Чем лучше организовать VPN
Модераторы: Trinity admin`s, Free-lance moderator`s
Чем лучше организовать VPN
Здравствуйте.
Есть центральный офис и около 20 филиалов по-городу и области. Общее количество ПК и пользователей около 50.
Руководство помешано на безопасности, по-этому стоит задача создания единого домена для всех ПК, с настройками всех фишек по безопасности.
Задача нужно создать единое адресное пространство, для всех филиалов, что бы пользовательские компьютеры в удаленных филиалах, думали что они часть домена.
Как это лучше реализовать программно или аппаратно?
Какие средства лучше использовать?(как я понимаю, нужно поддерживать постоянный VPN с каждым филиалом, была задумка использовать TMG 2010 и TMG Firewall Clients);
Сколько это будет стоить?
Есть центральный офис и около 20 филиалов по-городу и области. Общее количество ПК и пользователей около 50.
Руководство помешано на безопасности, по-этому стоит задача создания единого домена для всех ПК, с настройками всех фишек по безопасности.
Задача нужно создать единое адресное пространство, для всех филиалов, что бы пользовательские компьютеры в удаленных филиалах, думали что они часть домена.
Как это лучше реализовать программно или аппаратно?
Какие средства лучше использовать?(как я понимаю, нужно поддерживать постоянный VPN с каждым филиалом, была задумка использовать TMG 2010 и TMG Firewall Clients);
Сколько это будет стоить?
Re: Чем лучше организовать VPN
В каждом филиале есть интернет, но разные провайдеры.
Re: Чем лучше организовать VPN
Поставьте в стойку сервер, напишите на нем "Шлюз безопасности", и руководство будет спать спокойно.Aleksey22 писал(а):Руководство помешано на безопасности, по-этому стоит задача создания единого домена для всех ПК, с настройками всех фишек по безопасности.
Вы мешаете в кучу построение общей сети (VPN) и настройку персоналок.Aleksey22 писал(а):Задача нужно создать единое адресное пространство, для всех филиалов, что бы пользовательские компьютеры в удаленных филиалах, думали что они часть домена.
Как это лучше реализовать программно или аппаратно?
Какие средства лучше использовать?(как я понимаю, нужно поддерживать постоянный VPN с каждым филиалом, была задумка использовать TMG 2010 и TMG Firewall Clients);
Сколько это будет стоить?
По первому - однозначно решение на базе маршрутизаторов Cisco, см http://www.cisco.com/en/US/products/ps5 ... _Home.html
По второму - неверно понимаете, постоянная свзяь не нужна, достаточно поставить в филиалах резервные контроллеры домена, кот. будут заниматься аутентификацией и раздачей политик при отсутствии связи.
По стоимости - зависит от.
Кто ясно мыслит - ясно излагает. Протагор.
Roman Levitsky, Trinity JSC
Jabber/Gtalk ID: r<dot>levitsky<at>trinitygroup<dot>ru
Roman Levitsky, Trinity JSC
Jabber/Gtalk ID: r<dot>levitsky<at>trinitygroup<dot>ru
-
- Advanced member
- Сообщения: 138
- Зарегистрирован: 19 ноя 2003, 15:49
- Откуда: Санкт-Петербург
- Контактная информация:
Re: Чем лучше организовать VPN
Почему однозначно? У меня с такой задачей справляются пара самых дешевых серверов под Linux, держащих ipsec-туннель. Все работает годами без вмешательства...Aleksey22 писал(а):По первому - однозначно решение на базе маршрутизаторов Cisco
Re: Чем лучше организовать VPN
Прикиньте коммерческую выгоду этого варианта. Учтите, что вашими противниками будут Циско и Микрософт.Serge10 писал(а):Почему однозначно? У меня с такой задачей справляются пара самых дешевых серверов под Linux, держащих ipsec-туннель. Все работает годами без вмешательства...
Кто ясно мыслит - ясно излагает. Протагор.
Roman Levitsky, Trinity JSC
Jabber/Gtalk ID: r<dot>levitsky<at>trinitygroup<dot>ru
Roman Levitsky, Trinity JSC
Jabber/Gtalk ID: r<dot>levitsky<at>trinitygroup<dot>ru
- Kirill Tkachev
- Advanced member
- Сообщения: 481
- Зарегистрирован: 08 июл 2004, 13:37
- Откуда: Saint-Petersburg
- Контактная информация:
Re: Чем лучше организовать VPN
Я правильно понимаю что вы планируете использовать TMG Firewall Client для подключения удаленных пользователей к центральному TMG? Если так, то ничего не получится.
TMG Firewall Client служит для перехвата запросов приложений на клиентах внутри периметра и перенаправление их на TMG сервер.
