Jump to content
Калькуляторы

Помогите с выбором аппаратуры/софта под VPN

Нужно объединить центральный офис и около 30-ти подразделений в одну сеть с помощью VPN.

 

Нужно достаточно надежное решение, в том числе и по плохим каналам (например, интернет через два разных магистральных провайдера).

 

Хотел сначала сделать на FreeBSD+MPD, но я пока не гуру во фрюхе, поэтому в разумные сроки наврятли уложусь.

 

Подскажите на чем лучше сделать?? Пока думаю смотреть в сторону каких либо аппаратных решений. Подскажите какие решения наиболее надежны в работе? Какие решения вытянут 30 подключений с переспективой дальнейшего роста количества подключений?

 

Есть ли еще какие-либо варианты??

 

PS: есть только одно ограничивающее условие - VPN-сервер должен поддерживать клиентов Windows, т.к. иногда будет возникать потребность подключать людей через gprs-модемы на ноутбуках.

 

Share this post


Link to post
Share on other sites
Родной виндовский VPN через службу RRAS не устроит?

не надо такое

 

Нужно объединить центральный офис и около 30-ти подразделений в одну сеть с помощью VPN.

 

Нужно достаточно надежное решение, в том числе и по плохим каналам (например, интернет через два разных магистральных провайдера).

 

Хотел сначала сделать на FreeBSD+MPD, но я пока не гуру во фрюхе, поэтому в разумные сроки наврятли уложусь.

 

Подскажите на чем лучше сделать?? Пока думаю смотреть в сторону каких либо аппаратных решений. Подскажите какие решения наиболее надежны в работе? Какие решения вытянут 30 подключений с переспективой дальнейшего роста количества подключений?

 

Есть ли еще какие-либо варианты??

 

PS: есть только одно ограничивающее условие - VPN-сервер должен поддерживать клиентов Windows, т.к. иногда будет возникать потребность подключать людей через gprs-модемы на ноутбуках.

Могу расказать как развернуть на линухе pptpd будет держать и lin и win клиентов. Работает по всяким каналам, в том числе gprs. В офисах можно будет ставить маршрутизаторы, имеющие pptp-client, так что для пользователей будет совсем прозрачно.

Share this post


Link to post
Share on other sites

Настроек на фре, не больше, чем в каком нибудь DFL-210, а может и меньше.

Share this post


Link to post
Share on other sites

OpenVPN (TLS тоннели) на любом железе, просто в настройке, поддерживает винду с понянтыми окошками, к тому же шифрование отл.

сервер можно поднять на линухе к примеру, клиентов на винде.

 

 

Share this post


Link to post
Share on other sites
Родной виндовский VPN через службу RRAS не устроит?

не надо такое

 

Нужно объединить центральный офис и около 30-ти подразделений в одну сеть с помощью VPN.

 

Нужно достаточно надежное решение, в том числе и по плохим каналам (например, интернет через два разных магистральных провайдера).

 

Хотел сначала сделать на FreeBSD+MPD, но я пока не гуру во фрюхе, поэтому в разумные сроки наврятли уложусь.

 

Подскажите на чем лучше сделать?? Пока думаю смотреть в сторону каких либо аппаратных решений. Подскажите какие решения наиболее надежны в работе? Какие решения вытянут 30 подключений с переспективой дальнейшего роста количества подключений?

 

Есть ли еще какие-либо варианты??

 

PS: есть только одно ограничивающее условие - VPN-сервер должен поддерживать клиентов Windows, т.к. иногда будет возникать потребность подключать людей через gprs-модемы на ноутбуках.

Могу расказать как развернуть на линухе pptpd будет держать и lin и win клиентов. Работает по всяким каналам, в том числе gprs. В офисах можно будет ставить маршрутизаторы, имеющие pptp-client, так что для пользователей будет совсем прозрачно.

А что из этого RRAS не сможет - там даже лучше, если прописать на ВПНе ип из локалки, то будет работать АРП прокси, что снимает кучу головной боли связанной с маршрутизацией - сами пользуемся, до 100 соединений нормально держать будет любая П4 железка с 1 гигом на виндоуз сервере 2000 или 2003-м. Один м инус - за лицензию надо платить :-).

 

Share this post


Link to post
Share on other sites
Родной виндовский VPN через службу RRAS не устроит?

не надо такое

 

Нужно объединить центральный офис и около 30-ти подразделений в одну сеть с помощью VPN.

 

Нужно достаточно надежное решение, в том числе и по плохим каналам (например, интернет через два разных магистральных провайдера).

 

Хотел сначала сделать на FreeBSD+MPD, но я пока не гуру во фрюхе, поэтому в разумные сроки наврятли уложусь.

 

Подскажите на чем лучше сделать?? Пока думаю смотреть в сторону каких либо аппаратных решений. Подскажите какие решения наиболее надежны в работе? Какие решения вытянут 30 подключений с переспективой дальнейшего роста количества подключений?

 

Есть ли еще какие-либо варианты??

 

PS: есть только одно ограничивающее условие - VPN-сервер должен поддерживать клиентов Windows, т.к. иногда будет возникать потребность подключать людей через gprs-модемы на ноутбуках.

