Здравствуйте!

Планирую сетевую инфраструктуру из двух офисов и некоторого количества VPN-клиентов.
На данный момент в голове вырисовывается такая схема:

Задача организовать LAN-to-LAN VPN (IPSEC) между двумя офисами, L2TP (IPSEC) - client VPN, и самое главное, что сейчас вызывает некоторые вопросы - доступ пользователей в Интернет через имеющийся прокси-сервер.

На данный момент имеется один офис с такой инфраструктурой:

На схеме на мой взгляд все изображено достаточно наглядно, а именно:
Имеется несколько VLAN-ов за свитчем, если пользователь хочет в интернет, то обращается к прокси, прокси одним интерфейсом смотрит на свободный порт свитча (192.168.1.100), а другим смотрит на модем, который выступает как NAT-маршрутизатор и файерволл, интерфейс смотрящий на модем имеет адрес (10.0.0.2), порт модема соединенный с прокси имеет адрес (10.0.0.1). Все работает, проброшен VPN, пользователи соединяются и радуются.

Появился второй офис, необходимо объединить их в виртуальную частную сеть, так чтобы ВСЕ службы не имели каких-либо ограничений на свою работу, IPSEC подходит идеально, как подружить два устройства DFL-260e между собой я знаю.

Вопрос0: каким образом нужно сконфигурировать DLINK DIR-120 чтобы пробросить туннель до DFL-260e стоящий в головном офисе?
Вопрос1: как запустить VPN-трафик из удаленного офиса так, чтобы пользователь авторизовался на прокси и выходил в интернет через канал связи головного офиса?
Вопрос2: как сконфигурировать DFL-260e, ведь он смотрит одним концом на свитч в подсеть (192.168.х.х), а другим в подсеть c DLINK DIR-120 (10.0.х.х)?
Вопрос3: Как вы считаете, та схема что я представил в голове оптимальна или ее можно качественно улучшить\упростить, исходя из того, что клиентов много и от прокси избавляться никак нельзя.

Спасибо.

вверх

Уважаемые пользователи, вопросы копятся, подскажите умеет ли DLINK DIR-120 через NAT пропускать IPSEC ? Это третий вопрос в моем первом посте, очень уж важно.

Зачем вообще оставлять в схеме DIR-120? Думаю, его надо ликвидировать. DFL-260E прекрасно справится без него.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Да, он там абсолютно не нужен.

По поводу вопроса 1 - запретить правилами клиентам удаленного оффиса ходить в интернет. И разрешить доступ только к прокси. Клиентам основной сети - тоже самое.

_________________
D-Link DFL-860E (2.30.01.06)
D-Link DGS-3612G
D-Link DGS-3200-10
D-Link DES-1228
D-Link DES-1200-28

>Вопрос0: каким образом нужно сконфигурировать DLINK DIR-120 чтобы пробросить туннель до DFL-260e стоящий в головном офисе?
Присоединяюсь. Он вам не нужен, если это не именно кабельный (коаксиальный) модем
В последнем случае - переводите его в прозрачный режим иначе будете иметь много гемора т.к. NAT для IPsec это возможная проблема, хотя можно пробовать NAT-T

>Вопрос1: как запустить VPN-трафик из удаленного офиса так, чтобы пользователь авторизовался на прокси и выходил в интернет через канал связи головного офиса?
Если у вас прозрачный прокси, то делается PBR, например, заворачивание трафика из LAN в IPsec
В таком случае надо ACL у IPsec со стороны главного офиса выставить all-nets
При необходимости, можно сделать резервирование
Если у вас явный прокси (об этом ниже), то достаточно зарезать интернет в филиале и прописывать прокси на клиентах. Изменений ACL не надо

>Вопрос2: как сконфигурировать DFL-260e, ведь он смотрит одним концом на свитч в подсеть (192.168.х.х), а другим в подсеть c DLINK DIR-120 (10.0.х.х)?
Убирайте DIR

>Вопрос3: Как вы считаете, та схема что я представил в голове оптимальна или ее можно качественно улучшить\упростить, исходя из того, что клиентов много и от прокси избавляться никак нельзя.
Прокси прозрачный или явный?
В случае прозрачного я бы советовал вам вывести его в отдельный VLAN, чтобы при его падении можно было трафик напрямую завернуть
В случае непрозрачного - нет смысла выставлять его за DFL, в этом случае по необходимости можно всем зарезать доступ в интернет кроме прокси
Касательно девайса в свете многих клиентов - посмотрите на DFL-860E

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Озвучьте где сколько клиентов.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Расскажите пожалуйста по подробнее про прозрачный режим. Я прочитал вчера в FAQ, что девайсы поддерживающие VPN (DIR-120 умеет VPN) могут понимать такую схему: http://www.dlink.ru/ru/faq/92/511.html

Однако я бы с удовольствием ликвидировал DIR-120 по вашему совету.



