ALEX_SE Опубликовано 22 июля, 2020 · Жалоба Добрый день! Посоветуйте железку, пожалуйста. 2 порта WAN Eternet (с поддержкой L2TP/IPSEC) для подключения к провайдерам (белые IP). 4-6 портов LAN 100Mbps. Коммутация или роутинг между LAN-портами не нужно. Исходящий трафик (имеется в виду доступ из LAN в интернет) не нужен. То есть на входе надо firewall с 2 линками (на случай отказа одного провайдера что бы можно было подключится ко второму). На выходе несколько ethernet-портов. Цель железки. Есть несколько IP-подсетей которые объеденены L3-коммутаторами (трафик между сетями разрешен только по нескольким портам между несколькими железками в основном сети изолированы правилами). Хочется иметь девайс внутренние порты LAN которого подключатся к этим IP-подсетям и в зависимости от того кто авторизовался через VPN на шлюзе снаружи давать ему полный прозрачный доступ к той или иной подсети. Необходимо чисто для технических нужд (удаленное подключение администраторов разных сетей к своему оборудованию минуя общий шлюз в интернет и L3-маршрутизаторы), пользовательский трафик через этот шлюз ходить не будет. Скорость VPN до 50Mbps больше в принципе нет необходимости. Бюджет думаю до 200 баксов. Что подойдет? Какие-нибудь DSR, Zywall, juniper а может микротика хватит? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 23 июля, 2020 · Жалоба 11 часов назад, ALEX_SE сказал: Добрый день! Посоветуйте железку, пожалуйста. 2 порта WAN Eternet (с поддержкой L2TP/IPSEC) для подключения к провайдерам (белые IP). 4-6 портов LAN 100Mbps. Коммутация или роутинг между LAN-портами не нужно. Исходящий трафик (имеется в виду доступ из LAN в интернет) не нужен. То есть на входе надо firewall с 2 линками (на случай отказа одного провайдера что бы можно было подключится ко второму). На выходе несколько ethernet-портов. Цель железки. Есть несколько IP-подсетей которые объеденены L3-коммутаторами (трафик между сетями разрешен только по нескольким портам между несколькими железками в основном сети изолированы правилами). Хочется иметь девайс внутренние порты LAN которого подключатся к этим IP-подсетям и в зависимости от того кто авторизовался через VPN на шлюзе снаружи давать ему полный прозрачный доступ к той или иной подсети. Необходимо чисто для технических нужд (удаленное подключение администраторов разных сетей к своему оборудованию минуя общий шлюз в интернет и L3-маршрутизаторы), пользовательский трафик через этот шлюз ходить не будет. Скорость VPN до 50Mbps больше в принципе нет необходимости. Бюджет думаю до 200 баксов. Что подойдет? Какие-нибудь DSR, Zywall, juniper а может микротика хватит? Берите микрот, можно два даже. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 23 июля, 2020 · Жалоба В такие деньги либо микрот, либо TPLink (типа TL-ER6120). Если хочется нормального SSL VPN, поддержки и всяких излишеств вроде управления по SNMP - то бюджет лучше увеличить в два раза и смотреть на какой-нибудь Fortigate двухзначный или Huawei AR600-серии. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 23 июля, 2020 · Жалоба 31 минуту назад, jffulcrum сказал: В такие деньги либо микрот, либо TPLink (типа TL-ER6120). Если хочется нормального SSL VPN, поддержки и всяких излишеств вроде управления по SNMP - то бюджет лучше увеличить в два раза и смотреть на какой-нибудь Fortigate двухзначный или Huawei AR600-серии. Я бы с вами не согласился. У микрота можно скрипты пилить, в этом его плюс, если хотелки нестандартные. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ALEX_SE Опубликовано 23 июля, 2020 · Жалоба Какой микрот именно? И в чем разница с ТПлинком? Хотелки я указал, других нету и не будет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 23 июля, 2020 · Жалоба @ALEX_SE возьми rb750(попробовать), ну или сразу rb4011 У микротика большое комьюнити и большую часть вопросов можно легко загуглить. Есть консоль и гуй в начале удобно клацать мышкой. Большая часть сетевых протоколов и настроек есть из коробки. Но, нужно не забывать, что это софт роутер и и результатов не стоит ждать как от juniper, cisco и т.д. цена в этом же сегменте будет х2-4, относительно микротика, но бытует шутка "нужно больше микротиков", некоторых схемах используют 2 и более коробки, когда на cisco и juniper и подобных это все взлетит на одной. З.