smart85 Опубликовано 24 декабря, 2013 (изменено) · Жалоба Коллеги, добрый день! Поздравляю всех с наступающим Новым Годом! Возникла задача предоставлять доступ до некоего оборудования установленного у заказчика от оборудования расположенного внутри нашей сети через шифрованный тунель повех публичной сети (Интернета). Трафик будет TCP и UDP-поток, максимальная полоса на заказчика - 2 Мбит/сек. Прошу подсказать, какое оборудование лучше использовать с нашей стороны - VPN concentrator (куда будут коннектиться девайсы заказчиков, не более 200 устройств, не более 400Мбит/сек. Возможность авторизации по логин/паролю, фильтринг по source IP клиента (это если у кого-то пров выдает статику), и собственно, какое использовать абонентское устройство, требования - 4 LAN порта, 1 WAN и умение поднять туннель до концентратора. Думаю кто-то реализовывал схожую задачу, пожалуйста, поделитесь опытом. Примерную схемку этого безобразия прилагаю. Спасибо за внимание и советы. Изменено 24 декабря, 2013 пользователем mse.rus77 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 24 декабря, 2013 · Жалоба В центр Mikrotik CCR1036, для удаленных устройств RB750. Каждый создает L2TP туннель в центр и по OSPF гоняет маршруты. Фильтры никакие не нужны на вход, т.к. они только будут нагружать оборудование. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
smart85 Опубликовано 24 декабря, 2013 · Жалоба В центр Mikrotik CCR1036, для удаленных устройств RB750. Каждый создает L2TP туннель в центр и по OSPF гоняет маршруты. Фильтры никакие не нужны на вход, т.к. они только будут нагружать оборудование. Я так и думал, что Вы ответите одним из первых) По существу вопрос: OSPF не нужен, клиенты не должны видеть друг друга, и каждый клиент должен видеть только определенную подсеть с нашей стороны, это настраивается в предложенном решении? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 24 декабря, 2013 · Жалоба Все настраивается. Только OSPF будет проще=) Он вам сделает все маршруты, а на каждом выносном устройстве создадите фильтр, что если адрес = подсети абонента, адрес назначения =! разрешенной подсети со стороны провайдера, действие = дроп. Можете конечно все эти правила и на центральной железке сделать для наглядности. Но не забывайте про MTU. Если ничего не делать, то пакеты более 1460 байт через канал не пройдут без фрагментации, то есть запустят пинг пакетами 1500 байт с запрещенной фрагментацией и увидят ошибку. Если это критично то нужно в туннелях поставить MRRU=1500, при этом пинги размером 1500 станут проходить без фрагментации (взгляд со стороны ОС, а не реальной ситуации в канале), однако вышестоящий оператор, через сеть которого вы получаете интернет, не должен чудить с очередностью пакетов, а то дропы появятся. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zi_rus Опубликовано 24 декабря, 2013 · Жалоба ахахаха это ущербный OSPF который не умеет работать с area, и это называется проще. ну да гемороя поиметь так намного проще Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
smart85 Опубликовано 24 декабря, 2013 · Жалоба ахахаха это ущербный OSPF который не умеет работать с area, и это называется проще. ну да гемороя поиметь так намного проще А можно пожалуйста конкретнее? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zi_rus Опубликовано 24 декабря, 2013 · Жалоба А можно пожалуйста конкретнее? деталей не знаю, но сам сааб неоднократно заявлял (когда народ жаловался на проблемы с оспф в микротике), что у людей руки не из плеч растут и неправильно настраивают микротик, и если не использовать area и загонять все рутеры в А0, то проблем нет. так что вот, продолжайте слушать его ценные советы Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
smart85 Опубликовано 24 декабря, 2013 · Жалоба А можно пожалуйста конкретнее? деталей не знаю, но сам сааб неоднократно заявлял (когда народ жаловался на проблемы с оспф в микротике), что у людей руки не из плеч растут и неправильно настраивают микротик, и если не использовать area и загонять все рутеры в А0, то проблем нет. так что вот, продолжайте слушать его ценные советы Все советы ценные, для того и советуюсь, не хочется наступить на грабли. Если откинуть Ваш, как я понимаю негатив к микротику и Саабу, по теме что-то посоветовать можете? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 24 декабря, 2013 · Жалоба А можно пожалуйста конкретнее? деталей не знаю, но сам сааб неоднократно заявлял (когда народ жаловался на проблемы с оспф в микротике), что у людей руки не из плеч растут и неправильно настраивают микротик, и если не использовать area и загонять все рутеры в А0, то проблем нет. так что вот, продолжайте слушать его ценные советы Я про другое писал, что замыкать кольца OSPF на микротике и редистрибьютить маршруты через разные area нельзя. Если нужно обмениваться маршрутами между несколькими area, нужно делать это через отдельный маршрутизатор или отдельную транспортную сеть для OSPF, в которой все транзитные роутеры должны быть в одной area. При этом если сеть большая, то отдельная транспортная сеть сама собой