на W2K3 ви ХР врядли получится грамотно IPSEC пробросить, во-первых геморно (очень непросто полиси писать да и понимать нужно о чем идет речь на серваках да и проблемы есть с майкрософтовой реализацией айписека) второе - производительность и надежность - на аппаратных средствах она несоизмеримо выше я уже не говорю о энергопотреблении и занимаемом месте плюс надежности почему-то эти факторы вечно на третьих ролях.

В описании задачи Вы указывали невысокую стоимость + маштабируемость.
Все это прямо указывает на компы.
Я лишь пытался развеять Ваши заблуждения относительно необходимости использования VPN подключений на клиентском оборудовании при использовании "нехардварного" маршрутизатора.

Я имею ввиду это заблуждение:
"Верна, если смотреть с этой тз, то разницы нет. А с точки зрения маршрутизации есть ... если мы будем использовать ПК, то будет 2 интерфейса ... а если через модем (например 804HV), то выходит 1 интерфейс, как раз то, что надо."

altctrldel

Хорошо. поизучал 804HV, вроде подходит. У нас он стоит 1780р. плюсы по сравнению с ПК:
1. намного дешевле.
2. на несколько порядков меньше места занимает.
3. меньше энергопотребления.

минусы:
1. гибкость.


Спасибо, я это ценю, но для нас ПК - это не вариант.


т.е. это не так?

[off]
1780 рублей - это целый пентиум-4(старый, но пентиум4) с мат.платой, памятью, блоком питания, кучкой сетевых карт и линуксом грузящимся в рамдрайв с внешнего накопителя. можно сделать чудовищно(избыточно) производительный роутер.
[/off]

Если сервер будет принимать клиентские подключения - так.
Если поднимешь VPN туннель между разными сетяти - нет.
Впрочем - с аппаратным будет абсолютно то-же самое (зависит от режима работы а не от железа). На сцылке все в картинках нарисовано.

Здесь только одна принципиальная разница - масштабируемость.
Если, например, захочется расширить внешний канал за счет второго соединения - сетевая карта обойдется в 100р. А в случае аппаратного решения - хз. Вплоть до замены оборудования.

eshield
Я Вам подсказал вполне нормальное, провереное и сверхюбюджетное решение. Более того - оно перспективно, маштабируемо и справится с Вашими нагрузками. Но если это неприменимо по каким-либо причинам, то с точки зрения использования хардварного решения DLink есть несколько реалий, с которыми Вам придется мирится.

1. Усли у вас будет большая нагрузка - то использование любых видов VPN создат приличные проблемы в быстродействии. Будьте к этому готовы.

2. В основном вопросе у Вас указано "распределеная сеть" и "сервер-клиент-клиент" или "сервер-сервре-сервре". Как это понимать - сеть будет с центральным узлом или децентрализирована? Будет одна точка маршрутизации между сетями или несколько (кольцо) ? Маршрутизацию Вы полагаете возложить на устройства DLink?

3. Как я понял - у вас будет динамический IP. Это накладывает опреденные требования на организацию VPN-канала. Одно дело - это реальный динамический IP и совсем другое дело - за NAT. И в любом случае, т.к. это выход в Интернет через какого-то провайдера, то должно быть разрешно прохождение пакетов VPN через оборудование провайдера. (IPSec Pass-Through)


В любом случае реальный IP нужен где-то - тогда другие роутеры могут поднимать канал через Agressiv Mode. Без условия наличия хотя бы одного реального IP я не могу сходу предложить другое решение.


По поводу 804:
Этот аппарат хороший, но, на мой взгляд, он имеет четкую направленность - обеспечить сетевую инфраструктуру небольшого офиса и средства подключения/администрирования. Отсюда весь его функционал. Предельные нагрузки, невменяемый роутинг для PPTP-Servera (только одна удаленная сеть) не могут говорить о его высоком качестве под такие задачи.

Про роутинг IPSec я ничего сказать не могу, т.к. все задачи у меня ограничивались связкой локальных сетей небольшого размера. Но VPN для терминальных решений нормально работает, даже более чем. Вообще для решения задач офисного уровня - это самое оптимальное (ИМХО) решение. Из семейства 804/808/824 у меня есть опыт с почти дестяком работающих офисов разных фирм. Но вот IPSec поверх PPPoE никогда не использовал...

Я бы рекомендовал DFL. И то не сильно уверен, что даже эти устройства полностью удовлетворят требованиям - но они наверняка не будут узким местом в такой конфигурации. Бюджет у них не такой большой... Какое устройство точно подойдет - надо смотреть еще конкретней.

P.S. Потрудитесь ставить задачи в общепринятой терминологии и с полной информацией. Но можете дальше слушать только то, что считаете нужным.

Sergei Kalinin
Спасибо за ответ =) IP будут все белые, никаких натов. Сеть будет централизованной, т.е. как мининмум 1 сервер будет.


А в теории это возможно?


Не вопрос, а какая она, терминология эта? Каждому своё, кто-то красиво говорит и делает одно, а кто-то другое. Я поставил задачу как смог. Мне показалось, что она достаточно подробная.

altctrldel
Просто я заметил, когда подключаешься через впн, то инет затыкается и начинает лезть через впн + есть софт (сервер), который впритык не хочеть видеть 2 сетевых интерфейса (тут дело не в его настройках, а кривости рук горе-разработчиков), т.е. когда 1 фейс всё ок, а когда 2 фейса ... все сервак видят, но не могут к нему подключиться. Вот такая вот петрушка.

Вы все-таки на сцылку посмотрите.
Там у компов 1 интерфейс. Клиенты VPN соединения не устанавливают.
Там нарисована ситуация, в которой комп. (сервер) заменяет аппаратный маршрутизатор. И работает точно так-же. И клиенты работают точно так-же.
И даже под виндой (и по-русски) все работает.