Чем лучше организовать VPN

Как создать сервер оптимальной конфигурации.

Модераторы: Trinity admin`s, Free-lance moderator`s

Ответить
Aleksey22
Junior member
Сообщения: 6
Зарегистрирован: 02 апр 2012, 10:24
Откуда: Санкт-Петербург

Чем лучше организовать VPN

Сообщение Aleksey22 » 02 апр 2012, 13:13

Здравствуйте.
Есть центральный офис и около 20 филиалов по-городу и области. Общее количество ПК и пользователей около 50.
Руководство помешано на безопасности, по-этому стоит задача создания единого домена для всех ПК, с настройками всех фишек по безопасности.
Задача нужно создать единое адресное пространство, для всех филиалов, что бы пользовательские компьютеры в удаленных филиалах, думали что они часть домена.
Как это лучше реализовать программно или аппаратно?
Какие средства лучше использовать?(как я понимаю, нужно поддерживать постоянный VPN с каждым филиалом, была задумка использовать TMG 2010 и TMG Firewall Clients);
Сколько это будет стоить?

Aleksey22
Junior member
Сообщения: 6
Зарегистрирован: 02 апр 2012, 10:24
Откуда: Санкт-Петербург

Re: Чем лучше организовать VPN

Сообщение Aleksey22 » 02 апр 2012, 13:14

В каждом филиале есть интернет, но разные провайдеры.

Аватара пользователя
rlevitsky
Сотрудник Тринити
Сотрудник Тринити
Сообщения: 46
Зарегистрирован: 26 дек 2011, 11:49
Откуда: СПб

Re: Чем лучше организовать VPN

Сообщение rlevitsky » 02 апр 2012, 17:13

Aleksey22 писал(а):Руководство помешано на безопасности, по-этому стоит задача создания единого домена для всех ПК, с настройками всех фишек по безопасности.
Поставьте в стойку сервер, напишите на нем "Шлюз безопасности", и руководство будет спать спокойно.
Aleksey22 писал(а):Задача нужно создать единое адресное пространство, для всех филиалов, что бы пользовательские компьютеры в удаленных филиалах, думали что они часть домена.
Как это лучше реализовать программно или аппаратно?
Какие средства лучше использовать?(как я понимаю, нужно поддерживать постоянный VPN с каждым филиалом, была задумка использовать TMG 2010 и TMG Firewall Clients);
Сколько это будет стоить?
Вы мешаете в кучу построение общей сети (VPN) и настройку персоналок.

По первому - однозначно решение на базе маршрутизаторов Cisco, см http://www.cisco.com/en/US/products/ps5 ... _Home.html

По второму - неверно понимаете, постоянная свзяь не нужна, достаточно поставить в филиалах резервные контроллеры домена, кот. будут заниматься аутентификацией и раздачей политик при отсутствии связи.

По стоимости - зависит от.
Кто ясно мыслит - ясно излагает. Протагор.

Roman Levitsky, Trinity JSC
Jabber/Gtalk ID: r<dot>levitsky<at>trinitygroup<dot>ru

Serge10
Advanced member
Сообщения: 138
Зарегистрирован: 19 ноя 2003, 15:49
Откуда: Санкт-Петербург
Контактная информация:

Re: Чем лучше организовать VPN

Сообщение Serge10 » 02 апр 2012, 22:10

Aleksey22 писал(а):По первому - однозначно решение на базе маршрутизаторов Cisco
Почему однозначно? ;) У меня с такой задачей справляются пара самых дешевых серверов под Linux, держащих ipsec-туннель. Все работает годами без вмешательства...

Аватара пользователя
rlevitsky
Сотрудник Тринити
Сотрудник Тринити
Сообщения: 46
Зарегистрирован: 26 дек 2011, 11:49
Откуда: СПб

Re: Чем лучше организовать VPN

Сообщение rlevitsky » 03 апр 2012, 10:49

Serge10 писал(а):Почему однозначно? ;) У меня с такой задачей справляются пара самых дешевых серверов под Linux, держащих ipsec-туннель. Все работает годами без вмешательства...
Прикиньте коммерческую выгоду этого варианта. Учтите, что вашими противниками будут Циско и Микрософт.
Кто ясно мыслит - ясно излагает. Протагор.

