Параноидальный выход в интернет и система бэкапов

@R3knit · Регистрация: 11.12.2012

Author24 — интернет-сервис помощи студентам

Здравствуйте форумчане!
Не кидайте в меня помидорами, для меня эта тема абсолютно непонятная, пока что) Ответа в гугле не нашел, поэтмоу обращаюсь к вам!

Задача заключается в том, что есть мейн офис, c мейн серваком(Stat.IP) win serv 08 + терминалка, на нем же висит и DHCP, и NAT. AD не поднят, но планируется ввиду необходимости.
Есть второй сервак, тоже на вин серв 2008 и статическим IP, но он в куево-кукуево. И он наш, в том смысле, что не выделенка, не виртуалка. Нужно, чтобы каждый пользователей мейн офиса незаметно для себя выходил в интернет по VPN тоннелю между мейн серваком и вторым. Т.е. чтобы инет был со второго сервака, а канал связи между точками был защищен IPsec

Слегка разжую. Есть категория RDP юзверов(торчат на мейн сервере), есть неRDP юзверы. Всем им раздать инет со второго сервака, но незаметно для них, чтобы они не знали этого, не нажимали лишний раз на кнопки "Подключиться". На втором серваке будут бэкапы различных данных, к которым тоже нужен будет доступ.

Собственно вопрос: как это, черт возьми, организовать?

Буду безумно благодарен за подробный ответ!

@jlevistk · 12.12.2012, 00:11

Я пару раз прочитал, не очень понял, что Вы хотите.. видимо потому что уже поздновато.
Но на первый взгляд, вам необходимо на оборудовании выступающем в качестве гейта в мейн офисе настроить маршрутизацию так, чтобы все пакеты отправлялись на обработку шлюзу на другом конце туннеля.
route add 0.0.0.0 mask 0.0.0.0 ip_of_destination - если в качестве гейта виндовая машинка. да и собственно для всего остального оборудования данная команда особо отличаться не будет.
Я бы AD на терминалке не поднимал на вашем месте. В идеале под терминалку отдельный сервер, под DHCP и прочее другую.. и тд..)

@R3knit · 12.12.2012, 11:02 **[ТС]**

jlevistk, нда, соглашусь, не очень понятно написано, простите, вечер ранний, голова еще не успела включиться

В общем, перепишу смысл выше мною сказанного.
Есть две сети. Мейн - сервак с dhcp + nat + firewall + terminal на win serv 08 (не плюйтесь, скоро все, кроме терминалки, уйдет на другую машину с FreeBSD) и видеорегистратор, для которого нужен доступ извне и из локальной сети (короче нужна DMZ). Вторая - сервак-файлопомойка, а точнее бэкапов данных с мейн.

Нужно что бы пользователи мейн офиса со своих рабочих машин выходили в интернет проходя путь по такой схеме:

гейт мейн офиса -> VPN тоннель до 2ой сети -> Интернет

Причем необходимо, чтобы сами пользователи не задумывались, как они выходят в интернет: сидят себе спокойно в своих СБИс, 1с, однокашках-аськах-скайпах и сидят.
Короче говоря, нужно, чтобы второй сервак был в нашей подсети, но соединение с ним происходила по VPN. Во!
Я подумал использовать VPN маршрутизаторы, поставить их на обоих концах. НО! Ни разу не пользовался таким оборудованием, поэтому не совсем понимаю принцип их действия

Надеюсь, что сейчас понятнее все объяснил...

@jlevistk · 12.12.2012, 11:08

тобишь vpn канала еще нету? а каков бюджет?

Добавлено через 40 секунд
Второй сервак не будет в вашей подсети. На разных концах туннеля должны быть разные подсети.

@R3knit · 12.12.2012, 12:05 **[ТС]**

jlevistk, нет, vpn еще нет, сервак пока на стадии настройки и ожидания ввода в эксплуатацию.
Насчет подсетей не большая беда, так что не страшно.

