Дано: локальная сеть, машины в рабочей группе (не домен), имеется доступ в инет, раздающийся на места. Инет раздавался через WinRoute. Также в локалке есть веб/почтовый-сервер, который должен быть виден извне.
На текущий момент приобрели D-Link DFL-800, планируем завязать 3 офиса (на остальных 2х будет стоять DFL-210) по VPN.
Сейчас столкнулся с проблемой - как обеспечить учет трафика по пользователям, автоматическое их отключение при превышении ежедневного порога, запрет доступа на определенные сайты по определенным критериям. Также требуется получить статистику по трафику по различным периодам. С авторизацией пользователей - особых проблем нет, делается прям в устройстве DFL-800, но вот с остальным проблема.
Поизучав материал, в том числе перерыв весь форум, пришел к выводу, что нужен RADIUS-сервер. Хотя может есть еще какие решения, не уверен. Если есть - прошу сообщить.
Существуют ли решения RADIUS под Windows? (IAS в Win2k/2003-серверах не предлагать - исключено пока).

Устройство не предназначено быть NAS'ом. Это межсетевой экран.
На нём это точно не решишь.
Нужен DSA-3110 и внешний радиус сервер с коротким временем опроса, и NetFlow сервер, который будет собирать статистику от этого устройства. Но опять такие этот доступ производится по PPTP, а не в плоской сети.

м-да..... не очень радостная ситуация покупать еще одно устройство, + к нему настраивать еще 2 сервера: Radius + NetFlow.

Станислав, подскажите, а если попробовать поступить таким образом: ранее у нас стояла машинка с Kerio WinRoute firewall (впрочем и до сих пор еще стоит, пока железку не настроим), весь трафик шел через нее, был учет статистики и т.д., но захотелось "железного" решения по обеспечению безопасности сети и организации VPN. Можно ли вместо 3110, радиуса и netflow использовать только winroute? Таким образом DFL-800 будет выполнять функции firewall'a и держать VPN-каналы. WinRoute же будет рулить пользователями.

и еще: зашел на support.dlink.com.tw для регистрации устройства и скачивания IDS, регистрация не проходит - сайт отвечает, что неверен либо серийник, либо mac-адрес. Проверил десяток раз оба, перепробовал несколько вариантов ввода - ничего не помогает. Не знаете в чем проблема?

Компьютер справится без проблем, всё это можно организовать и на нём, а DFL-800 будет как внешней стеной.
PS: насчёт обновления, нужен серийный номер устройства и его MACи

Отправил Вам в личку эти данные.

Спасибо за ответ. И последний вопрос: верно ли наше решение использовать для завязки остальных 2х офисов по VPN через DFL-210? Они должны общаться в основном с центральным офисом (DFL-800), а также между собой (но в гораздо меньшей степени).
Соединение везде выделенное, 100 мбит.

Тут нужны подробности.
Если использовать соединение точка точка, то общение будет происходить.
Если точка много точек, то возможно общение как с главнм офисом(центром цвезды) и удаленными филиалами через DFL-800, то тут уже важен подбор оборудования, такая схема возможна только с DFLами в филиалах.

По сути, единого центра этой "звезды" не существует. Т.е. точки равноценны между собой и каждая одновременно может и должна общаться с 2мя другими. Центральный офис более многочислен по количеству людей и компов, в филиалах - их раза в 2 меньше. Поэтому я не хотел бы завязывать остальные 2 филиала на общение между собой через центральный офис (DFL-800). К тому же, трафик тоже имеет свою цену.
Задачи в целом в филиалах такие же как на центре: защита локальной сети от несанкционированного доступа, от атак и т.д. , раздача инета каждой машине, учет и ограничение трафика. В филиалах, кстати, тоже будет некий файл-сервер с данными.
Что порекомендуете в такой ситуации?
Заранее благодарю.

Если нагрузка на канал будет небольшая, то можно в филиалы поставить DI-804hv, только производительность IPsec у этого устройства >=5-6Мбит и нет возможность использовать один туннель для подключения к множеству сетей. Для каждой будет нужен свой туннель.
Производительность IPsec у dfl210 25Mbit

В том-то и дело, что скорость прокачки данных нам важна. У нас бизнес связан с цифровыми фотоуслугами и между офисами требуется пересылать порой большие файлы по 200 мб, а порой еще выше, иногда и партии файлов общим объемом до 500 мб. Поэтому чем выше скорость, тем лучше.
DFL-210 позволяет сделать одновременное подключение по нескольким VPN-каналам к разным офисам?

Да, это устройство позволяет поднимать одновременно несколько каналов, а точнее возможна работа одновременно до 100 туннелей.