Jump to content
Калькуляторы

Прошу совета по выбору оборудования для организации IP тунелей p2p поверх публичной сети

Коллеги, добрый день! Поздравляю всех с наступающим Новым Годом!

Возникла задача предоставлять доступ до некоего оборудования установленного у заказчика от оборудования расположенного внутри нашей сети через шифрованный тунель повех публичной сети (Интернета).

Трафик будет TCP и UDP-поток, максимальная полоса на заказчика - 2 Мбит/сек.

Прошу подсказать, какое оборудование лучше использовать с нашей стороны - VPN concentrator (куда будут коннектиться девайсы заказчиков, не более 200 устройств, не более 400Мбит/сек. Возможность авторизации по логин/паролю, фильтринг по source IP клиента (это если у кого-то пров выдает статику), и собственно, какое использовать абонентское устройство, требования - 4 LAN порта, 1 WAN и умение поднять туннель до концентратора. Думаю кто-то реализовывал схожую задачу, пожалуйста, поделитесь опытом.

 

Примерную схемку этого безобразия прилагаю.

 

Спасибо за внимание и советы.

post-65717-097362600 1387901690_thumb.jpg

Edited by mse.rus77

Share this post


Link to post
Share on other sites

В центр Mikrotik CCR1036, для удаленных устройств RB750. Каждый создает L2TP туннель в центр и по OSPF гоняет маршруты. Фильтры никакие не нужны на вход, т.к. они только будут нагружать оборудование.

Share this post


Link to post
Share on other sites

В центр Mikrotik CCR1036, для удаленных устройств RB750. Каждый создает L2TP туннель в центр и по OSPF гоняет маршруты. Фильтры никакие не нужны на вход, т.к. они только будут нагружать оборудование.

Я так и думал, что Вы ответите одним из первых) По существу вопрос: OSPF не нужен, клиенты не должны видеть друг друга, и каждый клиент должен видеть только определенную подсеть с нашей стороны, это настраивается в предложенном решении?

Share this post


Link to post
Share on other sites

Все настраивается. Только OSPF будет проще=) Он вам сделает все маршруты, а на каждом выносном устройстве создадите фильтр, что если адрес = подсети абонента, адрес назначения =! разрешенной подсети со стороны провайдера, действие = дроп. Можете конечно все эти правила и на центральной железке сделать для наглядности.

 

Но не забывайте про MTU. Если ничего не делать, то пакеты более 1460 байт через канал не пройдут без фрагментации, то есть запустят пинг пакетами 1500 байт с запрещенной фрагментацией и увидят ошибку. Если это критично то нужно в туннелях поставить MRRU=1500, при этом пинги размером 1500 станут проходить без фрагментации (взгляд со стороны ОС, а не реальной ситуации в канале), однако вышестоящий оператор, через сеть которого вы получаете интернет, не должен чудить с очередностью пакетов, а то дропы появятся.

Share this post


Link to post
Share on other sites

ахахаха

это ущербный OSPF который не умеет работать с area, и это называется проще. ну да гемороя поиметь так намного проще

Share this post


Link to post
Share on other sites

ахахаха

это ущербный OSPF который не умеет работать с area, и это называется проще. ну да гемороя поиметь так намного проще

А можно пожалуйста конкретнее?

Share this post


Link to post
Share on other sites

 

А можно пожалуйста конкретнее?

деталей не знаю, но сам сааб неоднократно заявлял (когда народ жаловался на проблемы с оспф в микротике), что у людей руки не из плеч растут и неправильно настраивают микротик, и если не использовать area и загонять все рутеры в А0, то проблем нет. так что вот, продолжайте слушать его ценные советы

Share this post


Link to post
Share on other sites

 

А можно пожалуйста конкретнее?

деталей не знаю, но сам сааб неоднократно заявлял (когда народ жаловался на проблемы с оспф в микротике), что у людей руки не из плеч растут и неправильно настраивают микротик, и если не использовать area и загонять все рутеры в А0, то проблем нет. так что вот, продолжайте слушать его ценные советы

Все советы ценные, для того и советуюсь, не хочется наступить на грабли. Если откинуть Ваш, как я понимаю негатив к микротику и Саабу, по теме что-то посоветовать можете?

Share this post


Link to post
Share on other sites

А можно пожалуйста конкретнее?

деталей не знаю, но сам сааб неоднократно заявлял (когда народ жаловался на проблемы с оспф в микротике), что у людей руки не из плеч растут и неправильно настраивают микротик, и если не использовать area и загонять все рутеры в А0, то проблем нет. так что вот, продолжайте слушать его ценные советы

 

Я про другое писал, что замыкать кольца OSPF на микротике и редистрибьютить маршруты через разные area нельзя. Если нужно обмениваться маршрутами между несколькими area, нужно делать это через отдельный маршрутизатор или отдельную транспортную сеть для OSPF, в которой все транзитные роутеры должны быть в одной area. При этом если сеть большая, то отдельная транспортная сеть сама собой подразумевается, и если кто-то хотел сэкономить на оборудовании и не вышло, не нужно винить микротик в этом=)

 

К схеме топикстартера данная несуразица отношения не имеет.

