Всем здравствуйте.

Понимаю, что в форуме производителя немного некорректно такое спрашивать, но информации о сравнении устройств крайне мало.

Задача: соединить центральный филиал (40 ПК, SQL-сервер, mail-сервер, Squid для выхода всей компании вместе с филиалами в Internet централизовано) и 7 раскиданных по городу филиалов (10-15 ПК, свои сетевые накопители в качестве файловых серверов) через шифрованный VPN.
На сегодня это сделано через ADSL модемы (VPN организует провайдер). На филиалах Annex A/B, в центральном филиале Annex M (скорость отдачи до 3.5 Mbit/s). Скорости не хватает. Хочется 20-30-40-50...

Новый провайдер даёт между филиалами 100 Mbit/s, но за VPN просит нереальные деньги. Хочу сделать VPN сам.

В качестве железяк для этого присмотрел следующее:
1) В центре D-Link DFL-860E, на филиалах D-Link DFL-260E (смотрел ещё на D-Link DSR-1000N, но, почитав этот форум, отказался)
2) В центре ZyXEL ZyWall USG 100 (или даже 300), на филиалах ZyXEL ZyWall USG 20W (или 20)

Помогите определиться с выбором.
Ну, или убедительно похвалите решение от D-Link.

Не имею большого опыта с ZyWAll, но большой с DFL. Опираясь на это, на характеристики и цены продуктов, на отзывы третьих лиц, считаю что DFL строго лучше. В плане функционала, цены. Поэтому рекомендовал бы DFL.

С другой стороны характеристики ZyWall'ов выглядят вполне симпатично.

Для себя лично бы, если бы фактор цены был важен, не в ущерб функционалу и надежности, выбирал бы между DFL и MikroTik.

Однако, если провайдер дает значения близкие к 100 МБит/с и вы будете строить шифрованные каналы на DFL, то потеря в скорости может быть важна для вас. В таком случае можно было бы рассматривать модели постарше.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Щупал ZyWall, у DFL функционал немного богаче. Решающим фактором для меня выступило отсутствие PPTP-сервера в ZyWall (нужен для реализации моей схемы, т.к. на некоторых филиалах роутеры не поддерживают IPSec).

_________________
D-Link DFL-860E (2.30.01.06)
D-Link DGS-3612G
D-Link DGS-3200-10
D-Link DES-1228
D-Link DES-1200-28

Я не уверен, сможет ли ZyXEL "переварить" IPsec с ACL all-nets. DFL может.
Красиво выглядит функция аппаратного резервирования, но на практике не факт что это работает хорошо.
На DFL можно сделать прозрачный прокси.

100 мегабит шифрованного канала даже 860Е вам не даст (надо 1600 или 1660), от 860Е вы получите 60 мбит/с, от 260Е - 45 мбит/сек (в соответствии со спецификациями).

Насчет антивируса ("двух антивирусов на выбор") хочу вам сказать что они малоэффективны ввиду сигнатурности. Эвристический антивирус на прокси сервере будет гораздо более эффективен.

По опыту скажу - DFL проверенные и надежные устройства, бесперебойно используемые в ваших же конфигурациях

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Спасибо всем за оперативные отзывы.

Ввиду непонятных сложностей с поставками ZyWall'ов уже почти склонился в пользу DFL, но таки решил узнать мнение опытного сообщества.

В ZyWall'ах привлекала чуть более высокая заявленная скорость (20W vs 260E); заявленная возможность резервирования WAN через 3G USB модем; наличие WiFi на борту, что позволило бы отказаться от отдельной коробки - точки доступа (первоначально рассматривал DSR-1000N, но, почитав этот форум, отверг - сырая прошивка); по отзывам, чуть более удобный и более логичный интерфейс настройки и мониторинга и ещё кое что по мелочам.

Понимаю, что в центральном филиале, куда у меня сойдутся 7 VPN'ов от удалённых филиалов (все филиалы в сети одного провайдера, где обещаются негарантированные 100 Mbit/s), быстродействия 860E не хватит, но 1660, а тем более 2560, не проходит по бюджету... Если, насколько я понял, по производительности и цене (~20тыр) DFL-860E примерно эквивалентен ZyWall USG 100, то следующая модель от ZyXEL (ZyWall USG 300) стоит ~50тыр, а от D-Link (DFL-1660) ~вдвое дороже... 50тыр я ещё потяну, а 100 уже многовато...

Есть, правда, ещё один вариант: вообще не брать в центральный офис аппаратную железяку (или взять на крайний случай), а поднять VPN сервер на уже имеющемся в этом месте шлюзовом SLES 11 сервере достаточной мощности. Правда ещё ни разу не скрещивал SLES ни с ZyWall'ами, ни с DFL'ами (только POPTOP с виндовыми PPTP клиентами). Как думаете, можно/сложно/разумно такое сделать?

IPsec штука хоть местами и специфичная, но достаточно стандартная. Глобальных проблем не должно быть.
3G и wifi в DFL нет и не планируется, но все можно реализовать дополнительными недорогими устройствами, полюбому будет более гибко.

Если нужно больше VPN производительности, то можно сделать "финт ушами" - при наличии дополнительных IP адресов, поставьте еще один DFL и пустите через него половину IPsec. Дополнительный DFL должен быть включен в основной (чтобы шлюз был единым) - маршрутизация у DFL много быстрее чем VPN.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

О, ещё вопрос: У меня в некоторых филиалах провайдер даёт сразу белый IP, а в некоторых надо сначала поднять PPTP VPN до его сервера. Т.е. в первом случае я сразу буду подключать IPSec с 260E до 860E, а во втором 260-ка должна будет предварительно поднять PPTP VPN до сервера провайдера, и только потом IPSec до 860-ки. С такой схемой у меня проблем не будет?

Никаких.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

2 danilovav:
"Если нужно больше VPN производительности, то можно сделать "финт ушами" - при наличии дополнительных IP адресов, поставьте еще один DFL и пустите через него половину IPsec. Дополнительный DFL должен быть включен в основной (чтобы шлюз был единым) - маршрутизация у DFL много быстрее чем VPN."

А как это?

Данилов. тут уже больше пол года нету
При встречи передам

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку