Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Надо объединить несколько офисов в одну сеть.

Автор: Fanat Andrew
Дата сообщения: 13.12.2010 13:25
Здравствуйте, всем!!!

Не гневайтесь на меня сильно, но по поиску что-то толком и не нашел ничего.
Передо мною стоит следующая задача.

Есть головной офис. В нем WIN2003 Server + 1с+ Терминал. 20 клиентов - подключаются через RDP. (с эти оказалось вроде бы все легко).

Есть еще 7 офисов в других городах в которых по 2-3 компьютера. Раз в три часа. Весь головной офис останавливается на 15 минут для выгрузки (загрузки) данных на(в) филиалы. Посколько филиалы эти начали только появлятся в этом году и их было все два - на это внимания не обращали. Теперь их уже 7 и доступ всех к 1с онлайн прсто необходим.
Все филиалы подключены к одному провайдеру.

Теперь вопрос.

Я понимаю что надо сделать VPN. Хотелось бы более детально услышать. с чего начать: выбор софта, оборудования и т.д.
Заранее спасибо.

ЗЫ. я только учусь.
Автор: vlary
Дата сообщения: 13.12.2010 13:33
Fanat Andrew
Цитата:
но по поиску что-то толком и не нашел ничего.  
Рецепта, как все сделать за пять минут, не имея никакого понятия о теме? И не найдешь, чудес не бывает.

Цитата:
Я понимаю что надо сделать VPN.  Хотелось бы более детально услышать. с чего начать
Начни с изучения этой темы: VPN: вся информация в этой теме


Автор: Fanat Andrew
Дата сообщения: 13.12.2010 13:55

Цитата:
Рецепта, как все сделать за пять минут, не имея никакого понятия о теме? И не найдешь, чудес не бывает.

не то что бы и совсем Незнайка. нет. кое что знаю. заодно и может мануал хороший соберем.



Цитата:
Начни с изучения этой темы: VPN: вся информация в этой теме


пролистал все ссытлки мне кажется немного старовата инфа. и как-то не хочется разворачивать VPN cтандартными средствами Виндоус. Может сторонее ПО покрепче будет.
Автор: aChikatillo
Дата сообщения: 13.12.2010 14:25

Цитата:
Может сторонее ПО покрепче будет

Тогда вот:
http://forum.ru-board.com/topic.cgi?forum=8&topic=11656
Автор: Fanat Andrew
Дата сообщения: 13.12.2010 17:05
Спасибо.

Тогда встречный вопрос. Есть еще и меня затея избавить сервер от интернета на корню, т.е. подсунуть ему ещё одну рядом стоящую машину на которую повесить что-то вроде трафик-инспектора и эту ВПН. или же есть смысл все ставить вместе?

Конфигурация сервера терминалов + 1с:
Системная плата    Asus P5B-V
Тип ЦП     DualCore Intel Core 2 Duo E6420, 2133 MHz (8 x 267)
Системная память   2023 Мб (DDR2-667 DDR2 SDRAM)
DIMM1: Kingston 9905316-105.A00LF    1 Гб DDR2-667 DDR2 SDRAM
DIMM3: Kingston 9905316-105.A00LF    1 Гб DDR2-667 DDR2 SDRAM
Автор: Fanat Andrew
Дата сообщения: 14.12.2010 18:54
Еще кстати, люди сказали что лучше бы если я вышел от зависимости интернета, т.к. сбои бываю и т.д. Предложили замутить все на базе телефонного провайдера. т.е. соединить все напрямую, что бы без интернета.

ЧТо думаете об этом?
Автор: faust72rus
Дата сообщения: 17.12.2010 06:17
Fanat Andrew
Используйте в филиале RB 450 mikrotik (или RB 750), в качестве маршрутизатора. В головном офисе можно поставить что-то типа RB 800 или 1000 (а в принципе того же 450 тоже должно хватить), а дальше по желанию и потребностям: либо IPSec, либо PPP протоколы. (девайсы поддержывают кучу всего, в том числе балансировку провайдеров, динамическую маршрутизацию и прочее).

Стоимости можно посчитать на их сайте. Ветка по администрирования девайсов рядом. (если есть лишние не очень мощные компы и нет желания платить денежку, в варизнике есть вариант)
Автор: Ijumper
Дата сообщения: 21.12.2010 08:39
реализовать vpn на линуксе, на мой взгляд самый нормальный вариант.
Автор: faust72rus
Дата сообщения: 21.12.2010 09:19
Ijumper
то что я посоветовал выше = почти линукс. (только в коробке) Ничего не мешает взять обычные x86 и поставить туда этот же продукт.
Автор: SAM30
Дата сообщения: 21.12.2010 11:46
Fanat Andrew
VPN на базе FreeBSD
http://www.opennet.ru/base/net/vpn_ipsec_racoon.txt.html
Автор: 15616
Дата сообщения: 23.12.2010 16:50
Рекомендую продукт от LogMeIn Hamachi
https://secure.logmein.com/RU/products/hamachi2/