Я задумался и практически решился убрать DIR-120, вопрос в том, куда я теперь подключу прокси-сервер, очевидно, что на свободный порт DFL-260e установленного в головном офисе? Таким образом на границе WAN и LAN вместо DIR-120 у меня встает DFL-260e, который смотрит в Интернет и видит туннель с удаленным офисным DFL-260e без посредников в виде дополнительных NAT-устройств? Все правильно?



Прокси явный.



Да, я вас понял, ставлю прокси за DFL и подключаю его на свободный порт межсетевого экрана.



Железо у меня уже в наличии - два DFL-260e.

В удаленном офисе (УО) 10+ клиентов, для них IPSEC VPN.
Есть мобильные клиенты 5+, для них IPSEC L2TP VPN.
В головном офисе 30+ клиентов в 4-ех VLAN, для них нужен прокси-сервер чтобы ходить в Интернет, а так же IPSEC VPN для связи с УО.

Прошу поподробнее описать схему с выводом DIR-120 из моего плана. Особенно в части прокси-сервера. Интересуюсь таким вопросом, что у прокси в старой схеме (моей) имелось два сетевых интерфейс (10.0.x.x - на маршрутизатор DIR-120 и 192.168.x.x - на свитч).

Теперь я убираю DIR-120, на границу выставляю DFL-260e, прокси-сервер подключаю на свободный порт DFL-260e одним сетевым интерфейсом. Так же от DFL-260e идет еще один кабель на свитч, чтобы видеть VLAN'ы. Что делать со вторым интерфейсом прокси-сервера? Завести его на свитч? Но зачем, ведь связь будет через коммутатор встроенный в DFL-260e, с другой стороны как будет работать прокси если интерфейс один, а свободный я вообще отключу? Новая схема: . Разъясните пожалуйста, где я начал тормозить. Спасибо!

прокси вторым интерфейсом в локальную сеть. С прежним адресом. И клиенты с ним будут работать по-прежнему. А внешний интерфейс прокси будет в отдельной сети на отдельном порту DFL.

Только не совсем ясна степень необходимости работы с инетом юзеров из удаленной сети через прокси. Это будет дополнительно грузить инет канал основного офиса. И создавать доп. задержку для удаленных юзеров.

Причем любой юзер удаленного офиса будет грузить инет в 2 раза больше по сравнению с аналогичным локальным юзером. Поскольку все его пакеты будут ходить в обоих направлениях через канал основного офиса.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Зачем такие извращения? Можно прокси с 1м интерфейсом оставить и воткнуть в LAN. На DFL-ке разрешить ходить в инет только прокси, а остальным прописать явно прокси сервер.

Для удаленных клиентов не вижу не обходимости ходить через прокси. Вы будете очень сильно грузить канал основного оффиса. Траффик удаленных клиентов * 2 + траффик основных клиентов.
Т.е. при канали в 10Мбит/с, скорость интернета у Вас будет не больше 5Мбит/с.

_________________
D-Link DFL-860E (2.30.01.06)
D-Link DGS-3612G
D-Link DGS-3200-10
D-Link DES-1228
D-Link DES-1200-28

Схема включения прокси зависит от используемого софта
К примеру, KWF обязательно надо 2 сетевые карты, но бонусом его можно перевести в прозрачный режим
С другой стороны, squid прекрасно работает и с одной сетевой, ему по барабану

Касательно имеющегося в наличии 260Е для главного офиса - кроме двойной нагрузки на канал, у вас будет и большая нагрузка на центральное устройство

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Используется "специфическое" программное обеспечение (коленописное), которому необходимо использовать два сетевых интерфейса и к сожалению никак иначе.



Насчет нагрузки на сеть - все понятно, я учитывал двойной расход трафика и нагрузку, но к сожалению в текущих условиях придется поступить именно так, но этот вопрос временно уходит на второй план. А на первый план выходит написанное ниже.

Значит на интерфейсе смотрящем на свитч я оставляю ранее назначенный 192.168.1.100, это понятно. Настройки клиентов соответственно остаются неизменными, что замечательно.

Теперь вопрос про внешний интерфейс прокси смотрящий на DFL.
Как я понимаю, то для каждого порта DFL-260e я могу назначить индивидуальную метрику, для порта смотрящего на свитч - 192.168.1.254, а для порта смотрящего на прокси - 10.0.0.1 (например), далее через настройку маршрутизации пропускаю трафик из 192.168.х.х через сеть 10.0.х.х в Интернет? Я правильно мыслю? Спасибо.

Схема вырисовывается следующая:

Все верно?

Да. Все так, кроме терминологии. Для любого LAN порта DFL-260E можно назначить не метрику, а вывести его в отдельный VLAN и прописать отдельную сеть, доступ к которой будет четко регламентироваться правилами DFL.
,

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Поддерживаю с VLAN
Прокси одним интерфейсом в LAN, другим в VLAN
Трафик LAN -> WAN вообще запретите, оставьте только proxy_VLAN -> WAN (тоже NAT)

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc