Close Topic Options

ну что же - может модератор отреагирует и отрежет мой кусок в куда-нибудь? и назовет его - "как связать две сети по VPN (или не по VPN)"

Админы - режьте, а то меня совесть мучает.

Кажется пришло время остановиться на термине Site-to-Site VPN. Смысл этого такой - все, кто находятся позади двух связанных между собой по тунеллю железок, имеют возможность пользоваться этим защищенным каналом для связи друг с другом. При этом выход в инет остается обычным - через ту же железку. Какая разница сколько ДНС-ов и где они находятся ?

Для Балтийска ситуация меняется с "сеть за одним файерволом выходящая через него в интернет" на "сеть за одним файерволом выходящая через него в интернет и дополнительно имеющая защищенный канал с сетью в Москве".

Насчет Москвы - я ведь написал, что без вникания в структуру решение найти нельзя.

пусть Москва сама с собой разбирается, тем более, что у нее уже есть структура через которую они ходят в Лондон.

можно ли не вникая в структуру Москвы, посоветовать решение для Балтийска, чтобы, например, иметь железку для хождения в инет и поддежржки защищенного канала для связи с Москвой?

разговаривал с Москвой - новая вводная, пока с Лондоном нас интегрировать не будут, в Москве поставят новый сервер, отдельный канал и все это только для связи с Балтийском... то есть сначала мы настроим связь Москва-Балтийск, вот. Но по сути ничего не поменялось и я еще раз повторю: сначала разберемся с железкой (однозначно будет железка) что вы посоветуете взять для подобных условий с прицелом на будущее (может мы и не будет расти численно по экспоненте, но запас прочности иметь надо) и не сильно ограничивая себя в деньгах (кстати - в Лондоне предпочитают циски, пусть и у меня будет циска )

up

Так за тебя уже все решили- бери ^cisco^, и не мучайся, раз деньги дают. По твоим требованиям сгодится даже 501, но если можно потратить больше, то возьми 506 для душевного спокойствия.

heineken man перенял эстафету. Удачи.

Во.. спасибо за конкретный ответ - значит 501 или 506 - будем клянчить

Если модератор не вырежет это кусок, то он так и останется тут

Я пойду покупать книгу и пока железка не появится буду изучать мат.часть

Скажите, а можно сначала сделать связь опираясь на програмные продукты, а потом переключить это на железку? а то мне ее в течении месяца врядли купят.

Тут такой момент - 501 и 506 PIX-ы двухинтерфейсные, без возможности расширения. 15 юзеров с тенденцией на увеличение сеть уже не крошечная, а вполне даже чувствительная, особенно если вместе с расширением канала юзеры почувствуют апетит к серьезным даунлоудам (ФТП, П2П). Плюс по существующему VPN туннелю начнут гонять не только синхронизацию доменов, но и много всего прочего. Я конечно понимаю, что 0.5-1к и 2-3к суммы совершенно разные, но все же PIX-515 - "взрослый" файервол, который может с успехом работать как с 15 юзерами, так и с значительно большим количеством, не предявляя при этом ограничений малых моделей. Если фирма готова платит за вхождение в мир серьезных дядь (а симметричный канал 2мб очень даже "совершеннолетний", я до этого года менеджил фирму с 150 юзерами плюс 20 ВПН туннелей на таком канале), то лишняя тысяча зеленых никого не должна остановить. IMHO.

Насчет поиграться пока программно, муторное это дело поднимать такие вещи на временной инфраструктуре. Временной, потому что наверняка новый канал с сервером в Москве еще не готов, а выводить через существующий без внедрения в структуру сети не получится, как уже неоднократно подчеркивалось. Да и в Балтийске пока 128к, наверняка забит в дупель 24 часа в день, только туннелей там не хватало.
Месяц всего - сколько той зимы.

Мне кажеся, что и маленького ^PIX^ должно хватить- трафик он потянет, а дополнительный интерфейс для ^DMZ^ в региональном офисе вряд-ли нужен. Но! Если дают $$, надо покупать самое лучшее. Купишь и будет работать- никто тебя ни в чем не упрекнет, а если возмешь подешевле и через некоторое врмея выяснится, что мощи не хватает, то шишки могут посыпаться Хорошо, если ты им в ответ сказать- я хотел получше, а вы денег не дали
Я лично маленьких ^PIX^ов не видел. у меня только 515ые, да и те я не использую для ^VPN^. Недавно разжился большой книгой. Посмотрел, тебе все равно подходит 501. 506 отличается только скоростью- ^3DES VPN^ до 17Мб вместо 3. 515 имеет больше возможностей- до 6 интерфейсов, поддержка ^failover^, скорость еще выше- до 140Мб. Вопрос только, нужно ли тебе это. Я думаю, что нет, но если бабки есть- бери!