же могут быть номера с разных городов?

4. Потянет ли 100Мбитный канал это все? Математически вроде должен, но может опыт говорит об обратном?

 

1) Центр - модель может быть даже в притык (FW+NAT+QOS+IPSEC_100Mbps+etc). Я бы взял модель постарше. В филиале 2011 50Мб/с в одну сторону не прокачает, умрет. Бери старше.

2) Вместо OpenVPN (от в МТ ущербный) я бы использовал L2TP/IPSEC + OSPF внутри.

3) пасс

4) QOS сделай чтобы не бодались в туннеле и потянет.

[Ocean07]

3. Вопрос по телефонии. Стоит ли подключать к станции каждый SIP-Trunk с филиала? Может быть проще взять отдельный транк с SIPconnect1.1 с 20-30 каналами? В таком транке же могут быть номера с разных городов?

 

1. Что значит "...взять отдельный транк с SIPconnect1.1..." ? Кто такой SIPconnect1.1?

2. "... в филиалах VoIP от провайдеров с 3-6 номерами.... " какое оборудование в филиалах? Есть какая то АТС (софтсвитч)или VoIP (SIP trunk/line) сразу в IP телефоны?

[Kamik]

 

1. Что значит "...взять отдельный транк с SIPconnect1.1..." ? Кто такой SIPconnect1.1?

 

Протокол http://www.sipforum.org/sipconnect

 

2. "... в филиалах VoIP от провайдеров с 3-6 номерами.... " какое оборудование в филиалах? Есть какая то АТС (софтсвитч)или VoIP (SIP trunk/line) сразу в IP телефоны?

АТС только в одном филиале стоит там 2 отдельных транка с 3 и 4-мя номерами стоит. Предполагается ее убрать. Остальные филиалы/телефоны подключены через VoIP рутер.

 

 

еще возник вопрос с беспроводными телефонами. только WiFi получается? или существуют что-то типа DECT станции с SIP подключением? :)

Edited July 15, 2016 by Kamik

[Ocean07]

 

Просмотр сообщенияOcean07 (Вчера, 16:15) писал:

2. "... в филиалах VoIP от провайдеров с 3-6 номерами.... " какое оборудование в филиалах? Есть какая то АТС (софтсвитч)или VoIP (SIP trunk/line) сразу в IP телефоны?

АТС только в одном филиале стоит там 2 отдельных транка с 3 и 4-мя номерами стоит. Предполагается ее убрать. Остальные филиалы/телефоны подключены через VoIP рутер.

 

 

Я не работал с вашей АТС, по этому абстрагируемся от конкретной модели оборудования, а будем отталкиваться от принципов работа VoIP протокола SIP.

 

Вы можете используя SIP trunk, зарегистрироваться у множества провайдеров, получать у них номерную емкость и с помощью вашей АТС маршрутизировать как входящую, так и исходящую связь по необходимым вам критериям.

 

SIP абонентов из филиалов можно зарегистрировать на вашей АТС в головном офисе.

 

Минусы:

 

1. Упадут каналы между филиалом и главным офисом - не будет телефонной связи (т.е. появляться единая точка отказа, нужно думать о резервировании).

Как вариант, если телефон поддерживает вторую регистрацию, в случае недоступности основного SIP сервера (вашей АТС в главном офисе), он сможет самостоятельно зарегистрироваться у SIP провайдера.

 

2. Медиа трафик (голос) скорей всего будет ходить ВСЕГДА через АТС головного офиса. Тут конечно нужно смотреть как всё это настроено на АТС, может получится терминировать его и локально.

Но тут есть и плюсы. Если стоит задача писать все соединения, то это будет легко, т.к. весь голосовой трафик проходит через одну точку.

 

 

 

еще возник вопрос с беспроводными телефонами. только WiFi получается? или существуют что-то типа DECT станции с SIP подключением? :)

 

Если в первую очередь важно качество связи, хендовер и время работы трубку от аккумулятора, то конечно нужно использовать SIP-DECT.

Есть несколько производителей:

Mitel SIP-DECT (ранее известный как Aastra SIP-DECT, а ещё ранее DeTeWe) SIP-DECT.

И DECT фирмы Kirk

Может кто-то ещё...

 

 

По Mitel я немного описывал тут: http://www.tr-com.ru/products/aastra/sip-dect.html

Сейчас вышла новая версия ПО и есть изменения, но не принципиальные.

