Как оставить доступным сетевое окружение Windows в доменной сети, разделенной на vlan?

Что именно вы хотите получить?
Чтобы в сетевом окружении была видна в простыня из всех рабочих станций (кстати сколько их)?
Или чтобы был доступ к сетевым шарам?
Все ли компьютеры в домене?

Как создать VPN туннель между 4G Роутером с поддержкой OpenVPN ( TLS аутентификация ) и Cisco 2911?

Сори, не заметил сразу что Cisco ISR usht.livejournal.com/23331.html

Не работает VPN PPTP на Cisco 871 - какие я допустил ошибки?

whitensk: Есть какой-нибудь результат изысканий?

Зачем нужно разбивать DHCP на классы?

Вариантов на самом деле не мало, зависит от остальной инфраструктуры.
Самый простой и в реализации и в понимании - сделать два VLan-а, один с доступом в интернет, второй - без. Пулов соответственно тоже два - для каждого VLan-а. Не вижу никакой необходимости плодить кучу пулов. Двух - более чем достаточно.
Второй вариант - добавить DHCP резервы и сделать ACL на маршрутизаторе пускающий в интернет только эти адреса. Но тогда, чтобы "защититься" от смены адреса на машине вручную придется включать DHCP-snooping.
Третий вариант - 802.1x, но в вашем случаи это жесточайший over engineering как мне кажется. И в конечном итоге все равно вернемся к VLan-ам с интернетом и без и разным пулам, т.к. на 2960 (если он конечно не XR) не получится повесить ACL на порт.

P.S.
А по какому критерию в вашем представлении система должна отличать компьютеры с доступом в интернет и без?
Может стоит заморочиться с решением другого уровня. Например купить Cisco ASA, MS UAG, или подобное решение, чтобы просто авторизовывать пользователей средствами AD/LDAP без привязки к ПК и адресам. Или наоборот - какую-нибудь простую проксю запилить.

Как раздать ip и шлюз по dhcp куче vlan из единого адресного пула?

@heuhene При такой архитектуре, вам в каждом VLAN-е нужно шлюзом по умолчанию присылать IP интерфейса этого VLAN-а. Т.е. в VLAN2 в качестве gw нужно отдавать 10.221.22.2. Даже если вы найдете способ отдать всем устройствам один и тот же шлюз по-умолчанию, маршрутизатор со своей стороны отфутболит пакеты на этот адрес на всех интерфейсах кроме того, у которого этот адрес назначен, а назначить его всем сабинтерфейсам нельзя.
НО!
Работать это будет только в том случаи, подсети в VLAN-ах не будут пересекаться. Иначе у маршрутизатора будет пачка connected маршрутов в одну и ту же сеть, что-то типа такого:
10.221.16.0/20 через 10.221.22.2 gi0/0.2
10.221.16.0/20 через 10.221.22.3 gi0/0.3
10.221.16.0/20 через 10.221.22.4 gi0/0.4

Не знаю как микротик, но многие так сделать просто не дадут, т.к. устройство не будет понимать в какой VLAN слать пакеты.

Итого, если сохранение VLAN-ов - принципиальная позиция, то надо сеть 10.221.16.0/20 разбить на подсети, например:
10.221.16.0/25
10.221.16.128/25
10.221.17.0/25 и т.д.
или на куски разной мощности:
10.221.16.0/21
10.221.24.0/25
10.221.24.128/26
10.221.24.192/27
10.221.24.224/28
10.221.24.240/28
10.221.25.0/24
и т.д. принцип думаю понятен.
Вариантов по кромсать сеть море. Об этом написаны тысячи статей.
И на каждый сабинтерфейс маршрутизатора прибить IP из разных подсетей.
Например:
gi0/0.2 - 10.221.22.1/25 - соответственно и пул и gw.
gi0/0.3 - 10.221.22.129/25 - соответственно и пул и gw.

Только в таком случаи будет работать маршрутизация. Правда если у вас ваш микротик - не единственное маршрутизирующее устройство в сети, то придется либо динамическую маршрутизацию поднимать, либо знатно подолбаться.

