Jump to content

VPN-шлюз

ALEX_SE
 Share

Recommended Posts

ALEX_SE

ALEX_SE

Posted
Posted

Добрый день! Посоветуйте железку, пожалуйста.

2 порта WAN Eternet (с поддержкой L2TP/IPSEC) для подключения к провайдерам (белые IP). 4-6 портов LAN 100Mbps.

Коммутация или роутинг между LAN-портами не нужно. Исходящий трафик (имеется в виду доступ из LAN в интернет) не нужен.

То есть на входе надо firewall с 2 линками (на случай отказа одного провайдера что бы можно было подключится ко второму). На выходе несколько ethernet-портов.

Цель железки. Есть несколько IP-подсетей которые объеденены L3-коммутаторами (трафик между сетями разрешен только по нескольким портам между несколькими железками в основном сети изолированы правилами).

Хочется иметь девайс внутренние порты LAN которого подключатся к этим IP-подсетям и в зависимости от того кто авторизовался через VPN на шлюзе снаружи давать ему полный прозрачный доступ к той или иной подсети.

Необходимо чисто для технических нужд (удаленное подключение администраторов разных сетей к своему оборудованию минуя общий шлюз в интернет и L3-маршрутизаторы), пользовательский трафик через этот шлюз ходить не будет. Скорость VPN до 50Mbps больше в принципе нет необходимости.

Бюджет думаю до 200 баксов. Что подойдет? Какие-нибудь DSR, Zywall, juniper а может микротика хватит?

 

 

VolanD666

VolanD666

Posted
Posted
11 часов назад, ALEX_SE сказал:

Добрый день! Посоветуйте железку, пожалуйста.

2 порта WAN Eternet (с поддержкой L2TP/IPSEC) для подключения к провайдерам (белые IP). 4-6 портов LAN 100Mbps.

Коммутация или роутинг между LAN-портами не нужно. Исходящий трафик (имеется в виду доступ из LAN в интернет) не нужен.

То есть на входе надо firewall с 2 линками (на случай отказа одного провайдера что бы можно было подключится ко второму). На выходе несколько ethernet-портов.

Цель железки. Есть несколько IP-подсетей которые объеденены L3-коммутаторами (трафик между сетями разрешен только по нескольким портам между несколькими железками в основном сети изолированы правилами).

Хочется иметь девайс внутренние порты LAN которого подключатся к этим IP-подсетям и в зависимости от того кто авторизовался через VPN на шлюзе снаружи давать ему полный прозрачный доступ к той или иной подсети.

Необходимо чисто для технических нужд (удаленное подключение администраторов разных сетей к своему оборудованию минуя общий шлюз в интернет и L3-маршрутизаторы), пользовательский трафик через этот шлюз ходить не будет. Скорость VPN до 50Mbps больше в принципе нет необходимости.

Бюджет думаю до 200 баксов. Что подойдет? Какие-нибудь DSR, Zywall, juniper а может микротика хватит?

 

 

Берите микрот, можно два даже.

jffulcrum

jffulcrum

Posted
Posted

В такие деньги либо микрот, либо TPLink (типа TL-ER6120). Если хочется нормального SSL VPN, поддержки и всяких излишеств вроде управления по SNMP - то бюджет лучше увеличить в два раза и смотреть на какой-нибудь Fortigate двухзначный или Huawei AR600-серии.

VolanD666

VolanD666

Posted
Posted
31 минуту назад, jffulcrum сказал:

В такие деньги либо микрот, либо TPLink (типа TL-ER6120). Если хочется нормального SSL VPN, поддержки и всяких излишеств вроде управления по SNMP - то бюджет лучше увеличить в два раза и смотреть на какой-нибудь Fortigate двухзначный или Huawei AR600-серии.

Я бы с вами не согласился. У микрота можно скрипты пилить, в этом его плюс, если хотелки нестандартные.

pingz

pingz

Posted
Posted

@ALEX_SE возьми rb750(попробовать), ну или сразу rb4011 

У микротика большое комьюнити и большую часть вопросов можно легко загуглить.

Есть консоль  и гуй в начале удобно клацать мышкой.

Большая часть сетевых протоколов и настроек есть из коробки.

