VPN объединение|интеграция филиалов.

[Buktop]

Здравствуйте. К сожалению не могу самостоятельно решить вопрос по VPN, нуждаюсь в консультации.

Вводные:
Центральный офис. 1 штука. Интернет - оптика. Сервера винды + шлюз на FreeBSD.

Филиалы. Около 20 штук. От 1-го до 4 копьютеров. Интернет, от ADSL до прямого Ethernet. Серверов нет. Обычно воткнуты через модем/маршрутизатор с NAT

Задача - соединить все это в одну сеть по VPN.

Что поставить на BSD и всем компам установить VPN клиент я знаю. Но хочется немного другого. Нет желания устанавливать клиентские VPNы от каждого компа. Хочется найти железку которая просто филиальную сеть в  2-3-4 компа целиком заруливает в нашу сеть и на наши сервера. С выдачей им ip, wins, авторизацией в домене и тд. На постоянном уровне. Интернет там далеко не всем филиалам нужен, да и если нужен - нас устроит если мы его по сути прогоним дважды(в виде трафика до центрального офиса + сам трафик уже от центрального офиса + назад). Просто чотбы по сути эти компы были как бы де факто в нашей сети. А их провайдеры (адсл) по сути был только транспортом от железки до нашего сервера. И как бы чтобы падение VPN приравнивалось к падению интернета ибо нах не надо там внешние комуникации. Может немного сумбурно объясняю, но где то так

На нашей стороне хотелось бы оставить soft решение (BSD).

Такое железо вообще существует?(на стороне филиалов) А то как ни посмотрю - везде VPN сервер, чтобы к нему подключать удаленщиков. А как бы получить в маршрутизаторе "VPN клиент" уровня всего трафика от маршрутизатора до центрального офиса. Желательно конечно не циски за 1000+. В пределах 200-250 долл.

[ZAlex]

Возможно что либо из этого
http://zyxel.ru/content/catalogue/7/

На BSD VPN чем реализован?

[Buktop]

Ничем пока. Все в процессе настройки. Сейчас вообще керио VPN и клиенты.

Пока не думал чем реализовывать. либо на BSD что нить типа mpd, либо вообще прошвырнуть VPN внутрь и авторизовыть его на винде.

[krasnov]

Подойдёт любой девайс, умеющий site-to-site VPN, выбираем по производительности и интерфейсам (как пример Dlink - DI-804HV).
По поводу хождения в интернет через центральный офис - если не пугают накладные расходы в 10-50%, то почему бы и нет.

[Buktop]

А вы не могли бы какие нибудь железки еще посоветовать? Не сильно люблю Dlink. Например LinkSys имеет какие нить аналоги? И подобного рода оборудование linksys/allied/3com и тд.

И какой тогда софт ставить лучше на BSD/Win (сразу скажу, софт лицензионный и ISA ставить не будем Ибо нету на него бюджета)

[krasnov]

Вы желаете железо, их есть ...
3Com - 3Com OfficeConnect Secure Router (LAN 4*10/100 TP, WAN 1*10/100 TP, 253 Users Supported,) 3CR860-95-ME
Linksys - EtherFast Cable/DSL VPN Router w/ 4-Port 10/100 Switch EtherFast Cable/DSL VPN Router w/ 4-Port 10/100 Switch
PS: все эти модели носят рекомендательный характер
PPS: "о любви к D-Link" - все выше перечисленные устройства относятся к одному сегменту рынка - Web-manag. SOHO VPN router's - как следствие все они работают, но изысков и специфических customs реализаций not support.

[and3008]

http://openvpn.net

Поставишь, настроишь.

Умеет делать как маршрутизируемые туннели, так и туннелируемые мосты (бридж).

Ничего дешевле, проще, удобней пока не знаю.

[Buktop]

Не подскажете еще. Как этот site to site VPN в терминологии характеристик зовется. Не могу понять про устройства, поддерживает или нет. Тот же линксис. Захожу на их сайт - ижу модели - и не пойму то ли умеет то ли нет.

[krasnov]

У Linksys это называется Gateway to Gateway.

[Buktop]

Впрочем с линксисом мне мудрые люди подсказали уже. Точнее просто дали список моделей

RV042
RV082
RVL-200
WRV54G

а что у allientelesyn, 3com, zyxel ?