Для организации Site-to-site VPN нужно сервер TMG в центральном офисе и по серверу TMG в каждом удаленном офисе. Можно попробовать "подружить" TMG и какие то недорогие маршрутизаторы, для организации VPN с филиалами, но на практике сделать это не всегда удается.
Еще вариант строить сеть на маршрутизаторах и на между ними создавать криптотуннели.
Например Cisco ASA-5520 в центральном офисе и ASA-5505 Series или в филиалах. В центральный маршрутизатор также можно установить дополнительный модуль AIP-SSM для фильтрации трафика и весь трафик из филиалов завернуть через центральный офис. Это, естественно, делает центральный офис точкой отказа в случае каких либо проблем.
Озвучьте бюджет, постараемся что то предложить поконкретнее.
TMG Firewall Client служит для перехвата запросов приложений на клиентах внутри периметра и перенаправление их на TMG сервер.
Для организации Site-to-site VPN нужно сервер TMG в центральном офисе и по серверу TMG в каждом удаленном офисе. Можно попробовать "подружить" TMG и какие то недорогие маршрутизаторы, для организации VPN с филиалами, но на практике сделать это не всегда удается.
Еще вариант строить сеть на маршрутизаторах и на между ними создавать криптотуннели.
Например Cisco ASA-5520 в центральном офисе и ASA-5505 Series или в филиалах. В центральный маршрутизатор также можно установить дополнительный модуль AIP-SSM для фильтрации трафика и весь трафик из филиалов завернуть через центральный офис. Это, естественно, делает центральный офис точкой отказа в случае каких либо проблем.
Озвучьте бюджет, постараемся что то предложить поконкретнее.
-
- Advanced member
- Сообщения: 138
- Зарегистрирован: 19 ноя 2003, 15:49
- Откуда: Санкт-Петербург
- Контактная информация:
Re: Чем лучше организовать VPN
Не очень понял, что Вы имеете ввиду? Есть работающее решение, не требующее доп. затрат (лицензионные платежи и т. п.). Какие противники, что более интересного в коммерческом отношении может мне предложить Microsoft, или Cisco? Напомню, что в данном случае мы обсуждаем вполне конкретную задачу - связать в единую сеть несколько удаленных филиалов.Serge10 писал(а):Прикиньте коммерческую выгоду этого варианта. Учтите, что вашими противниками будут Циско и Микрософт.
Re: Чем лучше организовать VPN
Имею в виду - попробуйте мысленно предложить свое решение топикстартеру.Serge10 писал(а):Не очень понял, что Вы имеете ввиду?
Кто ясно мыслит - ясно излагает. Протагор.
Roman Levitsky, Trinity JSC
Jabber/Gtalk ID: r<dot>levitsky<at>trinitygroup<dot>ru
Roman Levitsky, Trinity JSC
Jabber/Gtalk ID: r<dot>levitsky<at>trinitygroup<dot>ru
-
- Advanced member
- Сообщения: 138
- Зарегистрирован: 19 ноя 2003, 15:49
- Откуда: Санкт-Петербург
- Контактная информация:
Re: Чем лучше организовать VPN
Я, собственно говоря, выше уже предложил . Вполне возможно, что в данном конкретном случае решения от Cisco, или Microsoft будут оптимальнее. Но для того, чтобы это понять, нужно проанализировать и сравнить разные варианты, а не действовать наобум.Serge10 писал(а):Имею в виду - попробуйте мысленно предложить свое решение топикстартеру.
Вообще, смысл моего поста был в том, что всегда есть выбор среди разных решений. И применять слово "однозначно", когда речь идет об IT, не стоит .
Re: Чем лучше организовать VPN
И как? Он предпочел закупить два десятка дешевых серверов и заплатить Вам за настройку, а не вложиться в Циску?
Кто ясно мыслит - ясно излагает. Протагор.
Roman Levitsky, Trinity JSC
Jabber/Gtalk ID: r<dot>levitsky<at>trinitygroup<dot>ru
Roman Levitsky, Trinity JSC
Jabber/Gtalk ID: r<dot>levitsky<at>trinitygroup<dot>ru
-
- Advanced member
- Сообщения: 138
- Зарегистрирован: 19 ноя 2003, 15:49
- Откуда: Санкт-Петербург
- Контактная информация:
Re: Чем лучше организовать VPN
Жаль, что Вы не услышали мысль, которую я попытался до Вас донести в предыдущем сообщении .rlevitsky писал(а):И как? Он предпочел закупить два десятка дешевых серверов и заплатить Вам за настройку, а не вложиться в Циску?
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и 22 гостя