[MATPOCKuH]

Добрый день, уважаемые!

Хочу попросить вас помощи в выборе решения для построения сети для компании такого типа (см. схему).

Офисы: ЦО – до 200 компов, 10-15 серверов, РДЦ – 50 компов, 1 сервер, ДОП – 8 компов. Планируется 5-6 РДЦ, в зоне влияния каждого 5-6 ДОП.

Сервисы: Централизовано в ЦО, основное - 1С через терминальные сессии, Exchange.

Каналы: РДЦ-ЦО – VPN, гарантированные 10 мбс, + надо построить туннели через дикий интернет, для резервирования, РДЦ-ДОП ннадо построить туннели через дикий интернет с автоматическим переключение + доступ в интернет через 2-х провайдеров с автоматическим переключением.

Телефония: в ЦО, контакт-центр (уже работает), с возможностью маршрутизации звонка в любой офис. Прямые звонки в ДОП не нужны - через РДЦ или маршрутизация с call-центра. ЦО – 150 абонентов, РДЦ – 50 абонентов, ДОП – 1-2 абонента. Все каналы по SIP желательно, Планируется разворачивать на Asterisk, но варинты возможны.

 

На cisco посчитали - не влазим в бюджет, т.к. цель открыть с минимальными затратами как можно больше РДЦ и ДОП. Интересуют варианты например на dlink или других вендоров.

[Nikolaicheg]

а что считали у цыцки?

гляньте джанипер, если не нужна сверхвысокая скорость впна, то можно глянуть j2320, srx100. цена вопроса первой железки 70килорублей, вторая около 30. покупаете, заливаете прошивку не для европы, используете 3des шифрование :)

единственное, если нужен будет pptp сервер на базе j2320, то нужно будет покупать лицуху.

для телефонии можно и панас взять tde серию. покупаете на нее лицухи на сип, используете)

 

з.ы. джанипер гораздо быстрей возят, т.к. не надо ждать сертификатов как на циску с шифрованием

Изменено 11 апреля, 2012 пользователем Nikolaicheg

[MATPOCKuH]

Спасибо за совет! А есть в городе спецы, чтобы этими джуниперами рулить? Имхъо не очень распростроненное оборудование. И прошивку заливать честно спи... да? ;)

У циски считали схему, что нарисовали, получилось дорого.

Изменено 11 апреля, 2012 пользователем MATPOCKuH

[agr]

А в каком junos'е есть поддержка PPTP сервера?

[Nikolaicheg]

прошивки сливаются с официального сайта джанипера. просто в европе они официально распространяют только один тип железа, чтобы не заморачиваться с сертификатами. и официальный jtac сам говорит, что для поддержки 3des лейте другую версию прошивки)

с поддержкой всё просто - покупаете контракт на годовую поддержку, а потом мучаете JTAC.

по пптп, так в srx100 сразу идет возможность, вроде как даже на 2 подключения)) можно докупить лицух. аналогично можно извратиться и с j2320. версия джуноса у нас стоит начиная с 10.3 и выше.

[agr]

прошивки сливаются с официального сайта джанипера. просто в европе они официально распространяют только один тип железа, чтобы не заморачиваться с сертификатами. и официальный jtac сам говорит, что для поддержки 3des лейте другую версию прошивки)

с поддержкой всё просто - покупаете контракт на годовую поддержку, а потом мучаете JTAC.

по пптп, так в srx100 сразу идет возможность, вроде как даже на 2 подключения)) можно докупить лицух. аналогично можно извратиться и с j2320. версия джуноса у нас стоит начиная с 10.3 и выше.

 

Так это не pptp же, а dynamic ipsec. Причем подключиться можно к нему только через собственный джуниперский клиент, это по крайней мере на 10.4R6.5 так. На количество статических ipsec тунелей ограничений особых нет, но с ними свои приколы есть...