ы. я не агетирую за микротик выбирать вам. Но микротик дёшево сердито, для начинающего сетевика огонь первых пару лет будите считать лучшей железкой, пока не возникнет более серьезная задача. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 23 июля, 2020 · Жалоба 8 minutes ago, pingz said: @ALEX_SE относительно микротика, но бытует шутка "нужно больше микротиков", некоторых схемах используют 2 и более коробки, когда на cisco и juniper и подобных это все взлетит на одной. Справедливости ради - все яйца в одной корзине и на цисках-жуниперах тоже не всегда хорошо работают и лучше разделять на отдельные компоненты. В частности когда два разных инета - лучше два отдельных роутера, хоть микрот хоть циску. Гораздо меньше подводных камней и больше пространства для маневра. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ALEX_SE Опубликовано 23 июля, 2020 · Жалоба 35 minutes ago, ShyLion said: В частности когда два разных инета - лучше два отдельных роутера, хоть микрот хоть циску. В чем лучше? принципиальная разница не очень понятна. Работаю с одним провом и работаю. Сломался - подключился ко второму. Балансировки нет и не нужно такой задачи не стоит и никогда не станет. Клиенты внутри сети данный шлюз для доступа в инет пользовать не будут от слова совсем. Нужен ТОЛЬКО удаленный VPN. Из хотелок - установка туннеля с определенной сеткой (куда подключен соотв. внутренний ethernet) в зависимости от того кто подключился. Вот такая хотелка. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SOFTOLAB Опубликовано 23 июля, 2020 · Жалоба 15 minutes ago, ALEX_SE said: В чем лучше? принципиальная разница не очень понятна. Работаю с одним провом и работаю. Сломался - подключился ко второму. Балансировки нет и не нужно такой задачи не стоит и никогда не станет. Клиенты внутри сети данный шлюз для доступа в инет пользовать не будут от слова совсем. Нужен ТОЛЬКО удаленный VPN. Из хотелок - установка туннеля с определенной сеткой (куда подключен соотв. внутренний ethernet) в зависимости от того кто подключился. Вот такая хотелка. Тогда микротик ваш выбор. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 23 июля, 2020 · Жалоба В таком случае микротика хватит, т.к. админы так же могут дома у себя поставить микротик и заходить под нужной учеткой впн на внутренние ресурсы, и одновременно в интернет иметь доступ. Если у вас в центре 2 IP адреса для подключения, то нужно ставить 2 микротика, т.к. маркировать соединения, смотреть откуда пришло - куда вернуть ответ, занимает ресурсы процессора и производительность падает. Когда 2 устройства ничего не надо, достаточно просто иметь копию логинов и паролей учеток. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ALEX_SE Опубликовано 24 июля, 2020 · Жалоба 13 hours ago, Saab95 said: В таком случае микротика хватит, т.к. админы так же могут дома у себя поставить микротик и заходить под нужной учеткой впн на внутренние ресурсы, и одновременно в интернет иметь доступ. Что мешает делать то же самое без микротика дома или на телефоне? :) 13 hours ago, Saab95 said: Если у вас в центре 2 IP адреса для подключения, то нужно ставить 2 микротика, т.к. маркировать соединения, смотреть откуда пришло - куда вернуть ответ, занимает ресурсы процессора и производительность падает. Это излишество. На сколько оно падает? 50 мегабит достаточно кроме того редко работает сразу несколько человек - это скорее как резервная система на случай работ на основном VPN-шлюзе или на L3-роутере. Что бы иметь возможность подключиться к оборудованию внутри него. Чем ставить 2 микротика с тем же успехом можно поставить один аппаратный шлюз подороже. И опять же какой микротик с этим справится? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 24 июля, 2020 · Жалоба 17 hours ago, ALEX_SE said: В чем лучше? принципиальная разница не очень понятна. Например тем, что нет необходимости мониторить доступность инета через основоного оператора, не нужно играть дефолтом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ALEX_SE Опубликовано 24 июля, 2020 · Жалоба 6 minutes ago, ShyLion said: Например тем, что нет необходимости мониторить доступность инета через основоного оператора, не нужно играть дефолтом. А зачем мне его мониторить? Ну не подключился к одному адресу - активировал подключение к другому.. Дефолтом то же нет необходимости играть - через этот канал инет раздаваться не будет никогда. