Организация сети организации

[thunderamur]

Предприятие растет, возникает уже потребность в нормальном Инет-шлюзе.
Сейчас сеть построена на аппаратном VPN D-Link DI-804HV в каждом офисе и нескольких простых роутерах D-Link DIR-300, там где это по какой-либо причине необходимо + OpenVPN для доступа к нужным сервисам вне офиса.

Нужно:
1) доступ в Инет с разделением канала и ведением статистики общей и по клиентам, возможность резервирования канала.
2) построить более надежную и функциональную сеть VPN.

Сейчас 8 офисов в разных городах, будет больше.


Вижу 3 варианта:
1) найти коробочное решение для организаций
2) повтыкать сетевух в ПК и делать шлюзы из них (в каждый офис)
3) уйти в облака, но проблема качественного доступа со статистикой никуда не исчезнет в этом случае, только решит проблему VPN и зависимости филиалов от Инета в центре. На ВМ не все лицензионно чисто (работа в этом направлении идет, но всё разом закупить тяжело), будут ли проблемы с этим при переходе в облака, т.е. проверяет ли провайдер, что крутится серваках, которые он предоставляет?


Хочу услышать ваши мысли по сабжу, уверен они помогут мне выбрать оптимальный вариант.

[AnrDaemon]

Я не понял, а где вариант "поставить свой нормальный сервер, а лучше два"?
По поводу, "проверяет ли провайдер", по большому счёту, ему должно быть глубоко наплевать. Конечно, всегда остаётся вариант "настучали", как было с torrents.ru...

[solint]

Я не понял, а где вариант "поставить свой нормальный сервер, а лучше два"?
По поводу, "проверяет ли провайдер", по большому счёту, ему должно быть глубоко наплевать. Конечно, всегда остаётся вариант "настучали", как было с torrents.ru...

Это типа 2-й вариант. )
Для ТС - Думаю именно это и есть ваш путь.

[thunderamur]

AnrDaemon,
свой нормальный сервер - мне нужен просто продвинутый шлюз. Просто как-то не оч. в каждый офис ставить такой ПК-шлюз, хотя с другой стороны почти в каждом филиале свой астериск-сервер, добавить им интерфейсов и мастерить.

всё-таки выходит свой самопал - лучшее решение

[ArcFi]

⚡ Thunde® ⚡, в главном офисе у мну достаточно нехилый сервак-шлюз с дополнительным сетевым адаптером.
На нём также dhcp-dns, proxy, jabber, mail.
Мигрировал со старого шлюза на прошлой неделе.

В филиале — обычный ПК с 2-мя сетевухами: четвертопень, гиг памяти, fedora-16.
У этого год работы без сбоев.

[thunderamur]

arcfi,
ну значит так и буду делать.

[AnrDaemon]

AnrDaemon,
свой нормальный сервер - мне нужен просто продвинутый шлюз. Просто как-то не оч. в каждый офис ставить такой ПК-шлюз, хотя с другой стороны почти в каждом филиале свой астериск-сервер, добавить им интерфейсов и мастерить.

всё-таки выходит свой самопал - лучшее решение

Вот и строй свой продвинутый шлюз. Нормально, а не пытаясь что-то собрать "из того, что было"...
А если нужна безотказная работа, то вообще "простенькими аппаратными" решениями не отделаешься.
Вопрос "что ставить в филиалалах" - вообще отдельный. Там могут остаться те же самые шлюзы, что есть сейчас - зависит от конкретной постановки задачи.

[oermolaev]

а вот и возможность рассказать о себе

(Нажмите, чтобы показать/скрыть)

сервер:
Intel(R) Atom(TM) CPU D525  1.80GHz (Product: "D525MWV" с пассивным охлаждением),
Memory Size: 8 GB (вместо максимально возможных 4GB - но никто не верит), две сетевых (интегрированная и pci),
PROXMOX, в котором на OpenVZ отдельными серверами: 1. web-сервер, 2. почтовый сервер iRedmail - 30 ящиков,
3. Asterisk-debPBX - четыре транка, 4. сервер обновлений aptcacher-ng, 5. jabber - 25 аккаунтов, 6. torrent-сервер transmission для личных целей,
7. - пока в планах - перетащить сюда с обычного шлюза squid с 30 юзерами с ограничением скорости и статистикой SARG.
uptime 00:15:56 up 19 days, 23:23,  1 user,  load average: 0.01, 0.02, 0.00
температуру сказать не могу - sensors не работает
Таким образом, виртуализация, автобэкап средствами PROXMOX и возрастная бессоница позволяют экспериментировать и дают право на ошибки
Кстати, тунель между офисами на тех же D-Link DI-804HV - очень устойчиво работает уже больше трёх лет, только блок питания d-link-a однажды вышел из строя.

[AnrDaemon]

oermolaev, не думаю, что есть смысл перетаскивать сквид под виртуалку.

[oermolaev]

да я тоже не думаю.. но в домашней сети на пять компьютеров я это уже сделал.
тяга к экспериментам порой перевешивает здравый смысл
и, говорят, в openvz "накладные расходы" очень не велики

[AnrDaemon]

Как бы "невелики" они ни были, прозрачный сквид, находящийся НЕ на шлюзе - та ещё головная боль.

[oermolaev]

AnrDaemon, спасибо, убедили. Оставлю только в домашней "лаборатории" 

[thunderamur]

oermolaev,
сколько туннелей держат твои DI-804? Сколько мегабит прокачивается через туннели? Я читал, что они до 4 мегабит тащут, но в том тесте был один туннель всего.

[oermolaev]

сколько туннелей держат твои DI-804? Сколько мегабит прокачивается через туннели? Я читал, что они до 4 мегабит тащут, но в том тесте был один туннель всего.

вообще - от центрального офиса в два удалённых офиса два тунеля, но в настоящий момент - один.
качнул сейчас файлик в 200 мб - стабильно держит 735 кб/сек, т.е. где то 5800 - полагаю, столько может провайдер.
так то у меня скорость ограничена 2 мегбитами, но между офисами - без ограничений.
я то считал что ширина тунеля упирается в возможности провайдера, но ты меня заставил засомневаться

[thunderamur]

вот, кста, нашел тест этого роутера. http://www.ixbt.com/comm/router-dlink-di-804hv.shtml
А он молодцом, до 5-7 мегабит тащит в ВПН, но всё-таки функционал ограничен, конечно. Кроме того, есть такая особенность - не поднимается ВПН, хотя все настройки верны. Иногда помогает полный сброс с кнопки и настройка по новой, мб не сразу, несколько раз придется. Иногда 5-кратный сборс ничего не дает, но помогает загрузка конфига с другого роутера и правка адресов под нужный офис. Вот с такими капризами сталкивался.