[MATPOCKuH]

Хочется чтобы приколов было поменьше. :)

Изменено 11 апреля, 2012 пользователем MATPOCKuH

[Nikolaicheg]

Так это не pptp же, а dynamic ipsec. Причем подключиться можно к нему только через собственный джуниперский клиент, это по крайней мере на 10.4R6.5 так. На количество статических ipsec тунелей ограничений особых нет, но с ними свои приколы есть...

 

коллега клянется, что делал и обычный пптп на срх100.

не понял про свои приколы? в чем конкретно прикол?

[Nikolaicheg]

да и dynamic vpn работает по принципу того, что юзер авторизуется на специальной странице, и уже после этого скачивает преднастроенный впн клиент.

После аутентификации пользователя на межсетевом экране (по HTTPS) автоматически скачивается уже настроенный VPN-клиент для установки IPSec-туннеля.

Требуется покупка лицензии на соответсвующее число пользователей.

 

 

у srx100 ограничение в 128 туннелей.

Изменено 11 апреля, 2012 пользователем Nikolaicheg

[arseniiv]

Не хотите ли арендовать VPN-каналы?

[MATPOCKuH]

уже арендуем - на схеме они есть и подписаны. :) Просто это доступн не везде, поэтому надо иметь возможность кидать туннели через дикий интернет.

[arseniiv]

Имеется vpn-сервер куда можете закинуть все ваши тунели через интернет.

[Nikolaicheg]

уже арендуем - на схеме они есть и подписаны. :) Просто это доступн не везде, поэтому надо иметь возможность кидать туннели через дикий интернет.

 

у меня все точки продаж сидят на таких впнах через дикий тырнет.

уже как года 3, нареканий нет, кроме разве что периодически плохой связанности разных провайдеров.

[MATPOCKuH]

Имеется vpn-сервер куда можете закинуть все ваши тунели через интернет.

дык свой хочется, смыл его арендовать?

[agr]

коллега клянется, что делал и обычный пптп на срх100.

 

а можете у него узнать как он это делал? Тема крайне интересует.

 

не понял про свои приколы? в чем конкретно прикол?

Например для одного тунеля в proxy-id можно указать только одну подсеть для локального и удаленного конца

vpn IPSEC_VPN_E {
   bind-interface st0.1;
   ike {
       gateway IKE_GATEWAY_E;
       proxy-identity {
           local 192.168.10.0/24;
           remote 192.168.200.0/24;
           service any;
       }
       ipsec-policy IPSEC_POLICY;
   }
   establish-tunnels immediately;
}

 

Если между двумя точками нужно шифровать трафик для более чем одной подсети с каждой стороны, то нужно создавать тунели для каждой пары(local-remote) подсетей. В cisco, например, это все можно указать в одном access-list'е и привязать его к одному crypto-map'у.

 

Еще для remote сетей нужно в явном виде прописывать статический маршрут через туннельный интерфейс st0.* Если remote сеть одна, то при прописывании на нее статиков через разные тунели возникают какие-то косяки и трафик может не ходить. Я в деталях не помню уже, но в свое время я намучился с этим делом. В итоге оставил один тунель, но local сеть в proxy-id поставил с аггрегированной маской, которая перекрывала специфики.

[Nikolaicheg]

proxy-identity не обязательно прописывать.

у меня из 10 впнов описано только для 2, и то те, которые не хотели просто так заводиться, логи писали, что он не может найти p2_policy для ipsec'a.

а можете у него узнать как он это делал? Тема крайне интересует.

 

говорит, что настраивал на srx100 всё сначала, а потом куски конфига вставлял на j2320. конфиг кушался железкой без проблем, но без лицензий не работал :)

 

если до точки идет 2 туннеля, то можно через преференс роут настроить маршрутизацию. т.е. выставляется приоритет маршрута, если приоритетный маршрут недоступен, то идет через второй роут.

[agr]

proxy-identity не обязательно прописывать.

у меня из 10 впнов описано только для 2, и то те, которые не хотели просто так заводиться, логи писали, что он не может найти p2_policy для ipsec'a.

 

У меня было т.н. route-based ipsec vpn. Если при нем не прописывать proxy-id в явном виде, то srx будет посылать 0.0.0.0/0 в качестве local и remote. У вас судя по всему используется policy-based vpn, в этом случае proxy-id выставляется в зависимости от того, что прописано в соответствующем security policy. Если в security-policy больше одной сети в match source-address или destination-address, то srx также выставит 0.0.0.0/0 в качестве local и remote proxy-id.

[Nikolaicheg]

proxy-identity не обязательно прописывать.

у меня из 10 впнов описано только для 2, и то те, которые не хотели просто так заводиться, логи писали, что он не может найти p2_policy для ipsec'a.

 

У меня было т.н. route-based ipsec vpn. Если при нем не прописывать proxy-id в явном виде, то srx будет посылать 0.0.0.0/0 в качестве local и remote. У вас судя по всему используется policy-based vpn, в этом случае proxy-id выставляется в зависимости от того, что прописано в соответствующем security policy. Если в security-policy больше одной сети в match source-address или destination-address, то srx также выставит 0.0.0.0/0 в качестве local и remote proxy-id.

тогда у меня получается черти-че)))

у меня есть прописанные в явном виде сети локал\ремоут. есть так же и не прописанные.

роуты статические, описаны в соответствующем разделе.

...
       gateway samp-ike1 {
           ike-policy ike-unipol;
           address ip_here ;
           local-identity inet ip_here ;
           external-interface ge-0/0/3.0;
       }
       gateway izmail-ike {
           ike-policy ike-unipol;
           address ip_here;
           external-interface ge-0/0/3.0;
       }
       gateway lans-ike {
           ike-policy ike-unipol;
           address ip_here;
           no-nat-traversal;
           local-identity inet ip_here;
           external-interface ge-0/0/3.0;
       }
   }
   ipsec {
	...
       vpn pol-vpn {
           bind-interface st0.10;
           ike {
               gateway pol-ike;
               ipsec-policy vpn-unipol;
           }
           establish-tunnels immediately;
       }
....
    	vpn izmail-vpn {
           bind-interface st0.5;
           ike {
               gateway izmail-ike;
               proxy-identity {
                   local 192.168.1.0/24;
                   remote 192.168.11.0/28;
               }
               ipsec-policy vpn-unipol;
           }
           establish-tunnels immediately;
       }
       vpn lans-vpn {
           bind-interface st0.6;
           ike {
               gateway lans-ike;
               ipsec-policy vpn-unipol;
           }
           establish-tunnels immediately;
       }
       vpn zhelez-vpn {
           bind-interface st0.7;
           ike {
               gateway zhelez-ike;
               proxy-identity {
                   local 192.168.1.0/24;
                   remote 192.168.11.32/28;
               }
               ipsec-policy vpn-unipol;
           }
           establish-tunnels immediately;
       }
	}
}

[bokl]

где это интересно жунипер дешевле цисок?

[dsk]

Проще все на микротике сделать, и все протоколы есть из коробки, и настраивать через winbox совсем не сложно. Для корпоративных нужд более чем...

[Nikolaicheg]

где это интересно жунипер дешевле цисок?

 

к9 циска 2811 стоит от 130к

[zoro]

микротик поставьте, но бабло не освоите...

[Alex/AT]

Если Вам нужен VPN (IPSec, как офис-офис, так и телекоммютеры на L2TP) + немного OSPF для резервирования, то в ЦО - пару Cisco ASA 5540/5580 (отказоустойчивость). В РДЦ - 5505/5510 (по одной или парами) с лицензией на 50 или UL юзеров. В ДОП - базовые 5505.

 

Посчитайте на ASA'х, вполне возможно, что влезете в бюджет. Эти железки заточены под VPN / Firewall, стоят дешевле мультисервисок, и в плане VPN / Firewall - куда производительнее. Строил на них подобную же сеть - никаких нареканий. Возможно как прокинуть туннель через несколько IP, так и прокинуть два туннеля, и разрулить на OSPF. Единственное что - необходимо грамотное планирование адресации в сети.

Изменено 21 апреля, 2012 пользователем Alex/AT