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 24 июля, 2020 · Жалоба Если в роутер сунуто два инет-провайдера, как он должен выбирать куда роутить траффик? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ALEX_SE Опубликовано 24 июля, 2020 · Жалоба Это проблемы самого роутера, в моем случае роутить туда откуда он пришел то есть с каким провом поднят туннель. Юзера через этот шлюз ходить не будут никогда, потому этот функционал (балансировка или резервирование исходящего канала) и не учитываю так как он не нужен. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 24 июля, 2020 · Жалоба 1 hour ago, ALEX_SE said: в моем случае роутить туда откуда он пришел то есть с каким провом поднят туннель Полиси роутинг? Как это сделать на циске например? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ALEX_SE Опубликовано 24 июля, 2020 · Жалоба Это легко делается даже на венде с TMG, как это на циске делается я не в курсе, не интересовался. Да и зачем оно мне если изнутри сети юзеры ходить через эту железку не будут от слова вообще никогда. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nemo_lynx Опубликовано 24 июля, 2020 · Жалоба У меня именно для таких же целей, как у ТС, стоят микротики hex lite (rb750). Хватает за глаза и за уши - eoip поверх l2tp/ipsec, подключаешься и получаешь полный L2-доступ в нужный влан. Я, например, дома смотрю IPTV (мультикаст) из сети, которая находится в 2000 км от меня. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 24 июля, 2020 · Жалоба 21 minutes ago, ALEX_SE said: Это легко делается даже на венде с TMG, как это на циске делается я не в курсе, не интересовался. Да и зачем оно мне если изнутри сети юзеры ходить через эту железку не будут от слова вообще никогда. При чем здесь "изнутри" ? У роутера как у любого хоста есть таблица маршрутизации и без спецаильных настроек он роутить пакеты будет на шлюз по умолчанию НЕВЗИРАЯ на адрес ИСТОЧНИКА. Эти специальные настройки называются _полиси роутинг_ и он сопряжен с рядом недостатков и особенностей для каждого вендора, "даже на венде". Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ALEX_SE Опубликовано 24 июля, 2020 · Жалоба Я об этом в курсе и как оно называется то же знаю. Когда дело дойдет тогда и буду разбираться. Пока интересуюсь каким оборудование оптимально решить данную задачу :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SOFTOLAB Опубликовано 24 июля, 2020 · Жалоба 1 hour ago, ALEX_SE said: Я об этом в курсе и как оно называется то же знаю. Когда дело дойдет тогда и буду разбираться. Пока интересуюсь каким оборудование оптимально решить данную задачу :) Вам уже кучу раз сказали что микротик ваш выбор. Что брать смотрите сами, можно и HEX S, если портов хватит, можно и что то подороже, типо RB4011. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ALEX_SE Опубликовано 24 июля, 2020 · Жалоба 21 minutes ago, SOFTOLAB said: Вам уже кучу раз сказали что микротик ваш выбор. Что брать смотрите сами, можно и HEX S, если портов хватит, можно и что то подороже, типо RB4011. Спасибо :) Устраивает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 26 июля, 2020 · Жалоба В 24.07.2020 в 12:25, ShyLion сказал: Эти специальные настройки называются _полиси роутинг_ и он сопряжен с рядом недостатков и особенностей для каждого вендора, "даже на венде". Ага, конкретно на микротике он требует создания некоторого количества правил, которые занимают ресурсы устройства. И получается так, что по цене / производительность окажется выгоднее купить 2 более дешевых устройства, чем одно дорогое, которое все равно прокачает меньшую скорость через себя. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nemo_lynx Опубликовано 27 июля, 2020 · Жалоба 19 часов назад, Saab95 сказал: Ага, конкретно на микротике он требует создания некоторого количества правил, которые занимают ресурсы устройства. И получается так, что по цене / производительность окажется выгоднее купить 2 более дешевых устройства, чем одно дорогое, которое все равно прокачает меньшую скорость через себя. Да, да, Мэтр! Мы помним - на каждую TCP-сессию отдельный микротик. На пинги тоже отдельный. А udp вообще не использовать - это устаревшая технология. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 27 июля, 2020 · Жалоба В русском языке нет единственного числа для слова микротики, мы поняли. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...