Share this post


Link to post
Share on other sites

ахахаха

это ущербный OSPF который не умеет работать с area, и это называется проще. ну да гемороя поиметь так намного проще

 

 

Не умеет работать с чем?

 

Называется "слышу звон не знаю где он".

 

Умеет он работать с area. C оспф там другие проблемы которые к описанной ТС конфигурации отношения не имеют.

 

Я про другое писал, что замыкать кольца OSPF на микротике и редистрибьютить маршруты через разные area нельзя. Если нужно обмениваться маршрутами между несколькими area, нужно делать это через отдельный маршрутизатор или отдельную транспортную сеть для OSPF

 

Ой не надо лукавить. Эту проблему описал я, а не ты. Да и совет "использовать отдельную транспортную сеть" вообще никакого отношения к реальности не имеет.

 

не нужно винить микротик в этом

 

Fail. Спустя 2.5 года микротик таки починили редистрибуцию. Теперь оно работает почти как у нормальных производителей.

Share this post


Link to post
Share on other sites

Называется "слышу звон не знаю где он".

да и слава богу что не пришлось это хавать. кстати, к вопросу о безопасных туннелях через публичную сеть, уже обсуждались и проблемы с ipsec

моя роль лишь в том чтобы упомянуть проблемы, которые анальные рабы микротика в жизни не озвучат. acl не нужен ибо снижает производительность, ssh не нужен ибо глючит, юзайте телнет (ага, в интернете телнетить)

 

пусть автор сам решает что из проблемного нужно или потенциально возможно пригодится в его случае

 

микротик был бы хорош, если ьы не был так плох

 

а вот я сам могу посоветовать следующее, если нужно поднимать динамику чтобы гонять маршруты по своей сети то лучше использовать bgp на этих туненлях, он не быстро сходится, но и любой другой протокол на туннельном интерфейсе лучше себя не покажет, зато bgp даст возможность гибко управлять маршрутами, в частности фильтрация. опять же, если автору это нужно.

 

и еще, если это крупный проект, то в качестве концентратора я бы поставил Cisco/Juniper/"иной приличный вендор security оборудования", если это что-то мелко/среднее то поставил бы PC с любой подходящей системой

Share this post


Link to post
Share on other sites

Называется "слышу звон не знаю где он".

да и слава богу что не пришлось это хавать. кстати, к вопросу о безопасных туннелях через публичную сеть, уже обсуждались и проблемы с ipsec

моя роль лишь в том чтобы упомянуть проблемы, которые анальные рабы микротика в жизни не озвучат. acl не нужен ибо снижает производительность, ssh не нужен ибо глючит, юзайте телнет (ага, в интернете телнетить)

 

пусть автор сам решает что из проблемного нужно или потенциально возможно пригодится в его случае

 

микротик был бы хорош, если ьы не был так плох

 

а вот я сам могу посоветовать следующее, если нужно поднимать динамику чтобы гонять маршруты по своей сети то лучше использовать bgp на этих туненлях, он не быстро сходится, но и любой другой протокол на туннельном интерфейсе лучше себя не покажет, зато bgp даст возможность гибко управлять маршрутами, в частности фильтрация. опять же, если автору это нужно.

 

и еще, если это крупный проект, то в качестве концентратора я бы поставил Cisco/Juniper/"иной приличный вендор security оборудования", если это что-то мелко/среднее то поставил бы PC с любой подходящей системой

Нет, динамика нам не нужна. А вот этот девайс - http://zyxel.ru/zywall-usg-2000?t=3472 - его можно считать, как от иного приличного вендора?

Share this post


Link to post
Share on other sites

умываю руки, никогда вопросами безопасности не занимался и не выбирал оборудование для ее обоспечения, пусть спецы советуют

Share this post


Link to post
Share on other sites

Шифрование в канале сразу требует более производительного оборудования в центре. Просто посчитайте, CCR1036 в центре и роутеры RB750, которые стоят совсем не дорого, либо везде циски поставите. На 200 устройств будет большая разница в цене, микротик обойдется в 300 тыс, а циска в 2 миллиона и более. Разницу лучше в свой карман положить в виде прибыли, или более низкой стоимости инсталляции.

 

Просто все, кто на микротик наезжает, привыкли с цисками и софтроутерами на перешитых длинках работать. А то, что можно все сделать очень просто даже и не догадываются.

 

Нет, динамика нам не нужна. А вот этот девайс - http://zyxel.ru/zywall-usg-2000?t=3472 - его можно считать, как от иного приличного вендора?

 

Видели бы что у него внутри, он и 10 процентов от заявленной цены не стоит=)

 

При этом управление жутко не удобное, что ставить на выносы в комплекте к нему не ясно, однако это будет тоже что-то из области дорогих устройств, что бы гонять 2 мегабита.

