Возникла такая задача, на мой взгляд сложноватая (как для меня - так да, потому как почти ни с каким оборудованием вживую не сталкивался).
Дано:
1. локальная городская сетка (Ethernet), в ней 20+ "наших" клиентов и несколько сот "чужих";
2. у одного из клиентов есть АДСЛ - интернет.
Необходимо:
1. отсечь "чужих" клиентов по МАС-адресам;
2. зашифровать траффик, дабы не крали логины/пароли, не читали АСЬку и т. п. иными словами поднять VPN сервер;
3. добавить резервные каналы (3G и, возможно, GPRS);
4. прикрутить собственный FTP сервер;
5. Необходим шейпер, дабы кто-нить один не забрал под себя весь, или почти весь канал.
************
По длительному рассуждению возникли мысли и, естественно, вопросы. Постараюсь сформулировать кратко и понятно и надеюсь на Ваши комментарии и рекомендации.
1. Отшить "левых людишек" по МАС-адресам проще простого при помощи шлюза а-ля DIR-100 или DIR-120 и здесь возникает вопрос №1 позволит ли DIR-120 создать FTP сервер (с родной, или альтернативной прошивками) (насчет ненадежности такого отсеивания... для "первой волны" кул-хацкеров местного разлива хватит и этого);
2. VPN... сразу же возник вопрос №2 маршрутизаторы серии DI-8xxx умеют принимать входящие только на WAN интерфейсе, или и на LAN тоже? ...
если LAN интерфейс умеет принимать VPN то автоматически отпадает необходимость в узле на DIR-100/120, но сам-собой напрашивается вопрос №3 если мы используем машрутизатор DI-804HV или DI-808HV то можно ли подключить уже на его уровне резервный GPRS модем так, чтобы при пропадании "интернета" на WAN-Ethernet интерфейсе VPN клиенты из локальной сети переключались на резервный канал? если же подключение VPN клиентов возможно только на WAN интерфейсе, то вопрос №3.1 смогут ли они впоследствии пользоваться RS-232 модемом (GPRS) для выхода в интернет?
вопрос №3.2 если прикрутить маршрутизатор DI-824VUP+ вместо DI-804(8)HV то можно ли на базе имеющегося в нем порта USB поднять еще один резервный канал модем 3G (другая прошивка, или просто установить прогу FTP сервера) ну и естественно воспользоваться в ним резервным каналом на RS-232
3. Резервный 3G... если нет возможности поднять его на DI-8xx то вариант на DIR-320 меня вполне устраивает;
4. FTP можно в принципе поднять на еще одном DIR-320, если нет FTPшных прошивок под DIR-120;
5. А вот по поводу шейпера - никаких мыслей - в *NIX системах у меня полный пробой, читал, что на DIR-320 на его 4 Мб флеши можно сохранить дополнительные програмы, на это одна надежда.
Буду признателен за любые размышления по данной теме.
PS брать оборудование на проверку методом тыка - нет возможности, все буду делать для друзей за свой счет, а мой счет далеко не в банке
Спасибо.

_________________
рожденный ползать построил самолет

с утра перечитал свое собственное сообщение и решил для наглядности добавить графику (извините, если не правильно сделано... чем богаты)

или

во втором варианте вместо DIR-120 возможно установить DIR-320 (если возможно)

_________________
рожденный ползать построил самолет

Это скорее к вопросу по маршрутизаторам.Вам ответит Сергей Васильев

необходимо создать новую тему, или переместите?

_________________
рожденный ползать построил самолет

Встречные вопросы:
- Какова организация вашей городской сетки (способ выдачи IP, привязка, маска и т.п.) ?
телепатия вещь хорошая, но редкая
- Каков бюджет в который вы хотите уложиться?

Всю эту кучу коробочек заменит один DFL + NAS + модем с Lan-портом
при этом будет ОЧЕНЬ высокий уровень безопасности и минимум головной боли в обслуживании

Что касаемо "метода тыка" - http://www.dlink.ru/ru/arts/9.html

ага. Про телепатию я и сам люблю всем говорить, телепатия в данном случае не нужна. Нужно всего лишь знать - позволяют ли маршрутизаторы DIR-8xx принимать входящие VPN подключения на LAN интерфейсах.
Поясню: Бюджет=0, так-как буду делать для своих друзей за собственный счет.
Сеть в убогом состоянии: 5 DHCP серверов на маршрутизаторах TP-Link "от балды" раздающих ай-пи адреса класса С, потом люди коннектятся на несколько серверов с Траффик-инспектором и получает убогий доступ к интернет;
отсюда и возникло решение:
1. отрезать "левые" МАС адреса;
2. со "своих" МАС адресов установить VPN или PPPoE соединение с маршрутизатором, за которым собственно и находится "модем с Lan-портом" (DSL-2500U) и таким образом раздать людям интернет. Шейпер необходим исключительно вследствии неграмотности конечных абонентов, дабы они не съедали трекерами весь траффик.
*****
Выкладки по прочтению форумов таковы:
1. МАС-и режем или при помощи DIR-100 или при помощи DIR-120 (если он допускает подключение по USB HDD) FTP сервер не принципиален, но лучше, чем просто расшарить данные.
2. Ежели DIR-330 или DIR-824VUP+ позволяет:
а. устанавливать соединения VPN на локальном порту
b. подключать внешние USB HDD
и кто-то из тех поддержки В-Link подтвердит это то вопрос автоматически снимается.

_________________
рожденный ползать построил самолет

В DIR-8хх нет PPTP сервера.

1.У него недстаточно таблицы МАС для ваших целей.
2. см. выше.

*********
1.Нет не сможете.
2 а. не позволяют. b. не позволяют.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

спасибо!

_________________
рожденный ползать построил самолет