 

SIP-DECT будет дороже чем Wi-Fi но качественней.

 

P.S. Родные трубки для SIP-DECT весьма дорогие (это у всех производителей). Но часто можно использовать трубки третьих производителей (у Mitel), даже бытовые трубки за 40$. Но их предварительно нужно тестировать. Часть функционала может конечно не работать. Например русские имена, датчики падения и оповещение о разных событиях, программируемые меню, СМС, XML и т.д. и т.п. Но часто это и не нужно. В большинстве случаев достаточно просто голосовой связи.)

Edited July 15, 2016 by Ocean07

[rdc]

Используем SIP DECT Panasonic KX-TGP500.

В комплекте база и трубка, можно прицепить ещё пять трубок - т.е. всего до шести трубок. Одновременно на базе могут говорить трое.

Трубки годятся любых моделей и производителей, лишь бы умели DECT GAP стандарт.

[Ocean07]

Если достаточно одной базы для покрытия DECT'ом, то решений много у разных производителей (тот же Siemens сейчас Gigaset), а вот если нужно создать большую DECT сеть для большой территории с множеством RFP (дект баз) то решений не так много и они не дешёвые.

 

P.S. Мне кажется, данная тема уже выходит за рамки тем, обсуждаемых в этой ветке форума.

Нужно сюда http://forum.nag.ru/forum/index.php?showforum=20

Edited July 15, 2016 by Ocean07

[Kamik]

Хм. у меня только 3 сообщения в сутки разрешено.

В филиале 2011 50Мб/с в одну сторону не прокачает, умрет. Бери старше.

3011? Но модели с беспроводной так и не выпустили до сих пор (думается мне, что не появится). Модели еще старше дороговато как-то :) Может, другого производителя взять?

 

Центр - модель может быть даже в притык (FW+NAT+QOS+IPSEC_100Mbps+etc). Я бы взял модель постарше.

CCR1016-12G вроде подойдет?

 

P.S. Мне кажется, данная тема уже выходит за рамки тем, обсуждаемых в этой ветке форума.

Нужно сюда http://forum.nag.ru/forum/index.php?showforum=20

Вы правы. Просьба модераторам перенести тему.

 

По DECT понял. Спасибо.

Edited July 18, 2016 by Kamik

[mafijs]

Но модели с беспроводной так и не выпустили до сих пор (думается мне, что не появится)

Логично. Зачем роутеру, который стоит в серверной в стойке нужен Wifi ?

[Kamik]

Но модели с беспроводной так и не выпустили до сих пор (думается мне, что не появится)

Логично. Зачем роутеру, который стоит в серверной в стойке нужен Wifi ?

в филиалах нету стоек, в том-то и дело что там желательна десктоп-версия.

[mafijs]

RB3011UiAS-RM можно ставить на столе. Не прикручивай уголки для крепления в стойке и став куда угодно.

В комплекте есть резиновые ножки.

Но если нужен Wifi , то можно поставить точку типа RBwAP2nD или RBwAPG-5HacT2HnD.

Edited July 18, 2016 by mafijs

[Saab95]

1) Центр - модель может быть даже в притык (FW+NAT+QOS+IPSEC_100Mbps+etc). Я бы взял модель постарше. В филиале 2011 50Мб/с в одну сторону не прокачает, умрет. Бери старше.

2) Вместо OpenVPN (от в МТ ущербный) я бы использовал L2TP/IPSEC + OSPF внутри.

3) пасс

4) QOS сделай чтобы не бодались в туннеле и потянет.

 

Ну да надо сначала закатить IPSEC а потом жаловаться что производительности не хватает - обычного L2TP без шифрования хватит для пропуска 100/100 мегабит трафика, НАТ же будет в центре делаться, а не в офисе, поэтому нагрузка на роутер будет только маршрутизация и все. Телефонию тоже можно гонять через центр, проблем с ней не будет.

 

QOS не поможет, т.к. придется урезать скорость каналов процентов на 10-15, иначе при большом наплыве трафика OSPF начнет связи терять.

[Kamik]

QOS не поможет, т.к. придется урезать скорость каналов процентов на 10-15, иначе при большом наплыве трафика OSPF начнет связи терять.

Какие есть альтернативы?