Но, нужно не забывать, что это софт роутер и и результатов не стоит ждать как от juniper, cisco и т.д. цена в этом же сегменте будет х2-4, относительно микротика, но бытует шутка "нужно больше микротиков", некоторых схемах используют 2 и более коробки, когда на cisco и juniper и подобных это все взлетит на одной.

 

З.ы. я не агетирую за микротик выбирать вам. Но микротик дёшево сердито, для начинающего сетевика огонь первых пару лет будите считать лучшей железкой, пока не возникнет более серьезная задача.

ShyLion

ShyLion

Posted
Posted
8 minutes ago, pingz said:

@ALEX_SE относительно микротика, но бытует шутка "нужно больше микротиков", некоторых схемах используют 2 и более коробки, когда на cisco и juniper и подобных это все взлетит на одной.

Справедливости ради - все яйца в одной корзине и на цисках-жуниперах тоже не всегда хорошо работают и лучше разделять на отдельные компоненты.

В частности когда два разных инета - лучше два отдельных роутера, хоть микрот хоть циску. Гораздо меньше подводных камней и больше пространства для маневра.

ALEX_SE

ALEX_SE

Posted
  • Author
Posted
35 minutes ago, ShyLion said:

В частности когда два разных инета - лучше два отдельных роутера, хоть микрот хоть циску.

В чем лучше? принципиальная разница не очень понятна. Работаю с одним провом и работаю. Сломался - подключился ко второму.

Балансировки нет и не нужно такой задачи не стоит и никогда не станет. Клиенты внутри сети данный шлюз для доступа в инет пользовать не будут от слова совсем.

Нужен ТОЛЬКО удаленный VPN. Из хотелок - установка туннеля с определенной сеткой (куда подключен соотв. внутренний ethernet) в зависимости от того кто подключился. Вот такая хотелка.

SOFTOLAB

SOFTOLAB

Posted
Posted
15 minutes ago, ALEX_SE said:

В чем лучше? принципиальная разница не очень понятна. Работаю с одним провом и работаю. Сломался - подключился ко второму.

Балансировки нет и не нужно такой задачи не стоит и никогда не станет. Клиенты внутри сети данный шлюз для доступа в инет пользовать не будут от слова совсем.

Нужен ТОЛЬКО удаленный VPN. Из хотелок - установка туннеля с определенной сеткой (куда подключен соотв. внутренний ethernet) в зависимости от того кто подключился. Вот такая хотелка.

Тогда микротик ваш выбор.

Saab95

Saab95

Posted
Posted

В таком случае микротика хватит, т.к. админы так же могут дома у себя поставить микротик и заходить под нужной учеткой впн на внутренние ресурсы, и одновременно в интернет иметь доступ.

Если у вас в центре 2 IP адреса для подключения, то нужно ставить 2 микротика, т.к. маркировать соединения, смотреть откуда пришло - куда вернуть ответ, занимает ресурсы процессора и производительность падает. Когда 2 устройства ничего не надо, достаточно просто иметь копию логинов и паролей учеток.

ALEX_SE

ALEX_SE

Posted
  • Author
Posted
13 hours ago, Saab95 said:

В таком случае микротика хватит, т.к. админы так же могут дома у себя поставить микротик и заходить под нужной учеткой впн на внутренние ресурсы, и одновременно в интернет иметь доступ.

Что мешает делать то же самое без микротика дома или на телефоне? :) 

 

13 hours ago, Saab95 said:

Если у вас в центре 2 IP адреса для подключения, то нужно ставить 2 микротика, т.к. маркировать соединения, смотреть откуда пришло - куда вернуть ответ, занимает ресурсы процессора и производительность падает.

Это излишество. На сколько оно падает? 50 мегабит достаточно кроме того редко работает сразу несколько человек - это скорее как резервная система на случай работ на основном VPN-шлюзе или на L3-роутере. Что бы иметь возможность подключиться к оборудованию внутри него. Чем ставить 2 микротика с тем же успехом можно поставить один аппаратный шлюз подороже.

 

И опять же какой микротик с этим справится?

ShyLion

ShyLion

Posted
Posted
17 hours ago, ALEX_SE said:

В чем лучше? принципиальная разница не очень понятна.

Например тем, что нет необходимости мониторить доступность инета через основоного оператора, не нужно играть дефолтом.

ALEX_SE

ALEX_SE

Posted
  • Author
Posted
6 minutes ago, ShyLion said:

Например тем, что нет необходимости мониторить доступность инета через основоного оператора, не нужно играть дефолтом.