решает все проблемы - платная (6100 в год на сети до 255 компьютеров)
в бесплатной есть ограничения на объемы трафика - но потестить хватит

создает шифрованные VPN сети (с возможностью входа в локальную сеть)

Автор: faust72rus
Дата сообщения: 23.12.2010 18:59
15616
Объединять офисы с помощью стороннего сервиса? Ваше решение хорошо для домашнего использования, и конечно хорошо когда нужно клиентский доступ дать, но для соединения офисов это порнография!
Автор: freewood
Дата сообщения: 23.12.2010 20:14
Fanat Andrew
А с провайдером разговор не вели о предоставлении доступа между филиалами внутри локальной сети прова?
Если вышеуказанный вариант не прокатывает, то я бы поставил шлюз и на нем уже впн сервер.
Сейчас, я так понимаю, у вас на одной машинке висит терминал, базы и шлюз? Это трагедия, срочно шлюз отделять на отдельную машину.
Автор: kromanyonec
Дата сообщения: 23.12.2010 20:31
Все предложения по организации VPN конечно дельные, они решают озаглавленну тему, но решит ли это
Цитата:
Раз в три часа. Весь головной офис останавливается на 15 минут для выгрузки (загрузки) данных на(в) филиалы.
??? Тут кривизной пахнет к объединению офисов совершенно не относящейся.
Автор: faust72rus
Дата сообщения: 24.12.2010 08:50
kromanyonec
Похоже не неправильную организацию БД. Там похоже кривая РБД и нужно двигаться в сторону терминального\WEB доступа к базе, для того и для другого нужно перестраивать сеть. Так что частично проблему всё таки решаем.
Автор: Fanat Andrew
Дата сообщения: 28.12.2010 16:57

Цитата:
Fanat Andrew
А с провайдером разговор не вели о предоставлении доступа между филиалами внутри локальной сети прова?
Если вышеуказанный вариант не прокатывает, то я бы поставил шлюз и на нем уже впн сервер.
Сейчас, я так понимаю, у вас на одной машинке висит терминал, базы и шлюз? Это трагедия, срочно шлюз отделять на отдельную машину.


шлюза нету, модем работает роутером и выдает всем интернет, это не моя прихоть. что же касается локальной сети на базе првайдера, то это обходится примерно так:
1. Установочная плата за точку 40 у.е.
2. Абонплата за точку с оборудование провайдера 10 у.е.
3. Канал 512 кб/с - 6 центов за килобит - 30 у.е.
вот ссылка http://www.beltelecom.by/services/internet/vpn/


Итого при рабочей схеме 50 у.е. в месяц.

что касается терминалов, все так и работают в самом офисе 20 юзеров и все через терминал.

все прихоти с выгрузками не мои, хотя на сегодняшний день было принято решение делать их раз в день. но все равно решать надо.

1с 7.7, конфигурация стороннего разработчика, я в 1с вообще не лезу.
Автор: Fanat Andrew
Дата сообщения: 17.01.2011 22:41
Итак.

1. Комп отдельный для этого выбил (2003 сервер + OpenVPN - поднял уже).
2. Во всех офисах безлимит.
3. В главном офисе статика уже работает (модем в режиме роутера).

как быть дальше. Надо что бы интернет поднимал комп (т.е. он же шлюз с фаерволом, прокси (по необходимости) и т.д.) или это можно оставить на совести у модема? Тогда возникат вопрос: как подключаться к этой ВПН сети, с учетом того что сервер с 1с, тоже отдельно стоящий компьютер.

т.е. есть подсеть 192.168.0.0/254

в ней сервер 1с. 192.168.0.1
Модем в режиме роутера 192.168.0.2
И комп поднимающий ВПН 192.168.0.3

И статика 172.*.*.*


как быть?

-------------------

Добавлено спустя час.

КОЛУПАЮ ИНТЕРНЕТ. и вот что вычитал.

В теории возможно сделать по принципу двух сетевых.

Т.е. первая для поднятия pppoe, вторая для связи в внутренней сетью, я так понимаю, если я сделаю подключения типа мост, то тогда по какому принципу назначать IP адреса для удаленных компьютеров?
Автор: Fanat Andrew
Дата сообщения: 18.01.2011 21:45
Кручу, дальше.

Заметил что на сервере с 1с в диспетчере сллужб терминалов, постоянно пробует кто-то подключиться, т.е появляется сеанс и через секунду исчезает (типа RDP#344)? запрос идут от модема, получается что из внешки. Каким образом это прекрыть (не уж-то прятать за фаеврвол - ведь скоро интернет будет идти через отдельный комп и на нем будет фаервол)
Автор: vlary
Дата сообщения: 18.01.2011 22:04
Fanat Andrew
Цитата:
не уж-то прятать за фаеврвол
Не обязательно. В настройках RDP есть возможность привязать его к определенному адаптеру. Привязывай к тому, который смотрит в локалку, и никаких поползновений извне не будет.

Автор: Fanat Andrew
Дата сообщения: 19.01.2011 09:38

Цитата:
В настройках RDP есть возможность привязать его к определенному адаптеру.