[Saab95]

QOS не поможет, т.к. придется урезать скорость каналов процентов на 10-15, иначе при большом наплыве трафика OSPF начнет связи терять.

Какие есть альтернативы?

 

Никаких, сколько не делали каналы в разные там офисы и филиалы, никогда проблем не возникало, т.к. если сотрудникам обрезать скорость интернета, и скорость доступа к внутрисетевым ресурсам, то они канал на всю не загружают, хотя даже если и загружают, то с телефонией не всегда возникают проблемы, при чем сотрудники уже все осведомлены, если телефония квакает, нужно посмотреть не качает ли кто и т.п.

[Kamik]

Итак, варианты железа в филиалах выглядит так:

 

1. RB2011UiAS-2HnD-IN + xDSL-модемы (Недостатки: может работать на пределе + собственные глюки модемов. Преимущества: все в одном)

2. RB3011UiAS-RM + RBwAP2nD/RBwAPG-5HacT2HnD + xDSL-модемы (Недостатки: собственные глюки модемов)

3. APU2C4 + Wi-Fi witch OPNsense/Pfsense + свитч + xDSL-модемы (Недостатки: собственные глюки модемов/свитчей. производительность непонятна.)

4. Сisco 886vaw + свитч (производительность непонятна (performance with services for Cisco 880 Series ISRs is 8 Mbps). Недостатки: собственные глюки свитчей. Преимущества: все в одном. )

 

Не могу определиться :)

Хочется, конечно, бюджетно, но с другой стороны стабильность имеет более высокий приоритет (до определенной планки, конечно)

у же RDP есть свое шифрование, так что шифрование VPN, думается, будет излишним?

Edited July 19, 2016 by Kamik

[Ocean07]

 

у же RDP есть свое шифрование, так что шифрование VPN, думается, будет излишним?

 

Я бы закладывал оборудование с поддержкой шифрования, т.к. сейчас вам не нужно шифровать трафик, а завтра понадобится. Опять пойдете деньги выбивать на новое оборудование?

Да и не шифровать VPN как то не очень... не известно какие ПД или конфиденциальные данные там будут ходить завтра.

[Kamik]

Ocean07

Согласен, что запас нужен. Какая конфигурация вам больше нравится? :)

[mafijs]

Личное мнение - 2. RB3011UiAS-RM + RBwAP2nD/RBwAPG-5HacT2HnD

ARM CPU, довольно мощный.

Роутер поставил на полке, в тумбочке - куда угодно и удобно. Точку wifi повесил на потолке. Нечего незагараживает покритие.

Я бы так зделал. Вам виднее что и как на местах. Выбор за вами.

[Ocean07]

Ocean07

Согласен, что запас нужен. Какая конфигурация вам больше нравится? :)

 

Нужно изучать вопрос (какая производительность к каждого устройства в разных режимах работы). У меня на это время сейчас нет, по этому выбор за вами.

 

p.S. Мне кажется решение на базе OPNsense/Pfsense, это не то решение, которое "поставил и забыл".

Хотя могу и ошибаться...

Edited July 19, 2016 by Ocean07

[Saab95]

Я бы закладывал оборудование с поддержкой шифрования, т.к. сейчас вам не нужно шифровать трафик, а завтра понадобится. Опять пойдете деньги выбивать на новое оборудование?

Да и не шифровать VPN как то не очень... не известно какие ПД или конфиденциальные данные там будут ходить завтра.

 

Не нужно шифрование, если брать линейку микротик, то что бы с ним работать нужен либо CCR, либо поддержка аппаратного шифрования у некоторых роутеров. Все программы и приложения, передающие конфиденциальные данные, сами их шифруют.

[Ocean07]

...Все программы и приложения, передающие конфиденциальные данные, сами их шифруют.

 

Конфиденциальные данные могут передаваться как угодно, хоть по ftp. Мы не знаем как организованы бизнес процессы в компании.

Edited July 19, 2016 by Ocean07

[nkusnetsov]

Saab95, к сожалению, есть требования к организациям сетей передачи данных где обрабатываются ПДН, и передаче ПДН через Инернет. Там не ограничиваются шифрованием на уровне приложений. Они содержат указания на сертифицированные средства (маршрутизаторы и межсетевые экраны) использующие при передаче данных по сети алгоритмоы шифрования по ГОСТ. Увы.