подразумевается, и если кто-то хотел сэкономить на оборудовании и не вышло, не нужно винить микротик в этом=) К схеме топикстартера данная несуразица отношения не имеет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 25 декабря, 2013 · Жалоба ахахаха это ущербный OSPF который не умеет работать с area, и это называется проще. ну да гемороя поиметь так намного проще Не умеет работать с чем? Называется "слышу звон не знаю где он". Умеет он работать с area. C оспф там другие проблемы которые к описанной ТС конфигурации отношения не имеют. Я про другое писал, что замыкать кольца OSPF на микротике и редистрибьютить маршруты через разные area нельзя. Если нужно обмениваться маршрутами между несколькими area, нужно делать это через отдельный маршрутизатор или отдельную транспортную сеть для OSPF Ой не надо лукавить. Эту проблему описал я, а не ты. Да и совет "использовать отдельную транспортную сеть" вообще никакого отношения к реальности не имеет. не нужно винить микротик в этом Fail. Спустя 2.5 года микротик таки починили редистрибуцию. Теперь оно работает почти как у нормальных производителей. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zi_rus Опубликовано 25 декабря, 2013 · Жалоба Называется "слышу звон не знаю где он". да и слава богу что не пришлось это хавать. кстати, к вопросу о безопасных туннелях через публичную сеть, уже обсуждались и проблемы с ipsec моя роль лишь в том чтобы упомянуть проблемы, которые анальные рабы микротика в жизни не озвучат. acl не нужен ибо снижает производительность, ssh не нужен ибо глючит, юзайте телнет (ага, в интернете телнетить) пусть автор сам решает что из проблемного нужно или потенциально возможно пригодится в его случае микротик был бы хорош, если ьы не был так плох а вот я сам могу посоветовать следующее, если нужно поднимать динамику чтобы гонять маршруты по своей сети то лучше использовать bgp на этих туненлях, он не быстро сходится, но и любой другой протокол на туннельном интерфейсе лучше себя не покажет, зато bgp даст возможность гибко управлять маршрутами, в частности фильтрация. опять же, если автору это нужно. и еще, если это крупный проект, то в качестве концентратора я бы поставил Cisco/Juniper/"иной приличный вендор security оборудования", если это что-то мелко/среднее то поставил бы PC с любой подходящей системой Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
smart85 Опубликовано 25 декабря, 2013 · Жалоба Называется "слышу звон не знаю где он". да и слава богу что не пришлось это хавать. кстати, к вопросу о безопасных туннелях через публичную сеть, уже обсуждались и проблемы с ipsec моя роль лишь в том чтобы упомянуть проблемы, которые анальные рабы микротика в жизни не озвучат. acl не нужен ибо снижает производительность, ssh не нужен ибо глючит, юзайте телнет (ага, в интернете телнетить) пусть автор сам решает что из проблемного нужно или потенциально возможно пригодится в его случае микротик был бы хорош, если ьы не был так плох а вот я сам могу посоветовать следующее, если нужно поднимать динамику чтобы гонять маршруты по своей сети то лучше использовать bgp на этих туненлях, он не быстро сходится, но и любой другой протокол на туннельном интерфейсе лучше себя не покажет, зато bgp даст возможность гибко управлять маршрутами, в частности фильтрация. опять же, если автору это нужно. и еще, если это крупный проект, то в качестве концентратора я бы поставил Cisco/Juniper/"иной приличный вендор security оборудования", если это что-то мелко/среднее то поставил бы PC с любой подходящей системой Нет, динамика нам не нужна. А вот этот девайс - http://zyxel.ru/zywall-usg-2000?t=3472 - его можно считать, как от иного приличного вендора? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zi_rus Опубликовано 25 декабря, 2013 · Жалоба умываю руки, никогда вопросами безопасности не занимался и не выбирал оборудование для ее обоспечения, пусть спецы советуют Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 25 декабря, 2013 · Жалоба Шифрование в канале сразу требует более производительного оборудования в центре. Просто посчитайте, CCR1036 в центре и роутеры RB750, которые стоят совсем не дорого, либо везде циски поставите. На 200 устройств будет большая разница в цене, микротик обойдется в 300 тыс, а циска в 2 миллиона и более. Разницу лучше в свой карман положить в виде прибыли, или более низкой стоимости инсталляции. Просто все, кто на микротик наезжает, привыкли с цисками и софтроутерами на перешитых длинках работать. А то, что можно все сделать очень просто даже и не догадываются. Нет, динамика нам не нужна. А вот этот девайс - http://zyxel.ru/zywall-usg-2000?t=3472 - его можно считать, как от иного приличного вендора? Видели бы что у него внутри, он и 10 процентов от заявленной цены не стоит=) При этом управление жутко не удобное, что ставить на выносы в комплекте к нему не ясно, однако это будет тоже что-то из области дорогих устройств, что бы гонять 2 мегабита. Микротик к примеру заливается на все роутеры в одном месте, потом они все сами подключаются к центральной железке, администратор заходит, корректирует настройки и готово. При этом не нужны никакие перезагрузки и прочие телодвижения. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 25 декабря, 2013 · Жалоба Разницу лучше в свой карман положить и бежать из страны пока не пристрелили Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 25 декабря, 2013 · Жалоба Разницу лучше в свой карман положить и бежать из страны пока не пристрелили Нормально все будет работать, если настраивать правильно. Многие ловят глюки именно из-за того, что пытаются произвести настройки по аналогии с другими железками. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
