leprekon69 Опубликовано 29 июля, 2020 (изменено) · Жалоба Ищу, пол-города на уши поднял, никто не знает. Советуют большие стоечные Циски за 300 000 с лицензиями. А это как бы сотрудникам, домой, и нужно этих железок много. Поэтому бюджет до 30 000 за штуку. Можно не циску, но и не Микротик/ TPlink / Dlink и прочее. Безопасность в приоритете (начальство уверено, что нормальный VPN возможен только у дорогих железок)) ). Нужно чтобы сотрудник заходил в сеть компании из режима Самоизоляции, получал звонки на аналоговый телефон (софтфон и гарнитуру не предлагать), и ничего не глючило-не висло. Я сам в дорогом железе не разбираюсь, ибо правильно настроенный линукс на шлюзе всегда предпочитал этим закладкам из США за кучу зелени. Ну а микро-бизнесу и простых железок хватало. А потом мы эти Циски / Linksys будем цеплять к Asterisk, а его к Panasonic TDE. Вот такой прикол. Помогите, а? Изменено 29 июля, 2020 пользователем leprekon69 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 29 июля, 2020 · Жалоба Huawei HUAWEI AR129CVW если с вайфаем, AR129CV - если без. SSL VPN требует "головы" от Hua и лицензий, но обычный L2TP/IPSEC тоже поддерживается. AR129CGVW-L добавит LTE интерфейс и WiFi 802.11ac Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SOFTOLAB Опубликовано 29 июля, 2020 · Жалоба А можно просто ставить HEX... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 29 июля, 2020 · Жалоба 2 hours ago, leprekon69 said: аналоговый телефон (софтфон и гарнитуру не предлагать) Но зачем "аналоговый", когда есть нормальные IP телефоны, коих легион всяких. От циски до SNR. Многие умеют и VPN сами поднимать даже. На крайний случай тот-же микрот, хотя это оверкилл. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 29 июля, 2020 · Жалоба Может асу какую-нить? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hRUst Опубликовано 29 июля, 2020 · Жалоба Eltex RG-5421G-Wac, правда производство закончено; TAU-1M.IP - но 1 LAN порт Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
leprekon69 Опубликовано 21 октября, 2020 (изменено) · Жалоба В-общем купили Cisco RV130 (я предлагал Huawei), у него нет FXS. но есть гордая надпись VPN Router. Месяц ждали. Пришёл с начальной прошивкой, в которой даже вкладки VPN нет. Прошил на предпоследнюю - появилась. Реальную АСА решил не портить, потренироваться сначала на зайцах - 5520 из комплекта EVE NG. Чуть не сломал голову, пока не выяснил, что туннель не поднимается, если в настройках Site-to_site VPN - Advanced - VPN Policy Configuration не указать Policy Type: Manual SPI-Incoming: 0x1234 SPI-Outgoing: 0x1234 Key-In:123456789ABCDEFG Key-Out:123456789ABCDEFG Это для AES-128. Для других длина отличается. Какого беса эта китайская поделка с 20+ версиями прошивок не научилась в режиме Policy Type: Auto генерировать эти циферки самостоятельно - знает лишь Аллах )) Или Будда. Но мне они не сказали. Ошибки, которые при этом происходят в логах, отличаются информативностью уровень 99: "no proposal chosen" на стороне ASA 5520 и "пришло информационное сообщение, но мы его отбросили" - на стороне RV130. Я проверил всё. Разрешил все методы криптографии на стороне АСА, все ACL. Наличие лицензий проверил. А дело было не в бобине. Теперь встаёт другая проблема. Туннель поднимается (видно на роутере и по wireshark), но трафик по нему не идёт. Пробовал делать статические маршруты - не помогло (или сделал не так). Прочитал что когда трафик заворачивается в VPN, то обычные статические маршруты не работают, и нужно прописывать в ACL. Там всё по инструкции на АСЕ. Подскажите, как дебажить такое? И ещё камень в огород китайских роутеров от циски: туннель не поднимается после перезагрузки. И когда трафик наружу идёт через роутер. Но стоит его пингануть, или подцепиться Anydesk-ом к компу за ним, вуаля, лампочка позеленела. Dead Peer тоже только 1 раз сработала функция, потом решила что хватит благ цивилизации с этих русских. Но это фиг с ней. Как эти роутеры пинговать, если они будут у юзеров за их домашним роутером с серым адресом - большой вопрос... Изменено 21 октября, 2020 пользователем leprekon69 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
leprekon69 Опубликовано 28 октября, 2020 (изменено) · Жалоба Нашёл ошибку на той неделе, Crypto map был на lan интерфейсе вместо outside. Но RV130 автоматом подключаться не стал. Ищем другой бренд... Можно без FXS, но чтобы site-to-site IPSEC VPN умел. Huawei, Eltex, Mikrotik не нравятся. Попробую Zyxel-и посмотреть. Изменено 28 октября, 2020 пользователем leprekon69 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 28 октября, 2020 · Жалоба А есть ещё Виртуальная АТС, когда сотрудники получают звонки на свои мобилы, хоть и по внутренней нумерации компании. Мобилы-то у всех есть, и никаких железок с VPN'ами не надо... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
leprekon69 Опубликовано 28 октября, 2020 · Жалоба Знаю. Но кроме телефонии будет ещё rdp и файлопомойка - комплексное решение для удаленной работы ) А то вот-вот опять закроют у нас людей по домам. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 29 октября, 2020 · Жалоба Комплексное не обязательно должно быть через одну Ж(елезку), телефония и VPN через Интернет дружат плохо. Телефония через ВАТС, остальное через VPN с компа... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
leprekon69 Опубликовано 29 октября, 2020 · Жалоба Вы так говорите, как будто я решения принимаю ) Мне сказали подобрать железку и настроить. Остальное всё наверху уже придумали давно. Нашёл у Zyxel-a только 1 решение, ZyWALL VPN2S. ZyWALL VPN50 уже дороговато. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kapydan Опубликовано 31 октября, 2020 · Жалоба на какой версии софта тренировались в eve-ng? если никогда раньше не работали с асами, то будет проще ее через asdm настраивать. судя по видео с ютуба, этакий недо 800 роутер, по пере длинк. кстати, можно рассмотреть покупку бу 800 серии роутеров - как раз, они позиционируются как soho решение. а если в тему, то fxs+vpn можно получить на isr g2 - выбрать какую-нибудь бу 2911 и поставить в нее модуль с fxs. стоимость такого решения - ну тысяч до 30 рублей. vpn с ipsec там вроде как "бесплатный" на некоторыъ иосах. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...