[Buktop]

Вопрос разросся

Что то я посмотрел, какая у меня суммарка получается на задачи на один BSD сервер, и малость мне дурно стало. Gateway, FireWall, Mail, Internal Web, Voice(SIP). Да еще к этому рулить 15-20 site-to-site туннелями. Да еще криптовать их на ходу. Имхо перебор.

Появилось глупое желание Именно на туннели поставить отдельное что-то, и желательно железку На клиентских сторонах хочу оставить LinkSys RV042/RV082 (понравились они мне). Задача та же. Построить 20 бриджей с филиалов на центральный офис. Чтобы ВЕСЬ трафик свернуть в тунель. А-ля просто общая сеть. Но в Центральном Офисе соотв-нно хочется поставить какое нить железочко, чтобы оно эти филиалы от RV042 Gateway-to-Gateway принимало и в общую сеть запихивало. Суммарно я думаю на все 15-20 филиалов выйдем 2.5-3 Мбит/Сек (в пике естественно, обычно меньше намного). не подскажете, какой тип железа в данном варианте использовать? Бюджет желательно в районе меньше тысячи, а в районе 300-500 вообще прекрасно будет. Но если невозможно - то подскажите в какую сторону смотреть. Производители препочтительно Cisco(они вообще за такие деньги бывают?) --> LinkSys --> Allied --> 3Com --> Zyxel etc...

ps. И еще. Я купил пару RV042 для тестов. Но что то засомневался. В мою задачу, с учетом того что мне по сути надо lan to lan BRIDGE, а не роутинг, они подходят? Если нет - то я найду куда их пристроить, но мало ли, может я просто запутался в терминологии и немного не то купил.

[edo]

а что такого? у меня на сервере сейчас висит ещё больше всего (правда туннелей меньше 10 наверное сейчас, но 3 мегабита наружу выдается без проблем, больше просто интернет-канал не позволяет). в конце концов шифрование только в проц упирается, не хватит - проапгрейдь на двухядерник, они дешевы сейчас.

[Buktop]

Да в принципе не в проце вопрос. Просто слишком много на одну машину.
Даже не в вопросе производительности, а банально в вопросе цены стоимости простоя. При аварии - ну совсем жесть будет. Ставить "поставьте дохлый комп, и нагрузите его" - я не люблю. Либо сервак в стойку, либо коробку железную специально обученную.  Вот и подумал, а что я буду с этим париться. Воткну какой нить site-to-site VPN server аппаратный - и забуду про проблему. Ибо утвердить еще 1 сервак я сейчас по бюджету не смогу.
Не верю я, что не существует такого железа

ps. Подскажите люди добрые, да

[and3008]

Если критично время простоя, то у вас 2 выхода. Либо софтварное решение на базе 2-х серверов + heartbeat между ними, либо дорогое аппаратное решение. Например два PIX-а + кабель между ними, который позволит настроить режим Active-Active.
Аналогичное решение есть на NetScreen-ах.

Дешеные решения для SOHO такое не умеют. Поэтому забудьте про Linksys, D-Link, 3COM...

Смотрите в сторону Cisco, Juniper... Может я и не прав, есть более дешевые решения, знающие люди меня поправять.

Если вы ограничены в бюджете, то я бы рекмендовал смотреть на софтварное решение. Вполне ничего себе работает.

[Buktop]

Да я не о том. Для каждого сервиса по отдельности резервирования не надо. Потеря почты - подождем, потеря тоннелей - подождем. Нету критичных сервисов, чтобы два-три сервака на резервирование включать. НО просто если со сгоранием блока питания у сервака отпадет и одно и другое и третье - будет перебор.
Новый сервер я не проведу. Просто по статье расходов. А железку проведу. По другой статье. Вот и хочется имеено связность филиалов и ЦО перевести на отдельную задачу. На клиентской стороне(филиалы) хочется оставить RV042 линксисы. Ибо в них есть ряд вещей которые нас устраивают, типа задач по банковскому оборудованию (карты)(DMZ) и прочее (ну нравятся они мне, у меня дома длинк виснет раз в месяц, а в удаленном офисе линксис один работает 11-й месяц нон стоп и прочее).
Просто нравится. Вопрос, что бы поставить на hardware сервер чтобы реализовать задачу. Мне по сути список моделей нужен, ибо в breefs не написано, "работает под вашу задачу". Поэтому хочу список моделей, с учетом, что люди увидев мою задачу, если сталкивались с подобным - смогут ответить.