Форум программистов, компьютерный форум, киберфорум
Наши страницы
Сети и средства коммуникаций
Войти
Регистрация
Восстановить пароль
 
Рейтинг 4.65/26: Рейтинг темы: голосов - 26, средняя оценка - 4.65
Mescalin
14 / 14 / 0
Регистрация: 24.08.2013
Сообщений: 65
1

Объединение офисов посредством VPN туннеля

24.08.2013, 22:06. Просмотров 4896. Ответов 11
Метки нет (Все метки)

Доброго времени суток!
Перелопатил на форуме множество подобных тем, но многие из них совсем не то, а другие дают не все ответы на вопросы, стоящие передо мной. Поэтому обращаюсь к знающим людям за советом.
Итак...
Имеется 9 филиалов и 1 центральный офис. Все это дело располагается в разных городах.
В каждом из филиалов организован некое подобие сервера - на стационарную машину прилетают данные с 4-х кассовых клиентов Rkeeper. Также в каждом из офисов имеется своя локалка и интернет от местного провайдера.
Задача: установить в центральном офисе основной сервер и объединить все филиалы между собой. На этот сервер будут стекаться все данные о работе филиалов: ркипер, 1с, биометрия, есп, црм и так далее.
Как планируется:
- Организовать сервер на базе Win Server 2012, создать домен, Active Directory на всех пользователей (во всех филиалах и офисе их будет с сотню точно)
- Выдать CAL'ы всем, кто при работе обращается непосредственно к серверу (бухгалтера, директора, админы серверов в филиалах)
Установка прочих продуктов, типа 1с, биометрии, црм будет производиться не мной, поэтому этот вопрос не поднимается. Важно лишь, чтобы была единая сеть между 10 точками. И вот тут мне нужен совет...

Арендовать VPN-канал не вариант, т.к. провайдеры разные и слишком дорого.
Поэтому есть 2 варианта:
1) Закупить и установить оборудование для создания VPN по инету.
2) Поднять VPN-сервер на сервере в центральном офисе и коннектить всех к нему, используя Active Directory

По этим пунктам имеется ряд вопросов:
По пункту 1.
- Какое оборудование посоветуете, с учетом общего количества пользователей около 100 и это число будет расти?
- Будет ли работать интернет в каждом из офисов после организации сети и каким образом?

По пункту 2.
- Насколько это вообще реально?
- Какое оборудование подойдет?
- Будет ли работать интернет в каждом из офисов после организации сети и каким образом?

На самом деле вопросов больше и нюансов тоже, но пока интересует сама схема подключения.
P.S. стоит отметить, что тип VPN-подключения пока не выбран. Дело в том, что в разных офисах инет подается провайдерами разными путями- где-то по PPTP, где-то L2TP. Очень важно сохранить инет во всех отделениях.

Ценовой порог не ограничен, однако хотелось бы обойтись "средними" потерями средств.
Буду очень признателен за любую помощь
0
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
24.08.2013, 22:06
Ответы с готовыми решениями:

Создание VPN Туннеля для чайников
Дорогие форумчане, появилась серьезная проблемка. Контора, в которой я работаю...

Объединение офисов по сети
Всем Здрасти) У меня вопрос жизни и смерти) Говорю сразу в этом деле не профи)...

Соединение двух хостов через третий посредством VPN
Доброго времени друзья. Дано: Имеется Win Server 2012 с реальным IP адресом,...

Объединение двух подсетей по VPN (?)
Здравствуйте! Нужна ваша помощь. В общем имеются две локальные сети. У одной...

Объединение локальных сетей через vpn
Начнем с того, что захотелось с другом поиграть в игру по сети, был использован...

11
Warstar
47 / 47 / 1
Регистрация: 29.11.2012
Сообщений: 254
Записей в блоге: 2
24.08.2013, 22:29 2
Mescalin, здравствуйте.
Первое что пришло на мысль - в каждый из отделений подключите еще один канал доступа к Интернет, который будет использоватся только для передачи служебной информации - этим самым Вы не будете зависить от, в отношении администратора сети, имеющегося канала доступа, пики активности которого очень трудно расчитать - кто-то из сотрудников решил что-то скачать, послушать онлайн, фото пересмотреть. Это раз.

Оборудование. Да, собственно, аппаратные методы организации VPN Вам ни к чему. Ваша сеть, даже с учетом развития, прекрасно профункционирует очень долго на программных решениях.
0
Mescalin
14 / 14 / 0
Регистрация: 24.08.2013
Сообщений: 65
24.08.2013, 22:35  [ТС] 3
Цитата Сообщение от Warstar Посмотреть сообщение
Mescalin, здравствуйте.
Первое что пришло на мысль - в каждый из отделений подключите еще один канал доступа к Интернет, который будет использоватся только для передачи служебной информации
Спасибо, что откликнулись
Если я правильно понимаю, подключить второй канал интернета везде и уже по нему организовать VPN? А первый будет непосредственно для целей филиала использоваться?

