leprekon69 Posted July 29, 2020 Posted July 29, 2020 (edited) Ищу, пол-города на уши поднял, никто не знает. Советуют большие стоечные Циски за 300 000 с лицензиями. А это как бы сотрудникам, домой, и нужно этих железок много. Поэтому бюджет до 30 000 за штуку. Можно не циску, но и не Микротик/ TPlink / Dlink и прочее. Безопасность в приоритете (начальство уверено, что нормальный VPN возможен только у дорогих железок)) ). Нужно чтобы сотрудник заходил в сеть компании из режима Самоизоляции, получал звонки на аналоговый телефон (софтфон и гарнитуру не предлагать), и ничего не глючило-не висло. Я сам в дорогом железе не разбираюсь, ибо правильно настроенный линукс на шлюзе всегда предпочитал этим закладкам из США за кучу зелени. Ну а микро-бизнесу и простых железок хватало. А потом мы эти Циски / Linksys будем цеплять к Asterisk, а его к Panasonic TDE. Вот такой прикол. Помогите, а? Edited July 29, 2020 by leprekon69 Вставить ник Quote
jffulcrum Posted July 29, 2020 Posted July 29, 2020 Huawei HUAWEI AR129CVW если с вайфаем, AR129CV - если без. SSL VPN требует "головы" от Hua и лицензий, но обычный L2TP/IPSEC тоже поддерживается. AR129CGVW-L добавит LTE интерфейс и WiFi 802.11ac Вставить ник Quote
ShyLion Posted July 29, 2020 Posted July 29, 2020 2 hours ago, leprekon69 said: аналоговый телефон (софтфон и гарнитуру не предлагать) Но зачем "аналоговый", когда есть нормальные IP телефоны, коих легион всяких. От циски до SNR. Многие умеют и VPN сами поднимать даже. На крайний случай тот-же микрот, хотя это оверкилл. Вставить ник Quote
hRUst Posted July 29, 2020 Posted July 29, 2020 Eltex RG-5421G-Wac, правда производство закончено; TAU-1M.IP - но 1 LAN порт Вставить ник Quote
leprekon69 Posted October 21, 2020 Author Posted October 21, 2020 (edited) В-общем купили Cisco RV130 (я предлагал Huawei), у него нет FXS. но есть гордая надпись VPN Router. Месяц ждали. Пришёл с начальной прошивкой, в которой даже вкладки VPN нет. Прошил на предпоследнюю - появилась. Реальную АСА решил не портить, потренироваться сначала на зайцах - 5520 из комплекта EVE NG. Чуть не сломал голову, пока не выяснил, что туннель не поднимается, если в настройках Site-to_site VPN - Advanced - VPN Policy Configuration не указать Policy Type: Manual SPI-Incoming: 0x1234 SPI-Outgoing: 0x1234 Key-In:123456789ABCDEFG Key-Out:123456789ABCDEFG Это для AES-128. Для других длина отличается. Какого беса эта китайская поделка с 20+ версиями прошивок не научилась в режиме Policy Type: Auto генерировать эти циферки самостоятельно - знает лишь Аллах )) Или Будда. Но мне они не сказали. Ошибки, которые при этом происходят в логах, отличаются информативностью уровень 99: "no proposal chosen" на стороне ASA 5520 и "пришло информационное сообщение, но мы его отбросили" - на стороне RV130. Я проверил всё. Разрешил все методы криптографии на стороне АСА, все ACL. Наличие лицензий проверил. А дело было не в бобине. Теперь встаёт другая проблема. Туннель поднимается (видно на роутере и по wireshark), но трафик по нему не идёт. Пробовал делать статические маршруты - не помогло (или сделал не так). Прочитал что когда трафик заворачивается в VPN, то обычные статические маршруты не работают, и нужно прописывать в ACL. Там всё по инструкции на АСЕ. Подскажите, как дебажить такое? И ещё камень в огород китайских роутеров от циски: туннель не поднимается после перезагрузки. И когда трафик наружу идёт через роутер. Но стоит его пингануть, или подцепиться Anydesk-ом к компу за ним, вуаля, лампочка позеленела. Dead Peer тоже только 1 раз сработала функция, потом решила что хватит благ цивилизации с этих русских. Но это фиг с ней. Как эти роутеры пинговать, если они будут у юзеров за их домашним роутером с серым адресом - большой вопрос... Edited October 21, 2020 by leprekon69 Вставить ник Quote
leprekon69 Posted October 28, 2020 Author Posted October 28, 2020 (edited) Нашёл ошибку на той неделе, Crypto map был на lan интерфейсе вместо outside. Но RV130 автоматом подключаться не стал. Ищем другой бренд... Можно без FXS, но чтобы site-to-site IPSEC VPN умел. Huawei, Eltex, Mikrotik не нравятся. Попробую Zyxel-и посмотреть. Edited October 28, 2020 by leprekon69 Вставить ник Quote
UglyAdmin Posted October 28, 2020 Posted October 28, 2020 А есть ещё Виртуальная АТС, когда сотрудники получают звонки на свои мобилы, хоть и по внутренней нумерации компании. Мобилы-то у всех есть, и никаких железок с VPN'ами не надо... Вставить ник Quote
leprekon69 Posted October 28, 2020 Author Posted October 28, 2020 Знаю. Но кроме телефонии будет ещё rdp и файлопомойка - комплексное решение для удаленной работы ) А то вот-вот опять закроют у нас людей по домам. Вставить ник Quote
UglyAdmin Posted October 29, 2020 Posted October 29, 2020 Комплексное не обязательно должно быть через одну Ж(елезку), телефония и VPN через Интернет дружат плохо. Телефония через ВАТС, остальное через VPN с компа... Вставить ник Quote
leprekon69 Posted October 29, 2020 Author Posted October 29, 2020 Вы так говорите, как будто я решения принимаю ) Мне сказали подобрать железку и настроить. Остальное всё наверху уже придумали давно. Нашёл у Zyxel-a только 1 решение, ZyWALL VPN2S. ZyWALL VPN50 уже дороговато. Вставить ник Quote
kapydan Posted October 31, 2020 Posted October 31, 2020 на какой версии софта тренировались в eve-ng? если никогда раньше не работали с асами, то будет проще ее через asdm настраивать. судя по видео с ютуба, этакий недо 800 роутер, по пере длинк. кстати, можно рассмотреть покупку бу 800 серии роутеров - как раз, они позиционируются как soho решение. а если в тему, то fxs+vpn можно получить на isr g2 - выбрать какую-нибудь бу 2911 и поставить в нее модуль с fxs. стоимость такого решения - ну тысяч до 30 рублей. vpn с ipsec там вроде как "бесплатный" на некоторыъ иосах. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.