Могу расказать как развернуть на линухе pptpd будет держать и lin и win клиентов. Работает по всяким каналам, в том числе gprs. В офисах можно будет ставить маршрутизаторы, имеющие pptp-client, так что для пользователей будет совсем прозрачно.

А что из этого RRAS не сможет - там даже лучше, если прописать на ВПНе ип из локалки, то будет работать АРП прокси, что снимает кучу головной боли связанной с маршрутизацией - сами пользуемся, до 100 соединений нормально держать будет любая П4 железка с 1 гигом на виндоуз сервере 2000 или 2003-м. Один м инус - за лицензию надо платить :-).

RRAS все может, а еще он может виснуть, выдавать ошибки которые без supporta майкрософта не решаются, жрать уйму ресурсов. ARP-proxy без проблем есть в pptpd.

Вот таких, оптимистичных прогнозов, по поводу 100 users on P4/1G server я бы не стал делать, к томуже тут обязательно нужно учитывать объемы трафика и pps иначе говорить бессысленно. Лицензия ~1000 $.

 

 

есть какие-либо зарекомендовавшие себя аппаратные решения?

cisco 1811 ?

Share this post


Link to post
Share on other sites

Известный софт-фаерволл израильской компании.

Вот почему-то название вылетело из головы, но о нем многие слышали.

Share this post


Link to post
Share on other sites
есть какие-либо зарекомендовавшие себя аппаратные решения?

fortigate, netscreen

Share this post


Link to post
Share on other sites
Известный софт-фаерволл израильской компании.

Вот почему-то название вылетело из головы, но о нем многие слышали.

Вспомнил, CheckPoint

Share this post


Link to post
Share on other sites

Бюджет озвучте, и скорости требуемые. Тогда можно предлагать решения.

 

Относительно недорогой и приличный вариант на базе Cisco ASA5500.

Модели - от скорости. На краях, от дополнительного требуемого функционала могут быть так же 1811 или 871 роутеры. Цена, грубо, от 700$ на удаленную точку, ну и примерно 2000-3000-5000 на центр.

 

CheckPoint - тоже может быть решением, но их совсем не знаю.

 

На базе PC может быть opensource решения и подешевле, но, для неспециалиста может быть заметно сложнее.

 

Для любителей приключения - Dlink можно повыбирать или NetGear, Zelax и т.д., так как поддерживают формально это все, кому не лень.

 

Но, в любом случае очень желательно понимание технологии, чтоб запустить работу после того, как окажется, что после конфигурации wizard-ом связи нет.

Share this post


Link to post
Share on other sites
Бюджет озвучте, и скорости требуемые. Тогда можно предлагать решения.

Бюджет пока на стадии планирования, но согласие на оборудование класса cisco руководство дало.

Скорости - в основном 100 Мбит/сек.

 

Share this post


Link to post
Share on other sites

Как бы повторюсь и не буду оригинальным, но сиско ASA же.

Share this post


Link to post
Share on other sites

Озвучьте примерную цену решения на 30 филиалов по 100Мбит на циско.

Share this post


Link to post
Share on other sites
Озвучьте примерную цену решения на 30 филиалов по 100Мбит на циско.
много =) 30 штук ASA5520. ценник на прайс.ру

в голову хотя бы 5550.

 

 

Share this post


Link to post
Share on other sites

5505 в филиалы, 5520 - в центральный офис. Цены посмотрите в интернетах.

Share this post


Link to post
Share on other sites

Так что в разумные деньги скорее всего уложитесь только на "фряхе" :-)

Share this post


Link to post
Share on other sites

Что-то подсказывает мне, что топикстартер в своих "Скорости - в основном 100 Мбит/сек." несколько заблуждается, на 5-10 раз так примерно :) А в целом задачу оптимально делить на две части: "подразделения" - отдельная песня, "физлица" - отдельная. Ну и не забывать, что на просторах нашей необъятной до сих пор найдутся любители порезать всякие "ненужные" ip# 47/50/51.

Share this post


Link to post
Share on other sites

я честно недоумеваю, количество людей выучивших сэйлз cisco -- зашкаливает,

зачем человеку платить за pix etc, если можно все запустить на обычном железе дешевле и надежнее?

Edited by новый год

Share this post


Link to post
Share on other sites

новый год

зачем человеку платить за pix etc, если можно все запустить на обычном железе дешевле и надежнее?

так ему не только кошки предложили, если Вы хотя бы через слово прочитали:-))

к слову, что имеете ввиду под "обычным железом"? писюки с фрибсд?:-))) ага, если там корпорат типа банка, придет регулятор проверить состояние ИБ по своему стандарту, долго придется объяснять, где на фрибсд сертификат приклеен:-))) не говоря уже, что корпоративную сеть в РФии обычно строят так, чтобы потом максимально удешевить стоимость обслуживающего её персонала, т.е. в головном офисе пару парней знающих посадят, а на просторах необъятной наймут таджиков, кабеля втыкать в нужные порты, так что если топикстартеру надо внятное работающее решение, вкладываться придется, тут прикинули уже от 100 до 200 килоуев, в зависимости от наглости рожи, с которой подают счета к оплате руководству:-))

Share this post


Link to post
Share on other sites

Нищеброды-красноглазики детектед!

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this