Close Topic Options

Можно конечно. Но технически скорее всего сложнее будет чем поднять туннель между файерволами, да и преимуществ у site-to-site больше.

1. Керио скорее всего делает НАТ, у контроллеров адреса по польшей части "левые". Значит надо конфигурировать стену для port-redirection и т.п, чтобы трафик между впн-нодами проходил на non-routable IP.
2. Насколько я помню, L2TP VPN не работает за НАТ-ом. Значит остается PPTP - сегодня это уже вчерашний день, MS не рекоммендует его использование.
3. VPN traversal - нужно чтобы существующая стена пропускала ВПН трафик от нода к ноду. Керио вроде это поддерживает, но надо проверить.

Надо заметить, что как в случае ВПН между стенками, так и между контроллерами доменов, ВПН строится один и тот же - MS RRAS.

Еще в случае site-to-site тунелем могут пользоваться все хосты в обеих сетях, не требуя изменения существующей маршрутизации.

Connecting Networks over the Internet with a Gateway to Gateway VPN

Да, делает. А может и не делает. А какая разница? Не Kerio, так Symantec, не он, так еще кто-то (или что-то), но само-собой разумеется, что железяка решает все проблемы намного лучше. И, кстати, по деньгам тоже еще спорный вопрос. Если софт не ворованный, то тоже... Тот же Symantec VPN Enterprise и им подобные. Значит бесплатно и если нет железки только М$. А Kerio... ну что... да несерьезно это как-то... (ИМХО) Что касаемо М$, то работает (на удивление!) просто чудесно, а в 2003 еще лучше. И ничего не надо покупать.

This post has been edited by retro on 12-05-2004, 22:09

А я и предлагаю MS, хоть мне лично это и противно. ISA ставится на обычный сервер 2000 или 2003, для ВПН-а использует штатный виндовский механизм. Но вдобавок, еще и служит файерволом.

В интернет человек выходит через Керио, у того с одной стороны интернет-девайс, а с другой - локальная сеть, в которой сидит домейн контроллер. Вместо того чтобы строить ВПН между контроллерами и пропускать его через Керио, лучше делать терминацию на файерволе, он же VPN Gateway, он же ISA server - разрабатывает его майкрософтовское отделение в Хайфе. Кстати, сейчас бесплатно дают бета-версию ISA-2004.

ISA Server Home Page

Ну кроме самой винды. А MS-Сервер далеко не бесплатный.

Ну да, правильно. Но он-то уже сервер купил! Как же он домен поднимет иначе? Стало быть, деньги уже заплачены и их надо использовать на всю катушку. С другой стороны, лично у меня масса примеров, когда люди покупали сервер только для того, чтобы связать несколько офисов, и только - без всякой надобности в домене.  
heineken man

Что ты имел ввиду? Чего-то я не совсем понял...

Идея в том, чтобы заменить Керио на ISA. Оба файерволы, но ISA еще и VPN Gateway. Таким образом, туннель существует между двумя файерволами, а все кто за ними - общаются друг с другом через ВПН. Т.н. Site-to-Site.

В ссылке, которую я привел все довольно подробно описано. За одним приятным исключением - PKI (CA Authority) можно не поднимать, L2TP/IPSec VPN может работать с pre-shared secret.

heineken man
Ознакомился с твоей ссылкой, спасибо. Действительно, очень подробно. Что сразу не понравилось (правда, ознакомился я довольно поверхностно, абсолютно не вникал в детали, так что чего-то, возможно, и не просек) - установку кучу дополнительных сервисов, как, например IIS, Wins, и пр.
Мне кажется, что это здорово усложняет настройку...

Почему?

Я ведь писал уже почему - из-за требуемой переконфигурации Керио и дополнительных преимуществ соединения сетей а не серверов. Потом, если поднять тунель между файерволами, то не нужно делать вообче никаких изменений внутри каждой сети - весь трафик (как интернетный так и ВПН-ный) и так проходит через файервол.

Насчет конфигурации - IIS нужен только для CA, а если использовать pre-shared то его ставить не надо. Кажется, стенку можно вообще в домейн не ставить.

По моему, если платить - то надо ставить железо, если нет - то ISA.

разговаривал с москвой - обещали дать железку

что просить?

Лаборант:
1. Сколько юзеров внутри каждой сети.
2. Как сети выходят в интернет (АДСЛ, сетевой кабель в стену помещения и т.д) - это определяет нужна ли поддержка ПППоЕ/ППТП.
3. Сколько законных адресов имеется.
4. Нужны ли ДМЗ - например почтовый сервер или Веб в отдельном сегменте с доступом из интернета - отсюда можно сформулировать требование к количеству НИКов на железке. Это ОЧЕНь влияет на цену. Дело в том, что в моделях начального уровня обычно 2 интерфейса без возможности расширения.