 

Микротик к примеру заливается на все роутеры в одном месте, потом они все сами подключаются к центральной железке, администратор заходит, корректирует настройки и готово. При этом не нужны никакие перезагрузки и прочие телодвижения.

Share this post


Link to post
Share on other sites

Разницу лучше в свой карман положить

и бежать из страны пока не пристрелили

Share this post


Link to post
Share on other sites

Разницу лучше в свой карман положить

и бежать из страны пока не пристрелили

 

Нормально все будет работать, если настраивать правильно. Многие ловят глюки именно из-за того, что пытаются произвести настройки по аналогии с другими железками.

Share this post


Link to post
Share on other sites

Просто посчитайте, CCR1036 в центре и роутеры RB750

На 200 устройств будет большая разница в цене

Разницу лучше в свой карман положить

 

просто прошу ТС обратить внимание на ход мысли поциента :-)

 

а по делу - 200 устройств-клиентов, это нехило и про микротик лучше забудьте сразу, cisco, juniper и прочие из той же весовой категории для такого и никак иначе, ну а собственно решение лучше взять и посчитать чье окажется оптимальнее

Share this post


Link to post
Share on other sites

а по делу - 200 устройств-клиентов, это нехило и про микротик лучше забудьте сразу, cisco, juniper и прочие из той же весовой категории для такого и никак иначе, ну а собственно решение лучше взять и посчитать чье окажется оптимальнее

 

200 устройств по L2TP для микротика это семечки, тем более при скоростях 2/2 мбит. Не нужно вводить топикстартера в заблуждение.

Share this post


Link to post
Share on other sites

а по делу - 200 устройств-клиентов, это нехило и про микротик лучше забудьте сразу, cisco, juniper и прочие из той же весовой категории для такого и никак иначе, ну а собственно решение лучше взять и посчитать чье окажется оптимальнее

 

200 устройств по L2TP для микротика это семечки, тем более при скоростях 2/2 мбит. Не нужно вводить топикстартера в заблуждение.

Без шифрования....

А если включить шифрование то микротик схлопнется даже на p2p

Share this post


Link to post
Share on other sites

zywall очень даже неплохи.

Сам не работал, но слышал много положительных отзывов, да и ребята из zyxel знакомые не будут врать.

 

При этом для данной задачи микротик - вполне себе решение, я бы не стал его исключать.

Share this post


Link to post
Share on other sites

а по делу - 200 устройств-клиентов, это нехило и про микротик лучше забудьте сразу, cisco, juniper и прочие из той же весовой категории для такого и никак иначе, ну а собственно решение лучше взять и посчитать чье окажется оптимальнее

 

200 устройств по L2TP для микротика это семечки, тем более при скоростях 2/2 мбит. Не нужно вводить топикстартера в заблуждение.

Без шифрования....

А если включить шифрование то микротик схлопнется даже на p2p

 

Не схлопнется, роутер с 400мгц процессором прогоняет под 15 мбит с шифрованием, естественно в центре на железку будет большая нагрузка, поэтому следует подумать, нужно ли оно вообще.

Share this post


Link to post
Share on other sites

Коллеги, добрый день! Поздравляю всех с наступающим Новым Годом!

Возникла задача предоставлять доступ до некоего оборудования установленного у заказчика от оборудования расположенного внутри нашей сети через шифрованный тунель повех публичной сети (Интернета).

Трафик будет TCP и UDP-поток, максимальная полоса на заказчика - 2 Мбит/сек.

Спасибо за внимание и советы.

 

Приведу свой пример. задача была передать 2 гига трафика по VPN c шифрованием в итоге выбрали ASR 1002-х. Это я к тому что посчитайте сколько будет трафика приходиться на vpn концентратор (2мбх200) совсем не многие устройства такое потянут.

Share this post


Link to post
Share on other sites

zywall очень даже неплохи.

Сам не работал, но слышал много положительных отзывов, да и ребята из zyxel знакомые не будут врать.

 

При этом для данной задачи микротик - вполне себе решение, я бы не стал его исключать.

Я не рассматриваю микротик вообще, например - http://forum.nag.ru/forum/index.php?showtopic=90794 , да нас за малый простой поимеют как и клиенты так и МЧС с Россвязью.

Share this post


Link to post
Share on other sites

Лучше Mikrotik CCR1036 берите, сейчас там софт запилили стабильно работает! zywall очень глучные и эта модель очень слабая она вам не подойдет,

или тазик собирайте, а вообще попробуйте CCR1036

Edited by aytishnikcom

Share this post


Link to post
Share on other sites

Лучше Mikrotik CCR1036 берите, сейчас там софт запилили стабильно работает! zywall очень глучные и эта модель очень слабая она вам не подойдет,

или тазик собирайте, а вообще попробуйте CCR1036

 

Есть еще и более дешевая модель CCR1016, ее тоже хватит для многих задач.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this