Vpn между главный офисом и дочерними структурами?

Question

[g0748]

Добрый день!
Во общем имеется "главный офис". Интернет подключен через 2 провайдеров (для надежности) к TL-R470T+ от него уже к общей сетке и DC.
Планируется открыть около 5 дочерних офисов.
Провайдеры в разных точках разные.
Требуется настроить общую сеть между главным офисов и дочерними? Подскажите пожалуйста варианты, поделитесь опытом?
Какое железо лучше использовать для аппаратного VPN c поддержкой нескольких wan-портов для интернета?
Заранее спасибо!

Answer 1

[Azazel PW]

1. Дешево и стабильно.
Mikrotik 951 + OpenVPN, подключение звездой.
Плюсы есть thedude для постройки интерактивной карты сети и управления каждым коммутатором.
Можно написать скрипт переключения провайдеров или ЛоадБаланс сделать.
Минус, прозрачный прокси сервер для логирования подключений нужно ставить отдельно.
2. Средний уровень.
LinuxRouter(iptables+route)+OpenVPN
Плюсы, большой функционал для тестирования и диагностики соединений,
Можно поставить прозрачный прокси и кучу других наворотов, в будущем на нем можно развернуть asterisk для SIP телефонии и связать транками между собой филиалы. Чем сэкономить кучу денег компании. Так как виртуальные АТС это абонентка.
Можно поставить Zabbix для диагностики всех компьютеров в дочерних структурах.
Можно настроить переключение каналов и балансировку каналов.
Минусы. Сложно в освоении, придется поднять жопу с дивана и начать техническую литературу. Возможности безграничны.
Решение не из коробки и его придется проектировать, в идеале должен быть НОРМАЛЬНЫЙ гуру по линухам и сетям.
Единый центр управления надо будет писать самому, но на старте можно использовать Ajenti.
3. Дорого и глупо.
Заказать реализацию у Интегратора. А он уже может напихать Цисок и прочей херни, которая не нужна для прокачки трафика.

Comments

[Иван]

С языка снял :)

[Azazel PW]

Иван: Всегда выбирают первый вариант :) Иллюзия выбора.

[Иван]

Azazel PW: при наличии серверов под другие нужды можно и 2 вариантом обойтись))
Ну а для тех кто в танке ...

[g0748]

Azazel PW: Спасибо за развернутый ответ. Если выбирать первый вариант, меняем TL-R470T+ на Mikrotik 951 , их же ставим по объектам? Авторизация пользователей в домене как происходит? у каждого устанавливаем OpenVPN или на объекте ставим мини сервак с DC и OpenVPN?

[g0748]

Может у Вас есть ссылка где об этом можно подробнее почитать: скрипт переключения провайдеров, настройка openVPN?

[Azazel PW]

g0748: Авторизация в домене происходит через VPN как будто компьютер в одной сети с вами. Самый легкий и быстрый вариант сделать сеть с /24(255.255.255.0) в /16(255.255.0.0) Таким образом все устройства будут видны друг другу. Но это не обязательно, можно сделать и через маршрутизацию.

Устанавливаем OpenVPN на сеть. Компьютеры недолжны подозревать вообще что у них там в сети творится. Если у каждого будет установлен OpenVPN это получится бред мирового маштаба, все равно что поднять старый дряхлый PPTP только с сертификатом. :) p.s. устанавливая на каждом компьютере OpenVPN у вас в сети получается куча огромных дыр, через которые вас взломают.

По поводу переключения каналов советую почитать, так как просто копировать что то с интернета не вариант. Вам нужно понимать как оно работает, иначе как вы будете разбиратся с проблемой если она возникнет. Каждая строчка кода/скрипта должна быть продумана и понятна для себя лично. Пусть даже если это будет быдлокодинг, ничего страшного все с чего то начинали.

[g0748]

спасибо, попробую Ваш вариант!

Answer 2

[Diman89]

Mikrotikи
На них vpn-сервер и клиенты, можно и eoip если l2 надо

Comments

[g0748]

Спасибо, т.е в офисе поднимаем на микротик сервер а по объектам настраиваем микротик как клиент? Аналогичный вопрос с авторизацией пользователей?

[Diman89]

g0748: почему бы и да?