Возникла необходимость в объединении 5-ти филиалов в одну защищенную сеть. В данный момент, в кождом филиале стоит роутер на freeBSD и выполняет однотипные задачи контроля трафика (mysql+trafd+apache), файерволл (ipfw) и файлопомойка на samba. И всё бы хорошо, только вот администрирую сеть филиалов я один, и зачастую, просто нет возможности оперативно добраться из Челябинска к примеру в Миасс или Магнитогорск, если встал вентилятор на роутере, либо роутер тупо перегрелся. Начал посматривать в сторону d-link, ибо оборудование фирмы Cisco меня как то не вдохновило ценами, и ни с тем ни с другим оборудованием практического опыта работы не было (не приходилось сталкиваться).
Роутер будет прибит к потолку (образно), тем самым поможет мне избежать разных человеческих факторов.

Собственно, прошу помощи ввиде совета у знающих людей.

Критерии эффективности оборудования:
1. Гибкий файерволл (возможность настраивать несколько десятков правил, хотя бы..)
2. Организация vpn-сервера (на основном офисе) и возможность подключения к нему (в плане клиента) остальных четырех филиалов. Vpn должен дежать шифрование типа Ipsec.
3. NAT обязательно.
4. (Если есть) Proxy, с авторизацией по IP либо по учетным записям, с ведением лога обращений и сбором статистики по хостам (на будущее).
P/S: Вообще, 80-й порт должен быть жестко перекрыт. Интернет используется только 25/110 (Наверное средствами NAT), 443/5190 - аську тоже через NAT. И собственно один порт для корпоративной СУБД, которая должна бегать через проксю. Почему через проксю? Чтобы реально определить объемо-затраты интернет (в мБ и в руб.) на эту СУБД.

Ну вот собственно и вся задача. Хочу узнать наименование оборудования, подходящего для организации данной инфраструктуры.

Заранее благодарен за ответ, Дмитрий.

В зависимости от отвественности задачи я не падал на домашине решения.
У меня в принципе тоже самое.
Cisco1841 - головной.
и Cisco871 в филиалах. Тем более не забывай, что все маршрутизаторы cisco типа A , а не С Это позволяет вобще очень широко их использовать для нескольких входящих IP. Далее ,Cisco1841 имеет версии аппаратного шифрования которое значительно ускорит подключение и устойчивую работу VPN сессий. Про фаревол и постоянно обновляемы списки атак я уже не говорю.
Надежно просто суупер. Дорого, но цена обусловлена. Легко прикрутили и VoIP.
Даже если ты будешь подбираться к этому уровню оборудования Dlink-ом, вылезешь на те-же деньги. А если не хочешь заниматься изучением командной строки cisco, то ставь Cisco SDM и наслаждайся конфигурацие по web.
А простое решение это DI-804HV в каждой точке и все проблемы связанные с ними. Они как раз описаны ниже.

SergeyBosch

Спасибо за ответ, в темпе блиц по некоторым моментам:

я не падал на домашине решения
Это очепятка, или я просто недогнал?

не хочешь заниматься изучением командной строки cisco..
Да я то хочу, и уверен что это не сложнее тех же правил ipfw или natd. Я просто не сталкивался с аппаратными роутерами ниразу. От того и спрашиваю.

DI-804HV - недостатки: 8 правил (3 из них жесткие), и нет прокси. Это не есть гут.

Подскажи плиз, есть ли какая то принципиальная разница между роутерами DI и DFL и если есть то в чём?

И еще, не сориентируешь по ценам на циски которые ты порекомендовал?

я не падал на домашине решения
Это очепятка, или я просто недогнал?
Это про разные сектора использования Есть SONO а есть Enterprise
И естественно другие возможности.


И еще, не сориентируешь по ценам на циски которые ты порекомендовал?
Давай на мыло, а то подумают что форум совсем не про длинк
sergeybosch@rambler.ru

1. Если необходимо большое количество правил, плюс гибкая настройка, стоит обратить внимание на DFL-210/800/1600/2500
2. На DFL вы можете настроить PPTP/L2TP сервер, для подключения можно использовать стандартный клиент windows. Так же устройство может поднимать IPSec тоннели, так же при необходимости можете настроить L2TP IPSec, но тут выбор или VPN (pptp/l2tp) сервер, либо подключение l2tp ipsec (сервер).
3. Прокси это только программные решения, это устройство не биллинговое, но путем некоторых манипуляций вы сможете добиться появления в логах устройства "кто куда и сколько", только все это привести в читабельный вид уже ваша задача.

