Суть проблемы:
В центральном офисе есть терминальный сервер, на нем к примеру 1С.
Есть 8 удаленных офисов (в каждом по нескольку ПК). Провайдеры могут быть разные - локалка прова отпадает. В некоторых офисах инет идет по ADSL
Вопросы:
1. Как организовать доступ к ТС центрального офиса? (доступ к сети Ц.О. не нужен)
2. Требуется ли статический адрес в удаленном офисе? (провайдер предоставляет доступ в инет по VPN и динамический адрес)
3. Требуется ли статический адрес в центральном офисе? (провайдер предоставляет доступ в инет по VPN и динамический адрес)
4. Какое "железо" потребуется?

В идеале - DFL-800/1600 (в зависимости от размера офиса, ширины канала) в центр и DFL-210 на выносы. При помощи DynDNS можно настроить VPN и без статических адресов, но хотя они конечно желательны. В зависимости от критичности данных/бизнеса вы можете использовать IPsec или ограничиться РРТР.

В не идеале - вы можете выставить наружу порт 3389 в центре и все будут подключаться к нему. Для более-менее безопасности вам лучше будет открыть доступ только по разрешенным адресам/сетям, хотя - это не лучшее решение (по безопасности). Выбор оборудования в центр и филиалы - за вами.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Где желательна статика? В ЦО? в Удаленных?
DI-80x почему не подойдет?

Более критична статика конечно в центре. Но вообще для IPsec конечно статика желательна (но не обязательна) везде.

DI - это все-таки игрушки. К тому же, опыта больше сложилось по DFL.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Ох и небюджетно выходит...

зато поставил и забыл

А вот это : D-Link <DIR-130> Broadband VPN Router (8UTP 10/100Mbps, 1WAN)
тоже из разряда игрушек?

Решение "все на DFL", как вам уже сказали, из разряда самых функциональных и надежных.

Если Вы непременно хотите съэкономить, то поставьте в центр DFL-210, а в дочерние офисы DI-804/808VH. Это тоже достаточно распространенный вариант решения вашей задачи. Однако, офисы не смогут видеть друг друга. Если вам это не важно, то вперед!

Часто в филиалах используют именно DI-804/808VH, но подойдет и что-то из серии DIR для поднятия канала IPSec.

И было бы не лишним уточнить скорости всех каналов и кол-во компов в офисах.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Да, я забыл что все вокруг не телепаты
Мне не требуется, чтобы филиалы видели друг друга
Только доступ к ЦО.
Насчет ширины канала - прошу консультации, какие желательны (только "терминалка", другое под запрет)?
В удаленных офисах - по от 2 до 7 машин
В ЦО - около 15 машин

Пожалуйста, уточните, при условии, что в одном из удаленных может быть ADSL, как решить проблему в этом случае?

По ощущениям, 2 МБита/с достаточно для комфортной работы одного клиента по RDP. 512 кбит/с - терпимо.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

чет много... при 30 пользователях надо 15 мбит минимум???

Нененене

2 мбита достаточно для работы как минимум 10-15 RDP клиентов 1024х768. Вообще - комфортность зависит от многих факторов, как то локальные ресурсы, принтеры, качество графики и прочее. Так что оптимизируйте параметры подключения, запрещайте картинки и видео в терминале, режьте глубину цвета до достаточного минимума и все будет хорошо.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Вот и я так подумал
А что насчет ADSL?
Можно организовать такую схему: инет заходит в adsl-роутер, оттуда "шланг" в dir-130, в котором поднимается vpn-туннель, далее уже в локалку?

WAN -> ADSL (lan-net -192.168.1.0/24) <-> Di-804 (wan-net 192.168.1.0/24) \ lan-net (172.16.1.0/24)
VPN из 172.16.1.0\24 в ЦО.
(при условии что ASDL модем поддерживает IPSec pass-through).

Или если ещё не куплен ASDl модем, то сразу взять : http://dlink.ru/ru/products/3/559_b.html
но ничего сказать про него не могу.

спасибо всем!
сегодня получил ответ из длинка: dfl-210 в цо, dir-130 или di-804hv в уо

мнения совпали:)
эт хорошо