Здравствуйте, совсем запутался, помогите распутаться.

Есть сеть организации, подключенная в Интернет. На внешнем порту шлюза поднят VPN сервер PPTP с использованием протокола шифрования MPPE 128 и аутентификации MS-CHAP V2. Одиночные windows компьютеры подключаются к этому шлюзу через Интернет без проблем и работают во внутренней сети организации через шифрованый канал.
Теперь стоит задача подключить так же не одиночные компьютеры, а небольшие (~10 компьютеров) удаленные филиалы. Ставить роутером и VPN клиентом в удаленные офисы обычные компьютеры проблематично. Хочется какое нибудь аппаратное устройство.

Вопросов несколько:

1) В некоторых филиалах для подключения к Интернету используется PPTP соединение с провайдером без шифрования. Обычный компьютер запросто позволяет поднять внутри этого соединения ещё одно такое же до шлюза организации, но уже с шифрованием. Можно ли каким-нибудь устройством D-Link поднять последовательно два PPTP соединения? Или придется искать провайдера с предоставлением Интернета через Static IP и поднимать только одно PPTP соединеие уже до шлюза организации?

2) Насколько я понял, недорогие устройства при шифровании трафика используют свой не очень мощный процессор, что сильно снижает скорость передачи данных, а аппаратная поддержка сущетсвует только для IPSec. Есть ли у D-Link устройства, шифрующие PPTP трафик со скоростью хотя бы 50 Мбит/сек?

3) Если два последовательных PPTP поднять невозможно и придется на шлюзе организации поднимать VPN сервер с IPSec, то какие устройства вы бы посоветовали использовать в этом случае? Количество LAN потров абсолютно не важно, т.к. роутеров D-Link с 16-ю LAN портами я не видел, а если всё равно ставить свой свич, то и одного порта достаточно. VPN сервер на этом роутере тоже не важен, т.к. несколько (~10) таких устройств должны самостоятельно подключаться к одному программному VPN серверу, поднятому на шлюзе организации, а значит должны работать в качестве VPN клиентов. Скорость по шифрованному каналу хотелось бы иметь не меньше 50 Мбит/сек.

Вас устроит линейка DFL.

DFL-210 - шифрованный VPN 20-25 МБит/с
DFL-800 - шифрованный VPN вроде 60 МБит/с

шифрование программное, процессором.

ftp://ftp.dlink.ru/pub/FireWall/DFL-210 ... v.1.13.pdf

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Спасибо, обязательно посмотрю всю эту линейку. Я как-то не обратил на неё пристального внимания.
Нда, я думал, что обойдусь более дешевыми устройствами... За те деньги, что стоит DFL-800 можно купить нормальный универсальный системничек стандарта micro ITX, а там Linux и получится более гибкая и быстрая конструкция.
К тому же:А даже у DI-808HV:

В общем "распутаться" пока не получилось...

А если последовательно два роутера включить, например DIR-300?

_________________
В правильно поставленном вопросе содержится половина ответа.
DFL-210 (2.26.00.06) DFL-800 (2.26.00.06)

Юрий, наверное, ошибся по поводу программного шифрования. На борту у DFL-210 процессор IXP422 (266МГц, аппаратная поддержка алгоритмов SHA-1, MD5, DES/3DES, AES), в более старших моделях процессоры думаю те же, только производительнее.

По поводу цен и сравнения с линуксом - зря вы так. Учитывая ограниченность Mini ITX конфигураций, многого вы просто не сделаете на ПК. К тому же, по надежности железка всегда остается железкой.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

У него скорость шифрованного VPN 4-6 МБит/с.

Вас интересует такая скорость на головном канале или также на дочерних? Неужели на всех дочерних скорость канал 100 МБит/с?

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Теоретически это работать должно, а практически... Двойная цена, двойное потребление, двойные настройки, вдвое пониженная надежность, скорость шифрованного канала не та, etc. К тому же, наслушавшись отзывов про линейку DIR, я готов поставить её себе домой, но не готов в свои офисы... Хочется минимум DI.

Спасибо за уточнение, поизучаю этот вопрос. Жаль что нет аппаратной поддержки MPPE 128.

В каком месте например вот эти платы - 1 и 2 "ограниченные"? Первая поддерживает до Intel Core2 Quad, вторая до AMD Phenom X4. Вторая имеет на борту ещё WiFi и RAID 0/1. Ставим в свободный PCI/PCI-E слот вторую сетевушку - вот вам и роутер с портом на 1000 Мбит/с! Добавляем два 2,5" диска в RAID1, Linux и получаем всё в одном. Роутер с 100%-ой настраиваемостью и любыми (правда программными) протоколами сжатия (но тех процессоров на это хватит), точку доступа, NAS с RAID массивом. Ограничение только в фантазии.

Но этот вариант я оставляю на самый крайний случай, пока хочется попробовать найти готовое решение, чтобы возьни было меньше, тут я с вами согласен.

Все филиалы находятся в одном городе, внутри одного провайдера скорость 100 МБит/с. А если провайдеры разные, то практически все они уже вошли в единое пространство, в котором скорость тоже 100 МБит/с и трафик не учитывается. А в центральном офисе мне, как только понадобится, вообще пообещали 1000 МБит/с.

Вадим, какой смысл сравнивать софтовое решение и специализированное аппаратное? Энергозатраты, надежность, доступность специальных конфигураций... Лично мой выбор - аппаратный файрвол для интернета на 3 уровне/VPN и сервер для всего остального.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Да я не спорю, я же написал:Но если это специализированное аппаратное решение вдвое дороже программного с 3-х кратной функциональностью, тут уже начинаешь задумываться... А DFL'ы я поизучаю попристальнее, за эту наводку вам ещё раз спасибо.

В качестве более дешевой альтернативы можно рассмотреть продукты от Routerboard с Mikrotik RouterOS на борту. Например, вот такой -- http://mikc.ru/product.php?id_catalog=2&id_position=17

Учитывая скорости, тут действительно можно всерьез задуматься о варианте рутера на базе PC. Совершенно реально собрать компактный, малошумящий, производительный и недорогой, по сравнению с DFL-800, рутер. А операционная система - линукс или специализированный софтовый рутер. Единственное, энергопотребление у него будет выше.

Согласен.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

А DI-804/808/824, говорите, дает "скорость шифрованного VPN 4-6 МБит/с"? Не больше? Странное какое-то аппаратное ускорение....

Речь о DI-804/808. В FAQ была информация и на форуме было что-то в этом духе.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Это скорость IPSec туннеля между аналогичными устройствами.

_________________
Форум не подразумевает под собой быстрый ответ, хотите быстрый и квалифицированный ответ - звоните в техподдержку компании D-Link 8-800-700-5465

Или если второе устройство более быстрое. Всё равно, для аппаратного ускорителя скрость чрезвычайно мала...

Не годится, передача информации коммерческой организации по открытым каналам связи без шифрования и, возможно, через нескольких провайдеров - непростительная халатность. А если вспомнить ещё и вступающий с 01.01.2010 в полную силу 153 ФЗ...