MaxaoH82 Опубликовано 13 октября, 2011 · Жалоба Стоит в дата-центре сервер (пока без ОС) на данный момент к нему должны подключаться по VPN (соеденение постоянным должно быть) около 500 сетей (в каждой сети одна и та же адресация 192.168.100.х/24) в будущем нужно поднять планку до 3000 сетей и выше, сети маленькие 2-3 компа. Оператор должен подключаться к этому серверу а уже с него к любой из этих 500 сетей по SSH либо VNC. На стороне клиентской сети железка какая нибудь по типу д-линк DFL-260 чтобы поднимала VPN автоматом может и другая железяка. Можно попробовать поставить на сервак pptpd но не знаю вывезет ли он это всё, может у Cisco есть решение для такого. Вобщем пока даже рыть куда не знаю. Может кто организовывал нечто подобное. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 14 октября, 2011 · Жалоба ИМХО на таком кол-ве сессий все же лучше будет сервер с accel-pptp - вот тут ветка http://forum.nag.ru/forum/index.php?showtopic=45266 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snark Опубликовано 1 ноября, 2011 · Жалоба Стоит в дата-центре сервер ... к нему должны подключаться по VPN (соеденение постоянным должно быть) около 500 сетей ... в будущем нужно поднять планку до 3000 сетей и выше ... На стороне клиентской сети железка какая нибудь по типу д-линк DFL-260 чтобы поднимала VPN автоматом может и другая железяка. Ставьте DFL-2560 - Вам его производительности должно хватить. Основным плюсом для Вас является то что можете позвонить в ближайший офис блинка, описать проблему, получить там консультацию и взять в тест и ручками пощупать как сам VPN концентратор, так и оконечные железки. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mukca Опубликовано 2 ноября, 2011 · Жалоба freebsd + mpd на клиентской стороне любой домашний роутер/??! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snark Опубликовано 2 ноября, 2011 · Жалоба У человека задача объединения VPN сетей. Да, можно на mpd это все сделать, но если надо и стойкое шифрование и прочие плюшки, а денег на ASA нет - то уж лучше блинкоский файер, чем писюк, IMHO. Я mpd как РРРоЕ сервер использую и доволен им, но для серьезных VPN задач лучше использовать то, что под оный VPN и заточено, разве нет? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 3 ноября, 2011 · Жалоба Сильно сомневаюсь что длинк будет совсем без проблемным решением. Писюк можно взять в аренду в любом дц, без проблем, длинк нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snark Опубликовано 3 ноября, 2011 · Жалоба /me уселся в 1-м ряду слушать про аппаратное ускорение шифрования в связке с mpd Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dignity Опубликовано 4 ноября, 2011 · Жалоба лучше без gre, imho. Openvpn, ipip, l2tp, но без gre. Я бы делал на openvpn, клиенты на rb750g Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mukca Опубликовано 4 ноября, 2011 · Жалоба У человека задача объединения VPN сетей. Да, можно на mpd это все сделать, но если надо и стойкое шифрование и прочие плюшки, а денег на ASA нет - то уж лучше блинкоский файер, чем писюк, IMHO. Я mpd как РРРоЕ сервер использую и доволен им, но для серьезных VPN задач лучше использовать то, что под оный VPN и заточено, разве нет? в первом посту про шифрование не слово. (и сказано что сервак уже стоит в дата центре, так что аппаратное решение....) на двухъядерном коре с интеловскими гигабитными сетевушками без проблем мона тыщу другую l2tp сессий без шифрования держать... а с шифрование хз... /me уселся в 1-м ряду слушать про аппаратное ускорение шифрования в связке с mpd сижу на последем ряду и улюлюкаю.. хотя может что интересного скажут :D лучше без gre, imho. Openvpn, ipip, l2tp, но без gre. Я бы делал на openvpn, клиенты на rb750g да вообще без разницы на чем клиенты. вон домашних роутеров куча, а с учетом альтернативных прошивок... и имхо неважно какой тунель использовать. конечно если нету определенных требований ТЗ и каких то предпочтений.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 4 ноября, 2011 · Жалоба /me уселся в 1-м ряду слушать про аппаратное ускорение шифрования в связке с mpd Автор сам не в курсе деталей реализации. Только что у него будет куча интерфейсов между которыми нельзя гонять трафик, и пересекающаяся адресация. На длинке, через веб морду, да и принципе вряд ли такое получится. Или предложите ему сразу конфиг, чтобы у него каждый отдельный впн клиент попадал в свой влан, куда его операторы потом будут бегать суппортить. Или ещё как то, но у меня кроме вланов в голову ничего не пришло. Тут придётся отрывать ngX интерфейс, и присоединять туда ether<->ipv4 ноду, к которой ng_vlan и дальше к физ интерфейсу, скорее всего через бридж. На фряхе выбор сильно шире, если с мпд5 не получится можно средствами самой системы IPSEC заюзать, может как то получится прицепить по влану на каждый интерфейс. Ещё есть вариант собирать сразу на нетграфах мост, где ethernet с локалок заворачивается в юдп и гонится по нету, а на серверной стороне оно также раскидывается по вланам. Минусы в том что все широковещательные пакеты тоже полетят, шифрование на любителя, и в том что клиентам тоже нужно будет фряшные роутеры держать. Зато плюсом что дополнительно программить точно ничегон е придётся (ether<->ipv4 нода не существует в паблике, сырая альфа у меня уже год без движения). И уж если мерится производительностью - в начале огласите что есть внутри длинковой хрени. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dignity Опубликовано 4 ноября, 2011 · Жалоба любой древний juniper, например ns500 указанное число ipsec туннелей вывезет, скорость как я помню 300 мбит до 1000 туннелей. В пару штук бачей влезет)) уверен что современный сервер нормально настроенный намного мощнее) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mukca Опубликовано 5 ноября, 2011 · Жалоба Автор сам не в курсе деталей реализации. вот это самое страшное когда человек зам незнает что ему надо и просит помощи... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Evseev Опубликовано 6 ноября, 2011 · Жалоба в каждой сети одна и та же адресация 192.168.100.х/24 В таком случае нет смысла держать все линки одновременно поднятыми. Понадобилась связь с какой-то из этих сетей - сервер разрешает ей к нему подключиться. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dignity Опубликовано 6 ноября, 2011 · Жалоба nat на клиенте... Делов-то. Мне кажется автор устал от топика)) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MaxaoH82 Опубликовано 14 ноября, 2011 (изменено) · Жалоба вот это самое страшное когда человек зам незнает что ему надо и просит помощи... Эм .... а первый пост читали ? там по моему ясно написано что нужно объединить сети по ВПН чтобы они всегда были подключены nat на клиенте... Делов-то. Мне кажется автор устал от топика)) Автор не устал! Просто отходил не надолгое время. Ситуация проясняется чуток: 1)Сети не будут пересекаться. 2)Железяка на серверной стороне на 500 соеденений уж точно не от D-Link будет а если планку до 3000 поднимать то d-link мне кажеться вобще "не серьёзно" лучше без gre, imho. Openvpn, ipip, l2tp, но без gre. Я бы делал на openvpn, клиенты на rb750g openvpn сервак и rb750g клиенты ? Чем мотивируешь ? Изменено 14 ноября, 2011 пользователем MaxaoH82 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alex/AT Опубликовано 14 ноября, 2011 (изменено) · Жалоба ASA 5520/5540 (по производительности), на сетки - 5505, IPSec+NAT. Решение недешевое, но вполне нормальное по производительности. Теоретически можно даже без 5505 обойтись - Cisco VPN Client на одном из компов в клиентских сетях. Изменено 14 ноября, 2011 пользователем Alex/AT Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MaxaoH82 Опубликовано 14 ноября, 2011 · Жалоба ASA 5520/5540 (по производительности), на сетки - 5505, IPSec+NAT. Решение недешевое, но вполне нормальное по производительности. Теоретически можно даже без 5505 обойтись - Cisco VPN Client на одном из компов в клиентских сетях. К ASA 5520/5540 только цисковские продукты могут цепляться или можно тот же самый d-link подцепить ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...