[leprekon69]

Ищу, пол-города на уши поднял, никто не знает. Советуют большие стоечные Циски за 300 000 с лицензиями. 

А это как бы сотрудникам, домой, и нужно этих железок много. Поэтому бюджет до 30 000 за штуку. Можно не циску, но и не Микротик/ TPlink / Dlink и прочее. Безопасность в приоритете (начальство уверено, что нормальный VPN возможен только у дорогих железок)) ). Нужно чтобы сотрудник заходил в сеть компании из режима Самоизоляции, получал звонки на аналоговый телефон (софтфон и гарнитуру не предлагать), и ничего не глючило-не висло.

Я сам в дорогом железе не разбираюсь, ибо правильно настроенный линукс на шлюзе всегда предпочитал этим закладкам из США за кучу зелени. Ну а микро-бизнесу и простых железок хватало. 

А потом мы эти Циски / Linksys будем цеплять к Asterisk, а его к Panasonic TDE. Вот такой прикол.

Помогите, а?

Изменено 29 июля, 2020 пользователем leprekon69

[jffulcrum]

Huawei HUAWEI AR129CVW если с вайфаем, AR129CV - если без. SSL VPN требует "головы" от Hua и лицензий, но обычный L2TP/IPSEC тоже поддерживается. AR129CGVW-L добавит LTE интерфейс и WiFi 802.11ac

[SOFTOLAB]

А можно просто ставить HEX...

[ShyLion]

2 hours ago, leprekon69 said:

аналоговый телефон (софтфон и гарнитуру не предлагать)

Но зачем "аналоговый", когда есть нормальные IP телефоны, коих легион всяких. От циски до SNR. Многие умеют и VPN сами поднимать даже. На крайний случай тот-же микрот, хотя это оверкилл.

[VolanD666]

Может асу какую-нить?

[hRUst]

Eltex RG-5421G-Wac, правда производство закончено; TAU-1M.IP - но 1 LAN порт

[leprekon69]

В-общем купили Cisco RV130 (я предлагал Huawei), у него нет FXS. но есть гордая надпись VPN Router. 

Месяц ждали. Пришёл с начальной прошивкой, в которой даже вкладки VPN нет. Прошил на предпоследнюю - появилась. Реальную АСА решил не портить, потренироваться сначала на зайцах - 5520 из комплекта EVE NG. 

Чуть не сломал голову, пока не выяснил, что туннель не поднимается, если в настройках Site-to_site VPN - Advanced -  VPN Policy Configuration не указать 

Policy Type: Manual
SPI-Incoming: 0x1234
SPI-Outgoing: 0x1234
Key-In:123456789ABCDEFG
Key-Out:123456789ABCDEFG

Это для AES-128. Для других длина отличается. 

Какого беса эта китайская поделка с 20+ версиями прошивок не научилась в режиме Policy Type: Auto генерировать эти циферки самостоятельно - знает лишь Аллах )) Или Будда. Но мне они не сказали. 

Ошибки, которые при этом происходят в логах, отличаются информативностью уровень 99:

"no proposal chosen" на стороне ASA 5520
и "пришло информационное сообщение, но мы его отбросили" - на стороне RV130.
Я проверил всё. Разрешил все методы криптографии на стороне АСА, все ACL. Наличие лицензий проверил. А дело было не в бобине.

Теперь встаёт другая проблема. Туннель поднимается (видно на роутере и по wireshark), но трафик по нему не идёт. Пробовал делать статические маршруты - не помогло (или сделал не так). Прочитал что когда трафик заворачивается в VPN, то обычные статические маршруты не работают, и нужно прописывать в ACL. Там всё по инструкции на АСЕ. Подскажите, как дебажить такое?

И ещё камень в огород китайских роутеров от циски: туннель не поднимается после перезагрузки. И когда трафик наружу идёт через роутер. Но стоит его пингануть, или подцепиться Anydesk-ом к компу за ним, вуаля, лампочка позеленела. Dead Peer тоже только 1 раз сработала функция, потом решила что хватит благ цивилизации с этих русских. Но это фиг с ней. Как эти роутеры пинговать, если они будут у юзеров за их домашним роутером с серым адресом - большой вопрос...

 

 

Изменено 21 октября, 2020 пользователем leprekon69

[leprekon69]

Нашёл ошибку на той неделе, Crypto map был на lan интерфейсе вместо outside. 

Но RV130 автоматом подключаться не стал. Ищем другой бренд... Можно без FXS, но чтобы site-to-site IPSEC VPN умел. Huawei, Eltex, Mikrotik не нравятся.  Попробую Zyxel-и посмотреть. 

Изменено 28 октября, 2020 пользователем leprekon69

[UglyAdmin]

А есть ещё Виртуальная АТС, когда сотрудники получают звонки на свои мобилы, хоть и по внутренней нумерации компании. Мобилы-то у всех есть, и никаких железок с VPN'ами не надо...

[leprekon69]

Знаю. Но кроме телефонии будет ещё rdp и файлопомойка - комплексное решение для удаленной работы ) А то вот-вот опять закроют у нас людей по домам. 

[UglyAdmin]

Комплексное не обязательно должно быть через одну Ж(елезку), телефония и VPN через Интернет дружат плохо.

Телефония через ВАТС, остальное через VPN с компа...

[leprekon69]

Вы так говорите, как будто я решения принимаю ) Мне сказали подобрать железку и настроить. Остальное всё наверху уже придумали давно. Нашёл у Zyxel-a только 1 решение, ZyWALL VPN2S. ZyWALL VPN50 уже дороговато.

[kapydan]

на какой версии софта тренировались в eve-ng?

если никогда раньше не работали с асами, то будет проще ее через asdm настраивать.

 

судя по видео с ютуба, этакий недо 800 роутер, по пере длинк. 

 

кстати, можно рассмотреть покупку бу 800 серии роутеров - как раз, они позиционируются как soho решение.

 

 

а если в тему, то fxs+vpn можно получить на isr g2 - выбрать какую-нибудь бу 2911 и поставить в нее модуль с fxs. стоимость такого решения - ну тысяч до 30 рублей. vpn с ipsec там вроде как "бесплатный" на некоторыъ иосах.