[MaxaoH82]

Стоит в дата-центре сервер (пока без ОС) на данный момент к нему должны подключаться по VPN (соеденение постоянным должно быть) около 500 сетей (в каждой сети одна и та же адресация 192.168.100.х/24) в будущем нужно поднять планку до 3000 сетей и выше, сети маленькие 2-3 компа.

Оператор должен подключаться к этому серверу а уже с него к любой из этих 500 сетей по SSH либо VNC. На стороне клиентской сети железка какая нибудь по типу д-линк DFL-260 чтобы поднимала VPN автоматом может и другая железяка.

 

Можно попробовать поставить на сервак pptpd но не знаю вывезет ли он это всё, может у Cisco есть решение для такого.

 

Вобщем пока даже рыть куда не знаю. Может кто организовывал нечто подобное.

[Andrei]

ИМХО на таком кол-ве сессий все же лучше будет сервер с accel-pptp - вот тут ветка http://forum.nag.ru/forum/index.php?showtopic=45266

[snark]

Стоит в дата-центре сервер ... к нему должны подключаться по VPN (соеденение постоянным должно быть) около 500 сетей ... в будущем нужно поднять планку до 3000 сетей и выше ... На стороне клиентской сети железка какая нибудь по типу д-линк DFL-260 чтобы поднимала VPN автоматом может и другая железяка.

Ставьте DFL-2560 - Вам его производительности должно хватить. Основным плюсом для Вас является то что можете позвонить в ближайший офис блинка, описать проблему, получить там консультацию и взять в тест и ручками пощупать как сам VPN концентратор, так и оконечные железки.

[mukca]

freebsd + mpd

на клиентской стороне любой домашний роутер/??!

[snark]

У человека задача объединения VPN сетей. Да, можно на mpd это все сделать, но если надо и стойкое шифрование и прочие плюшки, а денег на ASA нет - то уж лучше блинкоский файер, чем писюк, IMHO. Я mpd как РРРоЕ сервер использую и доволен им, но для серьезных VPN задач лучше использовать то, что под оный VPN и заточено, разве нет?

[Ivan_83]

Сильно сомневаюсь что длинк будет совсем без проблемным решением.

 

Писюк можно взять в аренду в любом дц, без проблем, длинк нет.

 

 

[snark]

/me уселся в 1-м ряду слушать про аппаратное ускорение шифрования в связке с mpd

[dignity]

лучше без gre, imho. Openvpn, ipip, l2tp, но без gre. Я бы делал на openvpn, клиенты на rb750g

[mukca]

У человека задача объединения VPN сетей. Да, можно на mpd это все сделать, но если надо и стойкое шифрование и прочие плюшки, а денег на ASA нет - то уж лучше блинкоский файер, чем писюк, IMHO. Я mpd как РРРоЕ сервер использую и доволен им, но для серьезных VPN задач лучше использовать то, что под оный VPN и заточено, разве нет?

в первом посту про шифрование не слово. (и сказано что сервак уже стоит в дата центре, так что аппаратное решение....)

на двухъядерном коре с интеловскими гигабитными сетевушками без проблем мона тыщу другую l2tp сессий без шифрования держать... а с шифрование хз...

/me уселся в 1-м ряду слушать про аппаратное ускорение шифрования в связке с mpd

сижу на последем ряду и улюлюкаю.. хотя может что интересного скажут :D

лучше без gre, imho. Openvpn, ipip, l2tp, но без gre. Я бы делал на openvpn, клиенты на rb750g

да вообще без разницы на чем клиенты. вон домашних роутеров куча, а с учетом альтернативных прошивок...

и имхо неважно какой тунель использовать. конечно если нету определенных требований ТЗ и каких то предпочтений..

[Ivan_83]

/me уселся в 1-м ряду слушать про аппаратное ускорение шифрования в связке с mpd

 

Автор сам не в курсе деталей реализации. Только что у него будет куча интерфейсов между которыми нельзя гонять трафик, и пересекающаяся адресация. На длинке, через веб морду, да и принципе вряд ли такое получится. Или предложите ему сразу конфиг, чтобы у него каждый отдельный впн клиент попадал в свой влан, куда его операторы потом будут бегать суппортить. Или ещё как то, но у меня кроме вланов в голову ничего не пришло. Тут придётся отрывать ngX интерфейс, и присоединять туда ether<->ipv4 ноду, к которой ng_vlan и дальше к физ интерфейсу, скорее всего через бридж.

 

На фряхе выбор сильно шире, если с мпд5 не получится можно средствами самой системы IPSEC заюзать, может как то получится прицепить по влану на каждый интерфейс.

 

Ещё есть вариант собирать сразу на нетграфах мост, где ethernet с локалок заворачивается в юдп и гонится по нету, а на серверной стороне оно также раскидывается по вланам. Минусы в том что все широковещательные пакеты тоже полетят, шифрование на любителя, и в том что клиентам тоже нужно будет фряшные роутеры держать. Зато плюсом что дополнительно программить точно ничегон е придётся (ether<->ipv4 нода не существует в паблике, сырая альфа у меня уже год без движения).

 

 

 

 

И уж если мерится производительностью - в начале огласите что есть внутри длинковой хрени.

 

 

[dignity]

любой древний juniper, например ns500 указанное число ipsec туннелей вывезет, скорость как я помню 300 мбит до 1000 туннелей. В пару штук бачей влезет)) уверен что современный сервер нормально настроенный намного мощнее)

[mukca]

Автор сам не в курсе деталей реализации.

вот это самое страшное когда человек зам незнает что ему надо и просит помощи...

[Ilya Evseev]

в каждой сети одна и та же адресация 192.168.100.х/24

В таком случае нет смысла держать все линки одновременно поднятыми.

Понадобилась связь с какой-то из этих сетей - сервер разрешает ей к нему подключиться.

[dignity]

nat на клиенте... Делов-то. Мне кажется автор устал от топика))

[MaxaoH82]

вот это самое страшное когда человек зам незнает что ему надо и просит помощи...

Эм .... а первый пост читали ? там по моему ясно написано что нужно объединить сети по ВПН чтобы они всегда были подключены

 

nat на клиенте... Делов-то. Мне кажется автор устал от топика))

 

Автор не устал! Просто отходил не надолгое время.

Ситуация проясняется чуток:

1)Сети не будут пересекаться.

2)Железяка на серверной стороне на 500 соеденений уж точно не от D-Link будет а если планку до 3000 поднимать то d-link мне кажеться вобще "не серьёзно"

 

лучше без gre, imho. Openvpn, ipip, l2tp, но без gre. Я бы делал на openvpn, клиенты на rb750g

openvpn сервак и rb750g клиенты ?

Чем мотивируешь ?

Изменено 14 ноября, 2011 пользователем MaxaoH82

[Alex/AT]

ASA 5520/5540 (по производительности), на сетки - 5505, IPSec+NAT. Решение недешевое, но вполне нормальное по производительности. Теоретически можно даже без 5505 обойтись - Cisco VPN Client на одном из компов в клиентских сетях.

Изменено 14 ноября, 2011 пользователем Alex/AT

[MaxaoH82]

ASA 5520/5540 (по производительности), на сетки - 5505, IPSec+NAT. Решение недешевое, но вполне нормальное по производительности. Теоретически можно даже без 5505 обойтись - Cisco VPN Client на одном из компов в клиентских сетях.

 

К ASA 5520/5540 только цисковские продукты могут цепляться или можно тот же самый d-link подцепить ?