SergeyBosch

отписАлся на мыло..

Sergey Vasiliev

Спасибо за ответ. Исходя из Вашей рекомендации я просмотрел все позиции. Остановился на DFL-210 подходит как по возможностям, так и по цене. В качестве основного маршрутизатора в головном офисе можно так же использовать модель DFL-210?

"кто куда и сколько"
Это уже интересно и как я понимаю, модель DFL-210 оснащена той самой системой "некоторых манипуляций"?

Если колличество тоннелей не большое, то можете его поставить и в центр.

вы можете запустить http трафик через ALG включить логирование сработки правила, и получить кто (ip источника) и куда (url сайта) плюс в логе появятся два параметра при закрытии соединения

так же если вы будете "журналировать" остальные правила, вы получите переданную - полученную информацию по другим протоколам как и IP источника и IP назначение, настраиваете получение логов на syslog. Основная проблема свести всю информацию в нужный вид и все подсчитать. Это уже ложится на сторонний или вами написанный софт. Поищите по форуму, тут уже обсуждались подобные решения.

Сколько компьютеров у вас в центральном офисе и в филиалах будут выходить в инет?

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Sergey Vasiliev

Спасибо за ответ.

YuriAM

В центральном офисе 20, но работать с СУБД будет около пяти пользователей, в остальных офисах работать с СУБД будет по одному человеку. Итого, во всех пяти офисах (включая центральный) с СУБД будет работать около 9-ти человек одновременно, т.е выходить в инет будет аккурат енто самое количество.

P/S: Вооще, бывает ли какое то биллинговое решение, реализованное аппаратно? Ведь зачастую, те кто используют unix систему в основном гоняют трафик через squid, а логи обрабатывают sarg'ом. Это конечно читое имхо, ибо знаю кучу людей которые пользуются тем же pf (firewall) для анализа логов, но все равно, большинство крутит sarg. Sarg не удобен тем, что даже если гнать весь инет через squid, он будет считать вместе с инфой отданной из кэша, т.е врать по-любому будет и всегда в бОльшую сторону. Но поскольку он настраивается легко - это его основной плюс. Мне, как человеку крайне ленивому программные биллинговые решения надоели (на местах с малым количеством ПК, и расположенных в разных городах друг от друга), ибо старое "железо", работающее годами без выключения ломается, забивается пылью и перегревается, сгорают узлы питания, обрывают ногами провода и пр. пр. и как следствие, мне приходится туда ехать (а это порядка 150 км. на один город). Прихожу к выводу, что дешевле и проще поставить аппаратный роутер на офис, где численность народу 3-4 человека. Прибить его к потолку, повесить рядом UPS и делу край.

Если 9 человек всего, то, действительно, везде можно ставить DFL-210. Его хватит с большим запасом. При таких количествах в офисах можно из экономии поставить и DI-804, если их пропускной способности по VPN (4-6 МБит) будет достаточно.

Мне тоже такое хотелось бы знать. Из продукции Д-Линк этому в некоторой степени отвечает линейка DSA, но, как мне кажется, биллинг там не слишком богатый и упор сделан на сброс статистики по NetFlow на внешний комп-р для хранения и обработки.

Можно даже и без UPS. Это же не комп, где может слететь операционка из-за внезапного обесточивания. Хотя у меня уже была пара подобных случаев с DFL-210. После выключения из сети или удаленного полного сброса устройства не возвращались к нормальной жизни. Приходилось делать сброс к заводским настройкам через кнопку.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

YuriAM

везде можно ставить DFL-210
Лады. Вот один из ключевых вопросов я решил (с твоей помощью). На этой модельке и застопорюсь, не буду экономить на 804-ом. Спасибо!

биллинг там (DSA) не слишком богатый

А он богатый впринципе то не нужен, главное чтобы выполнял свое типовое предназначение (кто/когда/куда и сколько), и хорошо бы если без больших погрешностей. На остальный фишки лично мне абсолютно сиренево. Кстати, может быть обратиться с этим вопросом к местным (сайтовским) специалистам с шильдиками D-Link'а за прояснением биллинговых возможностей линейки DSA?

С задачей кто/куда/сколько может, как уже написали, справиться и DFL, он может вести подобные логи.
Линейка DSA работает несколько по другому - она может сливать статистику по netflow на сторонний биллинг сервер. Сама железка хранить и обрабатывать эту статистику не может - нету на борту для этого памяти.