Оборудование. Да, собственно, аппаратные методы организации VPN Вам ни к чему. Ваша сеть, даже с учетом развития, прекрасно профункционирует очень долго на программных решениях.
Я так понимаю, речь идет о программном решении OpenVPN?
0
Warstar
47 / 47 / 1
Регистрация: 29.11.2012
Сообщений: 254
Записей в блоге: 2
24.08.2013, 23:01 4
Цитата Сообщение от Mescalin Посмотреть сообщение
Я так понимаю, речь идет о программном решении OpenVPN?
В Вашем случае количество программных решений для выполнения задачи ничем не ограничено.

Цитата Сообщение от Mescalin Посмотреть сообщение
Если я правильно понимаю, подключить второй канал интернета везде и уже по нему организовать VPN? А первый будет непосредственно для целей филиала использоваться?
да. Это исключит проблемы с пропускной способностью имеющегося подключения.

Добавлено через 5 минут
посетила мысль существует прекрасная технология Ethernet over IP. Быстро и без проблем разворачивается посредством, соответственно, поддерживающих ее маршрутизаторов. Бюджетным вариантом для Вас станет Mikrotik - недорого, GUI, обычный сетевой инженер "на ура" справится с конфигурацией в филиалах

Добавлено через 5 минут

Не по теме:

обожаю побеждать убеждения своего коллеги, который является поклонником уже порядком надоевшей фразы "Танцы с бубном" - любителем ковыряться 20 часов в сутки над конфигураями каких-либо программных ужасов, в итоге получая криво, на соплях, не поддающееся никакой логике, работающий объект, вместо того, сделать и забыть... Это тот случай :)

0
Mescalin
14 / 14 / 0
Регистрация: 24.08.2013
Сообщений: 65
24.08.2013, 23:20  [ТС] 5
посетила мысль существует прекрасная технология Ethernet over IP. Быстро и без проблем разворачивается посредством, соответственно, поддерживающих ее маршрутизаторов. Бюджетным вариантом для Вас станет Mikrotik - недорого, GUI, обычный сетевой инженер "на ура" справится с конфигурацией в филиалах
Микротик не наш вариант. Прошу прощения, забыл указать важную вещь: со стороны моего начальства вышло распоряжение организовать эту сеть, используя средства только тех компаний, с кем мы сотрудничаем, а это: cisco, microsoft, kaspersky, nod32, gigaset, tp-link и nanostation.
Сейчас по скайпу поступило предложение организовать VPN туннель аппаратными средствами, а именно посредством Cisco ASA5505 в центральном офисе и чем-то по-проще из циски в филиалах.
Цитата из скайпа:

"покупать цисковскую железку типа ASA5505 было бы, пожалуй, оптимальным решением. Но. 5505 "из коробки" идёт с ограниченной лицензией, в которой много чего нет. Желательно докупать лицензию, которая разблокирует полный функционал - это Security Plus, ещё где-то тысяч 17 сверху (сколько конкретно сейчас - не скажу). Документы на циску не терять, железки регистрировать на сайте циски, без выкрутасов - иначе потом просто не сможете получить ключи для разблокировки алгоритмов шифрования. Там есть куча вариантов, но если филиалов мало, а деньги - не вопрос - то проще всего будет повтыкать по циске на филиал. каждому филиалу сделать свою подсеть и на цисках настроить маршрутизацию между ними. те же циски поставить основным шлюзом конторы. они умеют и PPPoE, если что, а лицензия Security Plus позволяет использовать ДВА интернетных канала в режиме отказоустойчивости"

То есть ее, при желании можно поставить в филиалах, подключить им 2 линии и разделить, как Вы предложили выше.
Единственное, что я пока не понимаю в данной схеме - авторизация клиентов сети будет проходить внутри цисок или же запросы будут приходить непосредственно на сервер и он будет их авторизовывать?
0
Warstar
47 / 47 / 1
Регистрация: 29.11.2012
Сообщений: 254
Записей в блоге: 2
24.08.2013, 23:39 6

Не по теме:

Mescalin, я до сих пор удивляюсь, как люди умудряются тыкать девайсы CISCO туда, где они ненадо, и гордо говоря, что у нас стоит "сиська", при этом используя 2% фактического функционала устройства, с взгядом в будущее - лет через 5, возможно, будет использоваться 3% заложенного потенциала...



