Перейти к содержимому
Калькуляторы

Прошу совета по выбору оборудования для организации IP тунелей p2p поверх публичной сети

Коллеги, добрый день! Поздравляю всех с наступающим Новым Годом!

Возникла задача предоставлять доступ до некоего оборудования установленного у заказчика от оборудования расположенного внутри нашей сети через шифрованный тунель повех публичной сети (Интернета).

Трафик будет TCP и UDP-поток, максимальная полоса на заказчика - 2 Мбит/сек.

Прошу подсказать, какое оборудование лучше использовать с нашей стороны - VPN concentrator (куда будут коннектиться девайсы заказчиков, не более 200 устройств, не более 400Мбит/сек. Возможность авторизации по логин/паролю, фильтринг по source IP клиента (это если у кого-то пров выдает статику), и собственно, какое использовать абонентское устройство, требования - 4 LAN порта, 1 WAN и умение поднять туннель до концентратора. Думаю кто-то реализовывал схожую задачу, пожалуйста, поделитесь опытом.

 

Примерную схемку этого безобразия прилагаю.

 

Спасибо за внимание и советы.

post-65717-097362600 1387901690_thumb.jpg

Изменено пользователем mse.rus77

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В центр Mikrotik CCR1036, для удаленных устройств RB750. Каждый создает L2TP туннель в центр и по OSPF гоняет маршруты. Фильтры никакие не нужны на вход, т.к. они только будут нагружать оборудование.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В центр Mikrotik CCR1036, для удаленных устройств RB750. Каждый создает L2TP туннель в центр и по OSPF гоняет маршруты. Фильтры никакие не нужны на вход, т.к. они только будут нагружать оборудование.

Я так и думал, что Вы ответите одним из первых) По существу вопрос: OSPF не нужен, клиенты не должны видеть друг друга, и каждый клиент должен видеть только определенную подсеть с нашей стороны, это настраивается в предложенном решении?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Все настраивается. Только OSPF будет проще=) Он вам сделает все маршруты, а на каждом выносном устройстве создадите фильтр, что если адрес = подсети абонента, адрес назначения =! разрешенной подсети со стороны провайдера, действие = дроп. Можете конечно все эти правила и на центральной железке сделать для наглядности.

 

Но не забывайте про MTU. Если ничего не делать, то пакеты более 1460 байт через канал не пройдут без фрагментации, то есть запустят пинг пакетами 1500 байт с запрещенной фрагментацией и увидят ошибку. Если это критично то нужно в туннелях поставить MRRU=1500, при этом пинги размером 1500 станут проходить без фрагментации (взгляд со стороны ОС, а не реальной ситуации в канале), однако вышестоящий оператор, через сеть которого вы получаете интернет, не должен чудить с очередностью пакетов, а то дропы появятся.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ахахаха

это ущербный OSPF который не умеет работать с area, и это называется проще. ну да гемороя поиметь так намного проще

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ахахаха

это ущербный OSPF который не умеет работать с area, и это называется проще. ну да гемороя поиметь так намного проще

А можно пожалуйста конкретнее?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

А можно пожалуйста конкретнее?

деталей не знаю, но сам сааб неоднократно заявлял (когда народ жаловался на проблемы с оспф в микротике), что у людей руки не из плеч растут и неправильно настраивают микротик, и если не использовать area и загонять все рутеры в А0, то проблем нет. так что вот, продолжайте слушать его ценные советы

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

А можно пожалуйста конкретнее?

деталей не знаю, но сам сааб неоднократно заявлял (когда народ жаловался на проблемы с оспф в микротике), что у людей руки не из плеч растут и неправильно настраивают микротик, и если не использовать area и загонять все рутеры в А0, то проблем нет. так что вот, продолжайте слушать его ценные советы

Все советы ценные, для того и советуюсь, не хочется наступить на грабли. Если откинуть Ваш, как я понимаю негатив к микротику и Саабу, по теме что-то посоветовать можете?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А можно пожалуйста конкретнее?

деталей не знаю, но сам сааб неоднократно заявлял (когда народ жаловался на проблемы с оспф в микротике), что у людей руки не из плеч растут и неправильно настраивают микротик, и если не использовать area и загонять все рутеры в А0, то проблем нет. так что вот, продолжайте слушать его ценные советы

 

Я про другое писал, что замыкать кольца OSPF на микротике и редистрибьютить маршруты через разные area нельзя. Если нужно обмениваться маршрутами между несколькими area, нужно делать это через отдельный маршрутизатор или отдельную транспортную сеть для OSPF, в которой все транзитные роутеры должны быть в одной area. При этом если сеть большая, то отдельная транспортная сеть сама собой подразумевается, и если кто-то хотел сэкономить на оборудовании и не вышло, не нужно винить микротик в этом=)

 

К схеме топикстартера данная несуразица отношения не имеет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ахахаха

это ущербный OSPF который не умеет работать с area, и это называется проще. ну да гемороя поиметь так намного проще

 

 

Не умеет работать с чем?