White_Alex Опубликовано 25 декабря, 2013 · Жалоба Просто посчитайте, CCR1036 в центре и роутеры RB750 На 200 устройств будет большая разница в цене Разницу лучше в свой карман положить просто прошу ТС обратить внимание на ход мысли поциента :-) а по делу - 200 устройств-клиентов, это нехило и про микротик лучше забудьте сразу, cisco, juniper и прочие из той же весовой категории для такого и никак иначе, ну а собственно решение лучше взять и посчитать чье окажется оптимальнее Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 25 декабря, 2013 · Жалоба а по делу - 200 устройств-клиентов, это нехило и про микротик лучше забудьте сразу, cisco, juniper и прочие из той же весовой категории для такого и никак иначе, ну а собственно решение лучше взять и посчитать чье окажется оптимальнее 200 устройств по L2TP для микротика это семечки, тем более при скоростях 2/2 мбит. Не нужно вводить топикстартера в заблуждение. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pawel40 Опубликовано 25 декабря, 2013 · Жалоба а по делу - 200 устройств-клиентов, это нехило и про микротик лучше забудьте сразу, cisco, juniper и прочие из той же весовой категории для такого и никак иначе, ну а собственно решение лучше взять и посчитать чье окажется оптимальнее 200 устройств по L2TP для микротика это семечки, тем более при скоростях 2/2 мбит. Не нужно вводить топикстартера в заблуждение. Без шифрования.... А если включить шифрование то микротик схлопнется даже на p2p Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Negator Опубликовано 25 декабря, 2013 · Жалоба zywall очень даже неплохи. Сам не работал, но слышал много положительных отзывов, да и ребята из zyxel знакомые не будут врать. При этом для данной задачи микротик - вполне себе решение, я бы не стал его исключать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 25 декабря, 2013 · Жалоба а по делу - 200 устройств-клиентов, это нехило и про микротик лучше забудьте сразу, cisco, juniper и прочие из той же весовой категории для такого и никак иначе, ну а собственно решение лучше взять и посчитать чье окажется оптимальнее 200 устройств по L2TP для микротика это семечки, тем более при скоростях 2/2 мбит. Не нужно вводить топикстартера в заблуждение. Без шифрования.... А если включить шифрование то микротик схлопнется даже на p2p Не схлопнется, роутер с 400мгц процессором прогоняет под 15 мбит с шифрованием, естественно в центре на железку будет большая нагрузка, поэтому следует подумать, нужно ли оно вообще. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sui245 Опубликовано 26 декабря, 2013 · Жалоба Коллеги, добрый день! Поздравляю всех с наступающим Новым Годом! Возникла задача предоставлять доступ до некоего оборудования установленного у заказчика от оборудования расположенного внутри нашей сети через шифрованный тунель повех публичной сети (Интернета). Трафик будет TCP и UDP-поток, максимальная полоса на заказчика - 2 Мбит/сек. Спасибо за внимание и советы. Приведу свой пример. задача была передать 2 гига трафика по VPN c шифрованием в итоге выбрали ASR 1002-х. Это я к тому что посчитайте сколько будет трафика приходиться на vpn концентратор (2мбх200) совсем не многие устройства такое потянут. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
smart85 Опубликовано 26 декабря, 2013 · Жалоба zywall очень даже неплохи. Сам не работал, но слышал много положительных отзывов, да и ребята из zyxel знакомые не будут врать. При этом для данной задачи микротик - вполне себе решение, я бы не стал его исключать. Я не рассматриваю микротик вообще, например - http://forum.nag.ru/forum/index.php?showtopic=90794 , да нас за малый простой поимеют как и клиенты так и МЧС с Россвязью. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
aytishnikcom Опубликовано 16 января, 2014 (изменено) · Жалоба Лучше Mikrotik CCR1036 берите, сейчас там софт запилили стабильно работает! zywall очень глучные и эта модель очень слабая она вам не подойдет, или тазик собирайте, а вообще попробуйте CCR1036 Изменено 16 января, 2014 пользователем aytishnikcom Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 16 января, 2014 · Жалоба Лучше Mikrotik CCR1036 берите, сейчас там софт запилили стабильно работает! zywall очень глучные и эта модель очень слабая она вам не подойдет, или тазик собирайте, а вообще попробуйте CCR1036 Есть еще и более дешевая модель CCR1016, ее тоже хватит для многих задач. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...