Roman Levitsky, Trinity JSC
Jabber/Gtalk ID: r<dot>levitsky<at>trinitygroup<dot>ru

Аватара пользователя
Kirill Tkachev
Advanced member
Сообщения: 481
Зарегистрирован: 08 июл 2004, 13:37
Откуда: Saint-Petersburg
Контактная информация:

Re: Чем лучше организовать VPN

Сообщение Kirill Tkachev » 04 апр 2012, 02:36

Я правильно понимаю что вы планируете использовать TMG Firewall Client для подключения удаленных пользователей к центральному TMG? Если так, то ничего не получится.
TMG Firewall Client служит для перехвата запросов приложений на клиентах внутри периметра и перенаправление их на TMG сервер.
Для организации Site-to-site VPN нужно сервер TMG в центральном офисе и по серверу TMG в каждом удаленном офисе. Можно попробовать "подружить" TMG и какие то недорогие маршрутизаторы, для организации VPN с филиалами, но на практике сделать это не всегда удается.
Еще вариант строить сеть на маршрутизаторах и на между ними создавать криптотуннели.
Например Cisco ASA-5520 в центральном офисе и ASA-5505 Series или в филиалах. В центральный маршрутизатор также можно установить дополнительный модуль AIP-SSM для фильтрации трафика и весь трафик из филиалов завернуть через центральный офис. Это, естественно, делает центральный офис точкой отказа в случае каких либо проблем.

Озвучьте бюджет, постараемся что то предложить поконкретнее.

Serge10
Advanced member
Сообщения: 138
Зарегистрирован: 19 ноя 2003, 15:49
Откуда: Санкт-Петербург
Контактная информация:

Re: Чем лучше организовать VPN

Сообщение Serge10 » 04 апр 2012, 16:14

Serge10 писал(а):Прикиньте коммерческую выгоду этого варианта. Учтите, что вашими противниками будут Циско и Микрософт.
Не очень понял, что Вы имеете ввиду? Есть работающее решение, не требующее доп. затрат (лицензионные платежи и т. п.). Какие противники, что более интересного в коммерческом отношении может мне предложить Microsoft, или Cisco? Напомню, что в данном случае мы обсуждаем вполне конкретную задачу - связать в единую сеть несколько удаленных филиалов.

Аватара пользователя
rlevitsky
Сотрудник Тринити
Сотрудник Тринити
Сообщения: 46
Зарегистрирован: 26 дек 2011, 11:49
Откуда: СПб

Re: Чем лучше организовать VPN

Сообщение rlevitsky » 04 апр 2012, 16:33

Serge10 писал(а):Не очень понял, что Вы имеете ввиду?
Имею в виду - попробуйте мысленно предложить свое решение топикстартеру.
Кто ясно мыслит - ясно излагает. Протагор.

Roman Levitsky, Trinity JSC
Jabber/Gtalk ID: r<dot>levitsky<at>trinitygroup<dot>ru

Serge10
Advanced member
Сообщения: 138
Зарегистрирован: 19 ноя 2003, 15:49
Откуда: Санкт-Петербург
Контактная информация:

Re: Чем лучше организовать VPN

Сообщение Serge10 » 05 апр 2012, 12:28

Serge10 писал(а):Имею в виду - попробуйте мысленно предложить свое решение топикстартеру.
Я, собственно говоря, выше уже предложил ;). Вполне возможно, что в данном конкретном случае решения от Cisco, или Microsoft будут оптимальнее. Но для того, чтобы это понять, нужно проанализировать и сравнить разные варианты, а не действовать наобум.

Вообще, смысл моего поста был в том, что всегда есть выбор среди разных решений. И применять слово "однозначно", когда речь идет об IT, не стоит ;).

Аватара пользователя
rlevitsky
Сотрудник Тринити
Сотрудник Тринити
Сообщения: 46
Зарегистрирован: 26 дек 2011, 11:49
Откуда: СПб

Re: Чем лучше организовать VPN

Сообщение rlevitsky » 09 апр 2012, 18:16

И как? Он предпочел закупить два десятка дешевых серверов и заплатить Вам за настройку, а не вложиться в Циску?
Кто ясно мыслит - ясно излагает. Протагор.

Roman Levitsky, Trinity JSC
Jabber/Gtalk ID: r<dot>levitsky<at>trinitygroup<dot>ru

Serge10
Advanced member
Сообщения: 138
Зарегистрирован: 19 ноя 2003, 15:49
Откуда: Санкт-Петербург
Контактная информация:

Re: Чем лучше организовать VPN

Сообщение Serge10 » 09 апр 2012, 23:40

rlevitsky писал(а):И как? Он предпочел закупить два десятка дешевых серверов и заплатить Вам за настройку, а не вложиться в Циску?
Жаль, что Вы не услышали мысль, которую я попытался до Вас донести в предыдущем сообщении :(.

Ответить

Вернуться в «Серверы - Конфигурирование»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 22 гостя