Подберем тебе что-нибудь.

З.Ы. Не кажется ли вам, что последние пару страниц нужно перенести в отдельный топик? А то что-то слишком большой контраст между бурным началом темы и ее занудным концом.

ок. ситуация такая:

Балтийск: офис сидит на выделенной линий, но потом здесь будет SDSL 2 Мбита, в локалке один AD DC, почтовый сервер (MDaemon, буду менять на Excandge) и 15 пользователей

Москва: точно не скажу, но когда я там был, я видел что у них уже их домен входит в состав чего-то там... потому что в сетевом окружении видны подсети и в лондоне и в женеве и т.д.

как у них там организовано: лесом, деревом - не знаю, я там был всего один день и не разобрался еще.

почему я так все выспрашиваю: конечно, когда будем связывать наши домены мне все скажут, но как-то хочется подготовится к этому вопросу и быть может выбить для себя лучший вариант.

Вообще это очень странно, что у тебя есть хоть какое-то право выбора. Обычно в такого рода конторах при открытии офиса приходит контейнер весьма конкретного оборудования с огромным томом детальной инструкции какие кнопки нажимать. Шаг влево-вправо считается побегом и карается не отходя от кассы.

С Балтийском все более-менее понятно - стандартная ситуация Small Office. Типичное решение - двухинтерфейсный appliance. Когда будет SDSL, будет и раутер. Провайдер выделит некоторое кол-во "взрослых" адресов, один из них займет внутренняя нога раутера, другой - внешняя файервола. Все локальные компы присоединены к внутреннему интерфейсу файервола, в Интернет и в ВПН ходят через него. Адреса у всех - левые. Для доступа к Ексченжу из интернета на железке открывается Static NAT или Port Redirection, в зависимости от наличия свободного "взрослого" адреса. Как рекомендуемую альтернативу можно рассмотреть покупку трехинтерфейсного железа, тогда в полученный ДМЗ можно поставить еще один почтовый сервер-релей, который будет форвардить почту в Ексченж.

Минимально подходящие железки из серьезных ценой в 500-700$.- Safe@Office110 (S-Box), Nokia IP 40 и Cisco PIX-501. Все упомянутые продукты расчитаны на несколько меньшее кол-во юзеров (в стандартной форме лицензирования), возможно придется немного доплатить.

С Москвой сложнее (у них там в Москве всегда все сложно ). Из наличия лондонских и женевских доменов можно предположить наличие также и существующих интернет и/или WAN линий, и Балтийский оффис понадобиться интегрировать в существующую инфраструктуру. Тут без подробного анализа существующей сети не обойтись, и следует танцевать от уже установленного оборудования. В любом случае, предпочтительнее иметь две железки от одного вендора на разных концах. Скажем, если окажется что в Москве стоит раутер Cisco , то лучше всего для Балтийска подойдет PIX, если там Checkpoint - то Nokia или S-Box. Что-то ж там есть, и не слабое, они ведь как-то и в интернет и в Лондон ходят. Нагрузка там судя по всему не малая, вышеперечисленные младшие модели скорее всего не подойдут.

heineken man
Да не так уж и понятно. Но если начали говорить об интеграции, то получается, что возможны два варианта: каждый из доменов располагается в отдельном сайте, или один из доменов разбит на несколько сайтов. А это уже в корне меняет дело. И сколько серверов DNS - Балтийск, если народу там мало, может вообще обойтись без него, ну или одного хватит, а вот все остальные? Как они между собой связаны? Как они вообще стоят? Если все за стенками, то по 53-у и готово, если один(и) там, а другой(е) снаружи, как ты будешь связывать? Это на все сервера ставить надо и настраивать-переделывать, о чем ты говоришь? Не получится вот так "железно" внедриться (ИМХО)... Схема-то давно пашет, все утверждено, ты можешь только подстроиться под существующие условияи, и я просто не понимаю саму постановку вопроса:

Не знаю... Ну я понимаю, воткнул по железке с обоих сторон в небольших конторах по одному-двум DC, и работает. А при такой разветвленной структуре... Подождем других мнений. Я, кстати, сегодня изучал статью по твоей ссылке. Многое прояснилось, но как все это должно четко работать пока не разобрался.

This post has been edited by retro on 12-05-2004, 23:22

Ребята, ведь это же форум для начинающих, а не для крутых админов!