С бюджетом пока не знаю, но не думаю что больше 20 тыс деревянных на оборудование. Руководству трудно объяснить, почему "куски стали и пластика" стоят так дорого

@jlevistk · 12.12.2012, 12:23

Сообщение от R3knit

С бюджетом пока не знаю, но не думаю что больше 20 тыс деревянных на оборудование. Руководству трудно объяснить, почему "куски стали и пластика" стоят так дорого

А сколько пользователей с каждой из сторон?
Я бы посоветовал Cisco ASA 5505 для таких нужд, но она каждая стоит 20к деревянных.. а вам две надо.

Поэтому можно посмотреть на D-Link из серии DFL. Но я их настраивать ни разу не пробовал)

@R3knit · 12.12.2012, 13:17 **[ТС]**

jlevistk, c первой стороны около 20, с другой - нет пользователей, лишь сервер и видеорегистратор, к которым возможен доступ лишь из локальной сети мейн офиса

А как насчет представителя компани TP-Link TL-ER6120? Ничего не можете подсказать про него?

Забыл сказать, веротяно, довольно важное замечание: интернет мы получаем с беспроводноо моста:
ISP -> AP NanoSation M5 ->->->в-о-з-д-у-х->->-> Bridge Nanostation M5 -> main office server

Вторая сеть так же получает интернет.

@jlevistk · 12.12.2012, 16:34

Сообщение от R3knit

А как насчет представителя компани TP-Link TL-ER6120? Ничего не можете подсказать про него?

Никогда с таким девайсом не работал)

Сообщение от R3knit

Забыл сказать, веротяно, довольно важное замечание: интернет мы получаем с беспроводноо моста:
ISP -> AP NanoSation M5 ->->->в-о-з-д-у-х->->-> Bridge Nanostation M5 -> main office server

Wi-Fi это конечно плохо.. но сути не меняет)

@R3knit 0 / 0 / 0 Регистрация: 11.12.2012 Сообщений: 4
		1
	Параноидальный выход в интернет и система бэкапов 11.12.2012, 22:37. Показов 737. Ответов 7 Метки нет (Все метки) Здравствуйте форумчане! Не кидайте в меня помидорами, для меня эта тема абсолютно непонятная, пока что) Ответа в гугле не нашел, поэтмоу обращаюсь к вам! Задача заключается в том, что есть мейн офис, c мейн серваком(Stat.IP) win serv 08 + терминалка, на нем же висит и DHCP, и NAT. AD не поднят, но планируется ввиду необходимости. Есть второй сервак, тоже на вин серв 2008 и статическим IP, но он в куево-кукуево. И он наш, в том смысле, что не выделенка, не виртуалка. Нужно, чтобы каждый пользователей мейн офиса незаметно для себя выходил в интернет по VPN тоннелю между мейн серваком и вторым. Т.е. чтобы инет был со второго сервака, а канал связи между точками был защищен IPsec Слегка разжую. Есть категория RDP юзверов(торчат на мейн сервере), есть неRDP юзверы. Всем им раздать инет со второго сервака, но незаметно для них, чтобы они не знали этого, не нажимали лишний раз на кнопки "Подключиться". На втором серваке будут бэкапы различных данных, к которым тоже нужен будет доступ. Собственно вопрос: как это, черт возьми, организовать? Буду безумно благодарен за подробный ответ! 0

@jlevistk 239 / 234 / 8 Регистрация: 05.05.2011 Сообщений: 1,553
	12.12.2012, 00:11	2
	Я пару раз прочитал, не очень понял, что Вы хотите.. видимо потому что уже поздновато. Но на первый взгляд, вам необходимо на оборудовании выступающем в качестве гейта в мейн офисе настроить маршрутизацию так, чтобы все пакеты отправлялись на обработку шлюзу на другом конце туннеля. route add 0.0.0.0 mask 0.0.0.0 ip_of_destination - если в качестве гейта виндовая машинка. да и собственно для всего остального оборудования данная команда особо отличаться не будет. Я бы AD на терминалке не поднимал на вашем месте. В идеале под терминалку отдельный сервер, под DHCP и прочее другую.. и тд..) 0