 

Называется "слышу звон не знаю где он".

 

Умеет он работать с area. C оспф там другие проблемы которые к описанной ТС конфигурации отношения не имеют.

 

Я про другое писал, что замыкать кольца OSPF на микротике и редистрибьютить маршруты через разные area нельзя. Если нужно обмениваться маршрутами между несколькими area, нужно делать это через отдельный маршрутизатор или отдельную транспортную сеть для OSPF

 

Ой не надо лукавить. Эту проблему описал я, а не ты. Да и совет "использовать отдельную транспортную сеть" вообще никакого отношения к реальности не имеет.

 

не нужно винить микротик в этом

 

Fail. Спустя 2.5 года микротик таки починили редистрибуцию. Теперь оно работает почти как у нормальных производителей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Называется "слышу звон не знаю где он".

да и слава богу что не пришлось это хавать. кстати, к вопросу о безопасных туннелях через публичную сеть, уже обсуждались и проблемы с ipsec

моя роль лишь в том чтобы упомянуть проблемы, которые анальные рабы микротика в жизни не озвучат. acl не нужен ибо снижает производительность, ssh не нужен ибо глючит, юзайте телнет (ага, в интернете телнетить)

 

пусть автор сам решает что из проблемного нужно или потенциально возможно пригодится в его случае

 

микротик был бы хорош, если ьы не был так плох

 

а вот я сам могу посоветовать следующее, если нужно поднимать динамику чтобы гонять маршруты по своей сети то лучше использовать bgp на этих туненлях, он не быстро сходится, но и любой другой протокол на туннельном интерфейсе лучше себя не покажет, зато bgp даст возможность гибко управлять маршрутами, в частности фильтрация. опять же, если автору это нужно.

 

и еще, если это крупный проект, то в качестве концентратора я бы поставил Cisco/Juniper/"иной приличный вендор security оборудования", если это что-то мелко/среднее то поставил бы PC с любой подходящей системой

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Называется "слышу звон не знаю где он".

да и слава богу что не пришлось это хавать. кстати, к вопросу о безопасных туннелях через публичную сеть, уже обсуждались и проблемы с ipsec

моя роль лишь в том чтобы упомянуть проблемы, которые анальные рабы микротика в жизни не озвучат. acl не нужен ибо снижает производительность, ssh не нужен ибо глючит, юзайте телнет (ага, в интернете телнетить)

 

пусть автор сам решает что из проблемного нужно или потенциально возможно пригодится в его случае

 

микротик был бы хорош, если ьы не был так плох

 

а вот я сам могу посоветовать следующее, если нужно поднимать динамику чтобы гонять маршруты по своей сети то лучше использовать bgp на этих туненлях, он не быстро сходится, но и любой другой протокол на туннельном интерфейсе лучше себя не покажет, зато bgp даст возможность гибко управлять маршрутами, в частности фильтрация. опять же, если автору это нужно.

 

и еще, если это крупный проект, то в качестве концентратора я бы поставил Cisco/Juniper/"иной приличный вендор security оборудования", если это что-то мелко/среднее то поставил бы PC с любой подходящей системой

Нет, динамика нам не нужна. А вот этот девайс - http://zyxel.ru/zywall-usg-2000?t=3472 - его можно считать, как от иного приличного вендора?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

умываю руки, никогда вопросами безопасности не занимался и не выбирал оборудование для ее обоспечения, пусть спецы советуют

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Шифрование в канале сразу требует более производительного оборудования в центре. Просто посчитайте, CCR1036 в центре и роутеры RB750, которые стоят совсем не дорого, либо везде циски поставите. На 200 устройств будет большая разница в цене, микротик обойдется в 300 тыс, а циска в 2 миллиона и более. Разницу лучше в свой карман положить в виде прибыли, или более низкой стоимости инсталляции.

 

Просто все, кто на микротик наезжает, привыкли с цисками и софтроутерами на перешитых длинках работать. А то, что можно все сделать очень просто даже и не догадываются.

 

Нет, динамика нам не нужна. А вот этот девайс - http://zyxel.ru/zywall-usg-2000?t=3472 - его можно считать, как от иного приличного вендора?