А зачем мне его мониторить? Ну не подключился к одному адресу - активировал подключение к другому..

Дефолтом то же нет необходимости играть - через этот канал инет раздаваться не будет никогда.

ALEX_SE

ALEX_SE

Posted
  • Author
Posted

Это проблемы самого роутера, в моем случае роутить туда откуда он пришел то есть с каким провом поднят туннель.

Юзера через этот шлюз ходить не будут никогда, потому этот функционал (балансировка или резервирование исходящего канала) и не учитываю так как он не нужен.

ShyLion

ShyLion

Posted
Posted
1 hour ago, ALEX_SE said:

в моем случае роутить туда откуда он пришел то есть с каким провом поднят туннель

Полиси роутинг? Как это сделать на циске например?

ALEX_SE

ALEX_SE

Posted
  • Author
Posted

Это легко делается даже на венде с TMG, как это на циске делается я не в курсе, не интересовался.

Да и зачем оно мне если изнутри сети юзеры ходить через эту железку не будут от слова вообще никогда.

 

nemo_lynx

nemo_lynx

Posted
Posted

У меня именно для таких же целей, как у ТС, стоят микротики hex lite (rb750). Хватает за глаза и за уши - eoip поверх l2tp/ipsec, подключаешься и получаешь полный L2-доступ в нужный влан. Я, например, дома смотрю IPTV (мультикаст) из сети, которая находится в 2000 км от меня.

ShyLion

ShyLion

Posted
Posted
21 minutes ago, ALEX_SE said:

Это легко делается даже на венде с TMG, как это на циске делается я не в курсе, не интересовался.

Да и зачем оно мне если изнутри сети юзеры ходить через эту железку не будут от слова вообще никогда.

 

При чем здесь "изнутри" ? У роутера как у любого хоста есть таблица маршрутизации и без спецаильных настроек он роутить пакеты будет на шлюз по умолчанию НЕВЗИРАЯ на адрес ИСТОЧНИКА.

Эти специальные настройки называются _полиси роутинг_ и он сопряжен с рядом недостатков и особенностей для каждого вендора, "даже на венде".

 

ALEX_SE

ALEX_SE

Posted
  • Author
Posted

Я об этом в курсе и как оно называется то же знаю. Когда дело дойдет тогда и буду разбираться.

Пока интересуюсь каким оборудование оптимально решить данную задачу :)

 

SOFTOLAB

SOFTOLAB

Posted
Posted
1 hour ago, ALEX_SE said:

Я об этом в курсе и как оно называется то же знаю. Когда дело дойдет тогда и буду разбираться.

Пока интересуюсь каким оборудование оптимально решить данную задачу :)

 

Вам уже кучу раз сказали что микротик ваш выбор.

Что брать смотрите сами, можно и HEX S, если портов хватит, можно и что то подороже, типо RB4011.

ALEX_SE

ALEX_SE

Posted
  • Author
Posted
21 minutes ago, SOFTOLAB said:

Вам уже кучу раз сказали что микротик ваш выбор. 

Что брать смотрите сами, можно и HEX S, если портов хватит, можно и что то подороже, типо RB4011. 

Спасибо :) Устраивает.

Saab95

Saab95

Posted
Posted
В 24.07.2020 в 12:25, ShyLion сказал:

Эти специальные настройки называются _полиси роутинг_ и он сопряжен с рядом недостатков и особенностей для каждого вендора, "даже на венде".

Ага, конкретно на микротике он требует создания некоторого количества правил, которые занимают ресурсы устройства. И получается так, что по цене / производительность окажется выгоднее купить 2 более дешевых устройства, чем одно дорогое, которое все равно прокачает меньшую скорость через себя.

nemo_lynx

nemo_lynx

Posted
Posted
19 часов назад, Saab95 сказал:

Ага, конкретно на микротике он требует создания некоторого количества правил, которые занимают ресурсы устройства. И получается так, что по цене / производительность окажется выгоднее купить 2 более дешевых устройства, чем одно дорогое, которое все равно прокачает меньшую скорость через себя.

Да, да, Мэтр! Мы помним - на каждую TCP-сессию отдельный микротик. На пинги тоже отдельный. А udp вообще не использовать - это устаревшая технология.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.