@R3knit 0 / 0 / 0 Регистрация: 11.12.2012 Сообщений: 4
	12.12.2012, 11:02 [ТС]	3
	jlevistk, нда, соглашусь, не очень понятно написано, простите, вечер ранний, голова еще не успела включиться В общем, перепишу смысл выше мною сказанного. Есть две сети. Мейн - сервак с dhcp + nat + firewall + terminal на win serv 08 (не плюйтесь, скоро все, кроме терминалки, уйдет на другую машину с FreeBSD) и видеорегистратор, для которого нужен доступ извне и из локальной сети (короче нужна DMZ). Вторая - сервак-файлопомойка, а точнее бэкапов данных с мейн. Нужно что бы пользователи мейн офиса со своих рабочих машин выходили в интернет проходя путь по такой схеме: гейт мейн офиса -> VPN тоннель до 2ой сети -> Интернет Причем необходимо, чтобы сами пользователи не задумывались, как они выходят в интернет: сидят себе спокойно в своих СБИс, 1с, однокашках-аськах-скайпах и сидят. Короче говоря, нужно, чтобы второй сервак был в нашей подсети, но соединение с ним происходила по VPN. Во! Я подумал использовать VPN маршрутизаторы, поставить их на обоих концах. НО! Ни разу не пользовался таким оборудованием, поэтому не совсем понимаю принцип их действия Надеюсь, что сейчас понятнее все объяснил... 0

@jlevistk 239 / 234 / 8 Регистрация: 05.05.2011 Сообщений: 1,553
	12.12.2012, 11:08	4
	тобишь vpn канала еще нету? а каков бюджет? Добавлено через 40 секунд Второй сервак не будет в вашей подсети. На разных концах туннеля должны быть разные подсети. 0

@R3knit 0 / 0 / 0 Регистрация: 11.12.2012 Сообщений: 4
	12.12.2012, 12:05 [ТС]	5
	jlevistk, нет, vpn еще нет, сервак пока на стадии настройки и ожидания ввода в эксплуатацию. Насчет подсетей не большая беда, так что не страшно. С бюджетом пока не знаю, но не думаю что больше 20 тыс деревянных на оборудование. Руководству трудно объяснить, почему "куски стали и пластика" стоят так дорого 0

@jlevistk 239 / 234 / 8 Регистрация: 05.05.2011 Сообщений: 1,553
	12.12.2012, 12:23	6
	Сообщение от R3knit С бюджетом пока не знаю, но не думаю что больше 20 тыс деревянных на оборудование. Руководству трудно объяснить, почему "куски стали и пластика" стоят так дорого А сколько пользователей с каждой из сторон? Я бы посоветовал Cisco ASA 5505 для таких нужд, но она каждая стоит 20к деревянных.. а вам две надо. Поэтому можно посмотреть на D-Link из серии DFL. Но я их настраивать ни разу не пробовал) 0

@R3knit 0 / 0 / 0 Регистрация: 11.12.2012 Сообщений: 4
	12.12.2012, 13:17 [ТС]	7
	jlevistk, c первой стороны около 20, с другой - нет пользователей, лишь сервер и видеорегистратор, к которым возможен доступ лишь из локальной сети мейн офиса А как насчет представителя компани TP-Link TL-ER6120? Ничего не можете подсказать про него? Забыл сказать, веротяно, довольно важное замечание: интернет мы получаем с беспроводноо моста: ISP -> AP NanoSation M5 ->->->в-о-з-д-у-х->->-> Bridge Nanostation M5 -> main office server Вторая сеть так же получает интернет. 0

@jlevistk 239 / 234 / 8 Регистрация: 05.05.2011 Сообщений: 1,553
	12.12.2012, 16:34	8
	Сообщение от R3knit А как насчет представителя компани TP-Link TL-ER6120? Ничего не можете подсказать про него? Никогда с таким девайсом не работал) Сообщение от R3knit Забыл сказать, веротяно, довольно важное замечание: интернет мы получаем с беспроводноо моста: ISP -> AP NanoSation M5 ->->->в-о-з-д-у-х->->-> Bridge Nanostation M5 -> main office server Wi-Fi это конечно плохо.. но сути не меняет) 1