 

Видели бы что у него внутри, он и 10 процентов от заявленной цены не стоит=)

 

При этом управление жутко не удобное, что ставить на выносы в комплекте к нему не ясно, однако это будет тоже что-то из области дорогих устройств, что бы гонять 2 мегабита.

 

Микротик к примеру заливается на все роутеры в одном месте, потом они все сами подключаются к центральной железке, администратор заходит, корректирует настройки и готово. При этом не нужны никакие перезагрузки и прочие телодвижения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Разницу лучше в свой карман положить

и бежать из страны пока не пристрелили

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Разницу лучше в свой карман положить

и бежать из страны пока не пристрелили

 

Нормально все будет работать, если настраивать правильно. Многие ловят глюки именно из-за того, что пытаются произвести настройки по аналогии с другими железками.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Просто посчитайте, CCR1036 в центре и роутеры RB750

На 200 устройств будет большая разница в цене

Разницу лучше в свой карман положить

 

просто прошу ТС обратить внимание на ход мысли поциента :-)

 

а по делу - 200 устройств-клиентов, это нехило и про микротик лучше забудьте сразу, cisco, juniper и прочие из той же весовой категории для такого и никак иначе, ну а собственно решение лучше взять и посчитать чье окажется оптимальнее

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а по делу - 200 устройств-клиентов, это нехило и про микротик лучше забудьте сразу, cisco, juniper и прочие из той же весовой категории для такого и никак иначе, ну а собственно решение лучше взять и посчитать чье окажется оптимальнее

 

200 устройств по L2TP для микротика это семечки, тем более при скоростях 2/2 мбит. Не нужно вводить топикстартера в заблуждение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а по делу - 200 устройств-клиентов, это нехило и про микротик лучше забудьте сразу, cisco, juniper и прочие из той же весовой категории для такого и никак иначе, ну а собственно решение лучше взять и посчитать чье окажется оптимальнее

 

200 устройств по L2TP для микротика это семечки, тем более при скоростях 2/2 мбит. Не нужно вводить топикстартера в заблуждение.

Без шифрования....

А если включить шифрование то микротик схлопнется даже на p2p

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

zywall очень даже неплохи.

Сам не работал, но слышал много положительных отзывов, да и ребята из zyxel знакомые не будут врать.

 

При этом для данной задачи микротик - вполне себе решение, я бы не стал его исключать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а по делу - 200 устройств-клиентов, это нехило и про микротик лучше забудьте сразу, cisco, juniper и прочие из той же весовой категории для такого и никак иначе, ну а собственно решение лучше взять и посчитать чье окажется оптимальнее

 

200 устройств по L2TP для микротика это семечки, тем более при скоростях 2/2 мбит. Не нужно вводить топикстартера в заблуждение.

Без шифрования....

А если включить шифрование то микротик схлопнется даже на p2p

 

Не схлопнется, роутер с 400мгц процессором прогоняет под 15 мбит с шифрованием, естественно в центре на железку будет большая нагрузка, поэтому следует подумать, нужно ли оно вообще.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Коллеги, добрый день! Поздравляю всех с наступающим Новым Годом!

Возникла задача предоставлять доступ до некоего оборудования установленного у заказчика от оборудования расположенного внутри нашей сети через шифрованный тунель повех публичной сети (Интернета).

Трафик будет TCP и UDP-поток, максимальная полоса на заказчика - 2 Мбит/сек.

Спасибо за внимание и советы.

 

Приведу свой пример. задача была передать 2 гига трафика по VPN c шифрованием в итоге выбрали ASR 1002-х. Это я к тому что посчитайте сколько будет трафика приходиться на vpn концентратор (2мбх200) совсем не многие устройства такое потянут.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

zywall очень даже неплохи.

Сам не работал, но слышал много положительных отзывов, да и ребята из zyxel знакомые не будут врать.

 

При этом для данной задачи микротик - вполне себе решение, я бы не стал его исключать.

Я не рассматриваю микротик вообще, например - http://forum.nag.ru/forum/index.php?showtopic=90794 , да нас за малый простой поимеют как и клиенты так и МЧС с Россвязью.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Лучше Mikrotik CCR1036 берите, сейчас там софт запилили стабильно работает! zywall очень глучные и эта модель очень слабая она вам не подойдет,

или тазик собирайте, а вообще попробуйте CCR1036

Изменено пользователем aytishnikcom

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Лучше Mikrotik CCR1036 берите, сейчас там софт запилили стабильно работает! zywall очень глучные и эта модель очень слабая она вам не подойдет,

или тазик собирайте, а вообще попробуйте CCR1036

 

Есть еще и более дешевая модель CCR1016, ее тоже хватит для многих задач.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.