Второй вариант - это изоляция портов. Ее сейчас любой приличный коммутатор поддерживает. Делается гораздо проще, не надо париться с кучей DHCP, кучей подсетей и таблицами маршрутизации в целый экран. Этот механизм блокирует прямую L2 связность между портами коммутаторов. Есть конечно ряд ограничений и различий в реализациях, но вам, с вероятностью 99% подойдет любой.

Ну и третий вариант - если у вас коммутатор поддерживает ACL на портах, то резать трафик просто на входе в среду коммутации. Как и в варианте два не нужны ни VLAN-ы, ни куча DHCP-серверов ни длинные таблицы маршрутизации. Правда тут появляются пачки ACL-ов.

Какой аппаратный межсетевой экран выбрать?

А как у вас авторизация выполняется?

P.S. С ZyWALL последний раз общался лет 6 назад, на тот момент оставили крайне негативное впечатление, особенно маршрутизаторная часть. Dual-WAN вообще тогда был фикцией. Шейпера не было. l2l VPN был на столько убог, что хотелось на стену лезть. Мы тогда быстро свинтили на DFL, которые конечно тоже не сахар, но тогда, после ZyWALL-ов они показались просто сказкой. В каком оно сейчас состоянии не знаю, надеюсь довели до ума.

Какой аппаратный межсетевой экран выбрать?

Опыт есть. И он подсказывает, что не стоит.
Что касается RADIUS-а, то для подсчета статистики он сам по себе не нужен, он нужен для авторизации пользователей, хотя для акаунтинга его тоже можно (и по-хорошему нужно) использовать. Без него статистика безусловно соберется, но в ней будут фигурировать только IP-адреса. Ну максимум, в случаи плоской сети, еще и mac-адреса. Для того, чтобы иметь статистику по пользователям, придется использовать aaa, и скорее всего это будет именно радиус, т.к. остальные решения так или иначе проприетарны и вендорозависимы, либо локальная БД самого устройства, что тоже не придаст удобства.
Фильтрация URL-ов тоже возможна на самом устройстве, по крайней мере на некоторых. Но во-первых управлять и сопровождать это - сущий ад. Во-вторых, при отсутствии категоризации и политик на основе категорий, защита получается "от честных людей", либо придется ОЧЕНЬ большие списки делать, а интерфейс абсолютного большинства устройств к этому совершенно не располагает (просто посмотрите, например, как в ASA class-map-ами фильтровать URL-ы без внешнего сервера).
Т.е. решить вашу задачу "аппаратными" решениями безусловно можно, даже с полноценным логированием, Го и поэтессами, но это во-первых не будет решением "в одной коробке", а во-вторых наплодит кучу лишних сущностей, что в свою очередь увеличит нагрузку на вас и усложнит траблшутинг, если вдруг что-то пойдет не так.
Т.е. при любом раскладе это будет сложнее во внедрении и поддержке, чем коробочный программный продукт, тем более, что вам нужен в общем-то не столько межсетевой экран, сколько биллинг.

Конечно я не знаком со всеми решениями, и не исключаю, что такие решения могут быть (правда скорее всего они будут все таки программными, просто идти в комплекте с сервером). Если вы найдете таковые, я на них с радостью посмотрю, ибо после отказа MS от TMG - этот вопрос стал довольно остро.

Что выбрать, если не возможности выбрать IPSEC?

@Maxim_ka Всегда пожалуйста.

Что выбрать, если не возможности выбрать IPSEC?

Технически можно. Если есть SMARTNet и железка не в продакшене, то можно попробовать подобрать версию. Я бы начинал на вашем месте с какой-нибудь c2900-universalk9-mz.SPA.151-3.T4.bin

Если железка в продакшене, то это будет очень смелый шаг.
P.S. От чего-то мне кажется, что железка на самом деле не IP Base, а UC, посему вдвойне аккуратнее, если конфиг UC части в ней уже есть.

Как разрешить извне подключаться к pptp?

GRE не зарезан ли снаружи?

Какие параметры необходимо задать ярлыку игры Warcraft 3, чтобы непосредственно запустить карту?

@Lol4t0 Не знал.. Так гораздо проще конечно.
@Aleks_newsky Выше написали, что можно из стандартного диспетчера задач. https://dl.dropboxusercontent.com/u/633460/procmon1.png

Как правильно настроить Cisco 2960s 24ts-s?