а это как? Если возможно по-подробнее, ну или хотя бы ткните носом.

и еще. можно ли сделать на модеме, на котором поднято pppoе-соединение, чтобы к нему подключались компы из вне (фильтрование например по MAC-адресу) а он их отправлял на комп с поднятым ВПН?
Автор: vlary
Дата сообщения: 19.01.2011 10:23
Fanat Andrew
Цитата:
а это как? Если возможно по-подробнее, ну или хотя бы ткните носом.
Как все запущено... Ну вот, ТЫЦ:


Автор: Sharke21
Дата сообщения: 20.01.2011 10:10
Чем вариантвоттакой не подходит: http://dlink.ru/ru/faq/92/503.html
Автор: djonykfc
Дата сообщения: 21.01.2011 11:45
ОМГ тема избита как мир, тут и делать то нечего:
1. Берем ваш сервак и накатываем туда FreeBSD
2. Собираем ядро с поддержкой фаера
3. Ставим VPN сервер mpd5 и создаем нужное кол-во учеток
4. Заруливаем в правила впн сервера выдавать адреса подключившимся клиентам из диапазона вашей ЛВС
5. Раздаем логины/пароли от VPN вашим удаленным офисам
6. Все подключаются
7....
8. PROFIT !!!!

В данном случае цена оборудования - только сам сервер. Надежность OVER 9000. Масштабируемость проэкта практически до бесконечности при нулевых затратах + получите нормальный шлюз на BSD с тыщей всяких примочек если вдруг понадобится. И самое главное знания которые вы получите в процессе настройки =) Если все это осилите то на всякие керио будете смотреть как на г..но. =)
Автор: Fanat Andrew
Дата сообщения: 22.01.2011 13:12
djonykfc

Спасибо конечно, но я только на Win и работал (никогда не приходилось на другом)
Но ваш совет учту. Сперва запущу на Win2к3, а потом уже буду пробовать прочие платформы.
Автор: EXAKA
Дата сообщения: 22.01.2011 14:03
Для разворачивания сети на шлюзах Linux / BSD так же необходимы затраты на железо, причем в каждом офисе придется по такому шлюзу развернуть.
В вашем случае самый простой и дешевый вариант развернуть Kerio Control за модемом. К нему есть бесплатный впн клиент, с удаленных компов будут входить в вашу локальную сеть и подключаться к базе в терминалке. Таким образом, затраты только на один хост.
А фаервол в любом случае нужен.
Автор: djonykfc
Дата сообщения: 24.01.2011 09:09
По поводу, того что для разворачивания схемы на BSD понадобится и в других офисах подымать UNIX машины - со всей ответственностью заявляю: Не правда. Ибо после поднятия VPN сервера на BSD+mpd5, к нему можно подключаться штатными средствами Windows (через простое создание VPN подключения с помощью стандартного мастера). При этом в случае с керио надо использовать сторонний софт (Kerio VPN client), что не есть хорошо. Так что вариант с VPN шлюзом на BSD - "решает" во всех отношениях, как в плане надежности, так и в плане затрат, а если еще и учесть сколько стоит тот самый керио+серверная Windows, то тут и думать нечего =).
Автор: us0r
Дата сообщения: 25.01.2011 11:57
Доброго дня.
Если я правильно понял, то в филиалах сеть построена так же- модемы раздают интернет.
Если да, то как клиенты увидят сервер и подключатся к нему, если к последнего нет белого айпишника?
Автор: AXVill
Дата сообщения: 25.01.2011 16:06
us0r
Реализуется порт-маппингом на модеме - заруливаем входящий траффик PPTP на VPN-сервер.
Или поднимаем VPN/PPPoE (это те, которые до провайдера) на сервере.
off-top: А если учитывать, что Белтелеком дает вместо модема кусок ZTE-шного го%на в Белпластовском корпусе, который любит завешивать соединение до hardware-restart, то я рекомендовал бы топик-стартеру именно второй вариант.
Автор: djonykfc
Дата сообщения: 26.01.2011 10:41
По идее проще всего моск не взрывать, а купить внешний ip и все дела, а сервак с VPN прописать в DMZ на роутере(модеме или что там еще).
Автор: Farch
Дата сообщения: 26.01.2011 11:30
Fanat Andrew

1.
16 коробок от microtik -> дешево, надежно, удобно (один раз настроешь и забудешь лет на 7)
http://routerboard.com/pricelist.php?started_from_home=1
(конфиг и точную модель можешь взять тут:
http://forum.ru-board.com/topic.cgi?forum=8&topic=38493#1)
если у конторы нет якобы денег на 16 коробок (не более 16к USD) представляешь главному начальнику (не своему) схему с 8мью коробками и обьясняешь следствия потери связи и сроки восстановления - если красиво расскажешь скорее что тебе дадут еще 8к денег

2.
если малый бизнес аля "начало" -> buffalo роутеры с dd-wrt vpn прошивкой - ( исправно падают раз в 30 дней (лечиться ребутом) но в остальное время работают)

Страницы: 12

Предыдущая тема: пропадает интернет при включении включении второго компьютер


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.