Цитата Сообщение от Mescalin Посмотреть сообщение
Единственное, что я пока не понимаю в данной схеме - авторизация клиентов сети будет проходить внутри цисок или же запросы будут приходить непосредственно на сервер и он будет их авторизовывать?
внутри цисок
0
Mescalin
14 / 14 / 0
Регистрация: 24.08.2013
Сообщений: 65
24.08.2013, 23:51  [ТС] 7
Цитата Сообщение от Warstar Посмотреть сообщение

Не по теме:

я до сих пор удивляюсь, как люди умудряются тыкать девайсы CISCO туда, где они ненадо, и гордо говоря, что у нас стоит "сиська", при этом используя 2% фактического функционала устройства, с взгядом в будущее - лет через 5, возможно, будет использоваться 3% заложенного потенциала...

Если хотят и платят - пусть хоть заставятся этими цисками. Я тоже считаю, что в данном случае циска будет устанавливаться в основном понта ради, а не функциональности для

внутри цисок
А вот если на сервере AD будет стоять, получается, юзерам нужно будет сначала войти под своим логином и паролем в данном домене, сконфигурированными на сервере заранее, а уже в этой сессии по логину-поролю от VPN-сети подключаться к серверу, так?
0
Mescalin
14 / 14 / 0
Регистрация: 24.08.2013
Сообщений: 65
26.08.2013, 20:54  [ТС] 8
Частично разобрался уже...
Только вот такой вопрос возник:
Допустим на сервере центральном я ставлю ASA5505 (ну или любой другой из этой линейки), что нужно ставить в филиалах? Такие же маршрутизаторы или можно что-то по-проще? Или вообще без разницы?
Если кто знает, прошу помощи Заранее спасибо.
0
Warstar
47 / 47 / 1
Регистрация: 29.11.2012
Сообщений: 254
Записей в блоге: 2
27.08.2013, 09:32 9
Mescalin, Вы можете установить девайсы попроще, главное чтобы была полноценная поддержка той технологии туннелирования, которую Вы будете использовать на циске
0
Mescalin
14 / 14 / 0
Регистрация: 24.08.2013
Сообщений: 65
27.08.2013, 23:22  [ТС] 10
Warstar, с этим уже тоже вроде разобрался. В целом по аппаратному способу все устраивает, кроме цены, конечно же)) Поэтому будем делать два предложения - и по программному способу тоже. А вот тут тоже имеется ряд вопросов...
1) Можно ли (и как) сделать так, чтобы для openvpn использовались логин:пароль из ADDS? Просто на сервере будет Exchange, 3 продукта 1С и несколько продуктов UCS, которые имеют авторизацию через AD, хотелось бы все в единой базе вести.

2) Будут ли влиять на суть первого вопроса CAL'ы? Просто не работал с ними, поэтому вопрос из разряда "а куда это вставлять?".

3) Исходя из всего, что будет установлено на сервере в центральном офисе, стоит ли рисковать и поднимать еще и RRAS и раздавать инет внутри офиса?
Просто заказчик (когда в далеком будущем) планирует наблюдать за трафиком и ограничивать доступ на ряд ресурсов в WWW, а так как в случае с OpenVPN, коммутаторы (скорее всего) будут неуправляемые, проще было бы все сделать на сервере, а контролить через трафик инспектор.
0
HotBeer
Модератор
Эксперт по компьютерным сетямЭксперт HardwareЭксперт Windows
4219 / 2151 / 116
Регистрация: 27.06.2011
Сообщений: 8,607
30.08.2013, 08:55 11
Может чего то не понял,а зачем RRAS, если будет стоять трафик инспектор?
0
Mescalin
14 / 14 / 0
Регистрация: 24.08.2013
Сообщений: 65
03.09.2013, 20:15  [ТС] 12
С трафик инспектором пока все не очень понятно. Точнее заказчик пока не уверен, нужно ли ставить его или нет, или да, но позже... Как всегда, в принципе...
0
03.09.2013, 20:15
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
03.09.2013, 20:15

Объединение двух интернет подключений в одно. Через VPN?
Подскажите пожалуйста, как объединить два интернет подключения в одно. Для...

Объединение двух сетей по vpn. Не видно сети за маршрутизаторами
Добрый, уважаемые форумчане. Я не спец, учусь потихоньку и попробовал...

Соединение Офисов
Помогите разобраться стокой проблеммой как наилучшим образом настроить сеть...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
12
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2018, vBulletin Solutions, Inc.
Рейтинг@Mail.ru