С iSCSI указанная выше схема будет нормально работать. В случаи с iSCSI вообще использовать LACP не обязательно (а некоторые так даже не рекомендуют), лучше использовать MPIO и делать балансировку средствами iSCSI.
В случаи с NFS (с ним я не очень знаком) не понятно как будет работать агрегация и отказоустойчивость. Если в NFS-е есть аналог MPIO (blog.aboutnetapp.ru/archives/1159 - тут пишут, что можно сделать), то проблем тоже не должно быть, если нет, тогда никак не получится сделать балансировку и отказоустойчивость.

PPTP сервер и клиент на одном маршрутизаторе Cisco

Номер группы - значение "dialer-group 4" в настройках интерфейса, он же фигурирует в настройках vpnd группы "rotary-group 4".

Как отшейпить 1000 пользователей по ip?

Для начала ему нужен сам Catalyst. На сколько я понял, речь про ISR.

Как отшейпить 1000 пользователей по ip?

А почему именно принципиально делать для каждого IP свой ACL. Нельзя эти IP как-нибудь объединить, например по целевой скорости? Сделать по 1 ACL-у для каждой из скоростей а в нем указать целевые IP. На худой конец есть еще object-group-ы.

Пляски с mac-ами?

А разве проблема обратиться к провайдеру за сменой МАС'а?

Да в конечно счете конечно так и будет, только во-первых это долго, а во-вторых и так должно работать.

Пляски с mac-ами?

Я немного наврал. LAN циски не видит. NAT-ов нет, рутинг.
ISR2911, IOS 15.2(4).

Пляски с mac-ами?

DMZ — это отдельный физический интерфейс, в конкретном случаи Gi0/2. И на нем MAC родной. Если поменять MAC на интерфейсе Gi0/0, то отваливается интернет, зато тот первый маршрутизатор (назовем его RouterG) начинает работать как надо. Если поменять mac на RouterG, то уверен что будет работать, но сделать это нельзя.
При текущей конфигурации, RouterG (и сеть за ним) прекрасно обращаются к соседям по DMZ, и LAN интерфейсу Циски. При обращении же в интернет, тишина. Если передернуть Gi0/0, то и RouterG на какое-то время может ходить наружу. Потом опять тишина.

sh arp, как и ожидалось показывает два одинаковых mac-а (8c89.a556.a40f) в таблицах обоих интерфейсов с правильными IP (по одному на каждый):

Internet  194.222.222.101       187   0016.46d4.0d1b  ARPA   GigabitEthernet0/1
Internet  194.222.222.102         -   d48c.b51a.aeb9  ARPA   GigabitEthernet0/1
Internet  194.222.222.105         -   d48c.b51a.aeb8  ARPA   GigabitEthernet0/2
Internet  194.222.222.107       146   0015.5d00.9608  ARPA   GigabitEthernet0/2
Internet  194.222.222.108         4   0016.3e37.7937  ARPA   GigabitEthernet0/2
Internet  194.222.222.109       175   8c89.a556.a40f  ARPA   GigabitEthernet0/2
Internet  194.222.222.110       135   50e5.495f.4618  ARPA   GigabitEthernet0/2
Internet  213.11.33.1             0   b414.8902.8a00  ARPA   GigabitEthernet0/0
Internet  213.11.33.9             -   8c89.a556.a40f  ARPA   GigabitEthernet0/0

Все осложняется тем, что оба роутера боевые. Особо на них не поэкспериментируешь.

Организация домашней Wi-Fi сети

Да нет же. Не Роутер. Роутером может и дальше бесприпятсвенно быть то, что является им и сейчас (т.е. в вашем случаи ПК), а вместо Wi-Fi карточки в него воткнуть проводом точку доступа (именно точку), которая будет просто радио-коммутатором. А всякие там 3G, и прочее по прежнему будут на компе, который роутер.

Посоветуйте недорогой SSD для ПК

На компе стоит Vertex3, на «сервере» парочка Vertex4 в зеркале, ни там ни там никаких нареканий за полгода нет вообще.