VPN-туннель

Обсуждение на тему выбора оборудования
Hes
Сообщения: 9
Зарегистрирован: 10 фев 2012, 09:06

Доброго времени суток!
Стоит задача создания vpn-туннеля между удаленными офисами. Изначально предполагалось поднятия VPN сервера в гл. офисе, но потом от идее ушли. Реализовать необходимо с помощью 2-х "железок". Начал поиски роутеров с поддержкой vpn-туннеля, и вспомнил о Mikrotik, рекомендовал как-то один знакомый, да и на многих форумах писали про сие устройство, что хорошо зарекомендовало себя на рынке. Т.к. до этого не работал с данным устройством, щас занимаюсь чтением мануалов на сайте. Хотел попросить помощи в выборе оборудования, какое порекомендуете приобрести.
Офисы не большие, в гл. офисе на данный момент 20Пк+Сервер (W2k8), а в филиале пока 5ПК. На сервере поднят домен, ад.
По цене ориентировочно до 20тыс.


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

для того, чтобы ответить на Ваш вопрос мне необходимо уточнить следующее

Ширина интернет каналов в офисах, объем трафика в день

наличие дополнительных пожеланий

(например реализовать некоторым сотрудникам доступ к домену через ВПН из дома, держать хостинг сервер и т.д.)

Нужны ли гигабитные интерфейсы в роутерах?


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Hes
Сообщения: 9
Зарегистрирован: 10 фев 2012, 09:06

В главном офисе на данный момент 2048 кБит/с вх./ 1024 кБит/с. исх. В филиале скорей всего будет также. Получается ширина будет 1024 кБит/с.
Объем трафика, точную цифру не скажу, в гл. офисе только почта потребляет трафик, трафик не сильно большой. Удаленные сотрудники будут работать в 1с по терминалу + еще печать документов - пока 5 ПК, думаю будет около 500Мб трафика в сутки при работе в 1с. В целом вроде все.
Гигабитные интерфейсы не требуются, ну доступ к домену из дома, скорей всего не потребуется, ну на крайний случай напрямую по внешнему ip терминал.)


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

При ваших каналах, можно использовать роутеры *домашнего* уровня

например вот http://mikrotik.ru/katalog/katalog/mars ... rboard-750 1700р за штуку

Но если брать *на вырост*
то
http://mikrotik.ru/katalog/katalog/besp ... board-450g = 3 850
+корпус http://mikrotik.ru/katalog/katalog/korpusy/ca150 =700
+ блок питания http://mikrotik.ru/katalog/katalog/kabe ... emy/18-pow = 300

итого 4850р за штуку

Плюсы второго решения - более мощный процессор и запас по производительности

Все зависит от Вашего бюджета.

-----
Еще момент - для комфортной работы по RDP нужен канал в 1 мегабит для 1 пользователя

Провайдер и там и там один и тот же? пирринг между офисами есть?


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Hes
Сообщения: 9
Зарегистрирован: 10 фев 2012, 09:06

Доброго времени суток!
У офисов разные провайдеры, расположены в разных городах.
В гл. офисе интернет получают по тех. WiMAX, антенна-инжектор-роутер. На роутере статиком прописан внешний IP.
В филиале на сколько я понял по телефонному разговору, приходит витая пара в Voip шлюз, и на нем поднимается PPPoE.
Пиринга между провайдерами нет.
Хотел еще поинтересоваться, на сайте можно скачать ос микротик, и протестировать ее. Есть ли какие то ограничения?
Пока присматриваюсь к 450G, сегодня поеду на совещание, где будет решаться сколько бюджета выделят.


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

в случае разных провайдеров в головном офисе (или в удаленном, но логичнее - в головном) понадобится еще реальный постоянный IP адрес

чтобы удаленному офису было куда подключатся


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Hes
Сообщения: 9
Зарегистрирован: 10 фев 2012, 09:06

Ну в главном офисе на данный момент все оформленно, внешний ip будет прописан на самой железке. Вот не знаю как быть с филиалом, там мне щас сказали, стоит свитч, на котором настроены порты, 1 для интернета, 2 для телефонии (пока жду информации от местного админа, от юзеров толком не чего понять не могу). Если микротик за ним поставить, как будет работать туннель и будет ли вообще работать, желательно наверно на самом mikrotik поднимать pppoe. Щас пока тестирую на виртуальных машинах, в консоли очень интересно сделан интерфейс работы с командами. Привык на линуксе все через --help/man.)


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

хелп по коммандам выводеится так

interface ?

и видим список комманд


Достаточно одного реальника, чтоб создать тоннель, второй может находится хоть за НАТом хоть за чем угодно, лишь бы были не закрыты порты для PPTP и GRE


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Hes
Сообщения: 9
Зарегистрирован: 10 фев 2012, 09:06

Ну с командами разобрался, все просто вроде. Сегодня на старый системник хочу накатить ОС микротик и с поднять туннель. Ну 2 виртуалках я так понял бесполезно.)


Hes
Сообщения: 9
Зарегистрирован: 10 фев 2012, 09:06

Что то не получается разобраться с маршрутизацией. Точнее с NAT. На данный момент, схема подключения:
Дом: Mikrotik (PCx86) (внутр. IP 192.168.1.1) - подключен к интернету через VPN (pptp), через NAT данное подключение маскарад. во внутр. сеть 192.168.1.0/24. Поднял VPN сервер (pptp) - лок. IP 192.168.1.1, remote ip 192.168.1.100.
На работе: mikrotik (внутр. IP 192.168.0.10) установлен на виртуальной машине, внутр. сеть 192.168.0.0/24. Подключаюсь к дом. впн серверу, канал работает.
Прописал маршрут
Дом:

Код: Выделить всё

/ip route add dst-address=192.168.0.0/24 gateway=filial
(туннель который создается при подключение)
Работа:

Код: Выделить всё

/ip route add dst-address=192.168.1.0/24 gateway=filial.

После этого, начинают пинговаться внутр. IP адреса Mikrotik. А вот машины за ними не хотят.
Трассировка показывает что пакет доходит до 192.168.1.1 или 192.168.1.100 - а дальше пакет не знает куда идти. Т.е. ковыряем
Начал настраивать NAT:
Дом:

Код: Выделить всё

/ip firewall nat add chain=dstnat in-interface=filial action=netmap to-adresses=192.168.0.0/24
(на работе 192.168.1.0/24)
Трассировка уже начинает идти на прямую к внутр. IP, но через раз. Есть то нет.


Ответить