MATPOCKuH Опубликовано 11 апреля, 2012 · Жалоба Добрый день, уважаемые! Хочу попросить вас помощи в выборе решения для построения сети для компании такого типа (см. схему). Офисы: ЦО – до 200 компов, 10-15 серверов, РДЦ – 50 компов, 1 сервер, ДОП – 8 компов. Планируется 5-6 РДЦ, в зоне влияния каждого 5-6 ДОП. Сервисы: Централизовано в ЦО, основное - 1С через терминальные сессии, Exchange. Каналы: РДЦ-ЦО – VPN, гарантированные 10 мбс, + надо построить туннели через дикий интернет, для резервирования, РДЦ-ДОП ннадо построить туннели через дикий интернет с автоматическим переключение + доступ в интернет через 2-х провайдеров с автоматическим переключением. Телефония: в ЦО, контакт-центр (уже работает), с возможностью маршрутизации звонка в любой офис. Прямые звонки в ДОП не нужны - через РДЦ или маршрутизация с call-центра. ЦО – 150 абонентов, РДЦ – 50 абонентов, ДОП – 1-2 абонента. Все каналы по SIP желательно, Планируется разворачивать на Asterisk, но варинты возможны. На cisco посчитали - не влазим в бюджет, т.к. цель открыть с минимальными затратами как можно больше РДЦ и ДОП. Интересуют варианты например на dlink или других вендоров. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nikolaicheg Опубликовано 11 апреля, 2012 (изменено) · Жалоба а что считали у цыцки? гляньте джанипер, если не нужна сверхвысокая скорость впна, то можно глянуть j2320, srx100. цена вопроса первой железки 70килорублей, вторая около 30. покупаете, заливаете прошивку не для европы, используете 3des шифрование :) единственное, если нужен будет pptp сервер на базе j2320, то нужно будет покупать лицуху. для телефонии можно и панас взять tde серию. покупаете на нее лицухи на сип, используете) з.ы. джанипер гораздо быстрей возят, т.к. не надо ждать сертификатов как на циску с шифрованием Изменено 11 апреля, 2012 пользователем Nikolaicheg Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MATPOCKuH Опубликовано 11 апреля, 2012 (изменено) · Жалоба Спасибо за совет! А есть в городе спецы, чтобы этими джуниперами рулить? Имхъо не очень распростроненное оборудование. И прошивку заливать честно спи... да? ;) У циски считали схему, что нарисовали, получилось дорого. Изменено 11 апреля, 2012 пользователем MATPOCKuH Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
agr Опубликовано 11 апреля, 2012 · Жалоба А в каком junos'е есть поддержка PPTP сервера? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nikolaicheg Опубликовано 11 апреля, 2012 · Жалоба прошивки сливаются с официального сайта джанипера. просто в европе они официально распространяют только один тип железа, чтобы не заморачиваться с сертификатами. и официальный jtac сам говорит, что для поддержки 3des лейте другую версию прошивки) с поддержкой всё просто - покупаете контракт на годовую поддержку, а потом мучаете JTAC. по пптп, так в srx100 сразу идет возможность, вроде как даже на 2 подключения)) можно докупить лицух. аналогично можно извратиться и с j2320. версия джуноса у нас стоит начиная с 10.3 и выше. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
agr Опубликовано 11 апреля, 2012 · Жалоба прошивки сливаются с официального сайта джанипера. просто в европе они официально распространяют только один тип железа, чтобы не заморачиваться с сертификатами. и официальный jtac сам говорит, что для поддержки 3des лейте другую версию прошивки) с поддержкой всё просто - покупаете контракт на годовую поддержку, а потом мучаете JTAC. по пптп, так в srx100 сразу идет возможность, вроде как даже на 2 подключения)) можно докупить лицух. аналогично можно извратиться и с j2320. версия джуноса у нас стоит начиная с 10.3 и выше. Так это не pptp же, а dynamic ipsec. Причем подключиться можно к нему только через собственный джуниперский клиент, это по крайней мере на 10.4R6.5 так. На количество статических ipsec тунелей ограничений особых нет, но с ними свои приколы есть... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MATPOCKuH Опубликовано 11 апреля, 2012 (изменено) · Жалоба Хочется чтобы приколов было поменьше. :) Изменено 11 апреля, 2012 пользователем MATPOCKuH Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nikolaicheg Опубликовано 11 апреля, 2012 · Жалоба Так это не pptp же, а dynamic ipsec. Причем подключиться можно к нему только через собственный джуниперский клиент, это по крайней мере на 10.4R6.5 так. На количество статических ipsec тунелей ограничений особых нет, но с ними свои приколы есть... коллега клянется, что делал и обычный пптп на срх100. не понял про свои приколы? в чем конкретно прикол? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nikolaicheg Опубликовано 11 апреля, 2012 (изменено) · Жалоба да и dynamic vpn работает по принципу того, что юзер авторизуется на специальной странице, и уже после этого скачивает преднастроенный впн клиент. После аутентификации пользователя на межсетевом экране (по HTTPS) автоматически скачивается уже настроенный VPN-клиент для установки IPSec-туннеля.Требуется покупка лицензии на соответсвующее число пользователей. у srx100 ограничение в 128 туннелей. Изменено 11 апреля, 2012 пользователем Nikolaicheg Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
arseniiv Опубликовано 11 апреля, 2012 · Жалоба Не хотите ли арендовать VPN-каналы? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MATPOCKuH Опубликовано 11 апреля, 2012 · Жалоба уже арендуем - на схеме они есть и подписаны. :) Просто это доступн не везде, поэтому надо иметь возможность кидать туннели через дикий интернет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
arseniiv Опубликовано 11 апреля, 2012 · Жалоба Имеется vpn-сервер куда можете закинуть все ваши тунели через интернет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nikolaicheg Опубликовано 11 апреля, 2012 · Жалоба уже арендуем - на схеме они есть и подписаны. :) Просто это доступн не везде, поэтому надо иметь возможность кидать туннели через дикий интернет. у меня все точки продаж сидят на таких впнах через дикий тырнет. уже как года 3, нареканий нет, кроме разве что периодически плохой связанности разных провайдеров. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MATPOCKuH Опубликовано 11 апреля, 2012 · Жалоба Имеется vpn-сервер куда можете закинуть все ваши тунели через интернет. дык свой хочется, смыл его арендовать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
agr Опубликовано 11 апреля, 2012 · Жалоба коллега клянется, что делал и обычный пптп на срх100. а можете у него узнать как он это делал? Тема крайне интересует. не понял про свои приколы? в чем конкретно прикол? Например для одного тунеля в proxy-id можно указать только одну подсеть для локального и удаленного конца vpn IPSEC_VPN_E { bind-interface st0.1; ike { gateway IKE_GATEWAY_E; proxy-identity { local 192.168.10.0/24; remote 192.168.200.0/24; service any; } ipsec-policy IPSEC_POLICY; } establish-tunnels immediately; } Если между двумя точками нужно шифровать трафик для более чем одной подсети с каждой стороны, то нужно создавать тунели для каждой пары(local-remote) подсетей. В cisco, например, это все можно указать в одном access-list'е и привязать его к одному crypto-map'у. Еще для remote сетей нужно в явном виде прописывать статический маршрут через туннельный интерфейс st0.* Если remote сеть одна, то при прописывании на нее статиков через разные тунели возникают какие-то косяки и трафик может не ходить. Я в деталях не помню уже, но в свое время я намучился с этим делом. В итоге оставил один тунель, но local сеть в proxy-id поставил с аггрегированной маской, которая перекрывала специфики. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nikolaicheg Опубликовано 12 апреля, 2012 · Жалоба proxy-identity не обязательно прописывать. у меня из 10 впнов описано только для 2, и то те, которые не хотели просто так заводиться, логи писали, что он не может найти p2_policy для ipsec'a. а можете у него узнать как он это делал? Тема крайне интересует. говорит, что настраивал на srx100 всё сначала, а потом куски конфига вставлял на j2320. конфиг кушался железкой без проблем, но без лицензий не работал :) если до точки идет 2 туннеля, то можно через преференс роут настроить маршрутизацию. т.е. выставляется приоритет маршрута, если приоритетный маршрут недоступен, то идет через второй роут. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
agr Опубликовано 12 апреля, 2012 · Жалоба proxy-identity не обязательно прописывать. у меня из 10 впнов описано только для 2, и то те, которые не хотели просто так заводиться, логи писали, что он не может найти p2_policy для ipsec'a. У меня было т.н. route-based ipsec vpn. Если при нем не прописывать proxy-id в явном виде, то srx будет посылать 0.0.0.0/0 в качестве local и remote. У вас судя по всему используется policy-based vpn, в этом случае proxy-id выставляется в зависимости от того, что прописано в соответствующем security policy. Если в security-policy больше одной сети в match source-address или destination-address, то srx также выставит 0.0.0.0/0 в качестве local и remote proxy-id. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nikolaicheg Опубликовано 13 апреля, 2012 · Жалоба proxy-identity не обязательно прописывать. у меня из 10 впнов описано только для 2, и то те, которые не хотели просто так заводиться, логи писали, что он не может найти p2_policy для ipsec'a. У меня было т.н. route-based ipsec vpn. Если при нем не прописывать proxy-id в явном виде, то srx будет посылать 0.0.0.0/0 в качестве local и remote. У вас судя по всему используется policy-based vpn, в этом случае proxy-id выставляется в зависимости от того, что прописано в соответствующем security policy. Если в security-policy больше одной сети в match source-address или destination-address, то srx также выставит 0.0.0.0/0 в качестве local и remote proxy-id. тогда у меня получается черти-че))) у меня есть прописанные в явном виде сети локал\ремоут. есть так же и не прописанные. роуты статические, описаны в соответствующем разделе. ... gateway samp-ike1 { ike-policy ike-unipol; address ip_here ; local-identity inet ip_here ; external-interface ge-0/0/3.0; } gateway izmail-ike { ike-policy ike-unipol; address ip_here; external-interface ge-0/0/3.0; } gateway lans-ike { ike-policy ike-unipol; address ip_here; no-nat-traversal; local-identity inet ip_here; external-interface ge-0/0/3.0; } } ipsec { ... vpn pol-vpn { bind-interface st0.10; ike { gateway pol-ike; ipsec-policy vpn-unipol; } establish-tunnels immediately; } .... vpn izmail-vpn { bind-interface st0.5; ike { gateway izmail-ike; proxy-identity { local 192.168.1.0/24; remote 192.168.11.0/28; } ipsec-policy vpn-unipol; } establish-tunnels immediately; } vpn lans-vpn { bind-interface st0.6; ike { gateway lans-ike; ipsec-policy vpn-unipol; } establish-tunnels immediately; } vpn zhelez-vpn { bind-interface st0.7; ike { gateway zhelez-ike; proxy-identity { local 192.168.1.0/24; remote 192.168.11.32/28; } ipsec-policy vpn-unipol; } establish-tunnels immediately; } } } Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bokl Опубликовано 17 апреля, 2012 · Жалоба где это интересно жунипер дешевле цисок? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dsk Опубликовано 18 апреля, 2012 · Жалоба Проще все на микротике сделать, и все протоколы есть из коробки, и настраивать через winbox совсем не сложно. Для корпоративных нужд более чем... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nikolaicheg Опубликовано 19 апреля, 2012 · Жалоба где это интересно жунипер дешевле цисок? к9 циска 2811 стоит от 130к Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zoro Опубликовано 21 апреля, 2012 · Жалоба микротик поставьте, но бабло не освоите... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alex/AT Опубликовано 21 апреля, 2012 (изменено) · Жалоба Если Вам нужен VPN (IPSec, как офис-офис, так и телекоммютеры на L2TP) + немного OSPF для резервирования, то в ЦО - пару Cisco ASA 5540/5580 (отказоустойчивость). В РДЦ - 5505/5510 (по одной или парами) с лицензией на 50 или UL юзеров. В ДОП - базовые 5505. Посчитайте на ASA'х, вполне возможно, что влезете в бюджет. Эти железки заточены под VPN / Firewall, стоят дешевле мультисервисок, и в плане VPN / Firewall - куда производительнее. Строил на них подобную же сеть - никаких нареканий. Возможно как прокинуть туннель через несколько IP, так и прокинуть два туннеля, и разрулить на OSPF. Единственное что - необходимо грамотное планирование адресации в сети. Изменено 21 апреля, 2012 пользователем Alex/AT Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...