|
GRE тунель и маршрутизация между 3-мя и более точками
Автор |
Сообщение |
root99
Зарегистрирован: 29 май 2017, 21:19 Сообщения: 1404
|
IKEv2 DTLS 1.2 есть на Эниконнекте, для мобильных платформ всё само обновляется со сторов, для настольных вы сами регулируете версии клиентов централизованно прямо с роутера или ASA или FirePOWER. P.S. Ну а скачать всё можно здесь https://t.me/cisco_collection/113
|
07 дек 2019, 00:11 |
|
|
Silent_D
Зарегистрирован: 07 сен 2014, 02:54 Сообщения: 548 Откуда: Msk
|
siqueiros писал(а): придется за каждого пользователя предприятия хлопотать и выкладывать ссылку для загрузки и установки, как-то не совсем удобно получается. Хлопотать вам в любом случае придется. Сомнительно, что типовая МарьИванна сможет сама создать подключение к VPN в Виндах. А тогда разница небольшая, что создавать соединение, что поставить клиента. А обновляется он, как уже сказали, автоматически с роутера.
_________________ Knowledge is Power
|
07 дек 2019, 01:37 |
|
|
siqueiros
Зарегистрирован: 17 окт 2016, 18:02 Сообщения: 228
|
Silent_D писал(а): siqueiros писал(а): придется за каждого пользователя предприятия хлопотать и выкладывать ссылку для загрузки и установки, как-то не совсем удобно получается. Хлопотать вам в любом случае придется. Сомнительно, что типовая МарьИванна сможет сама создать подключение к VPN в Виндах. А тогда разница небольшая, что создавать соединение, что поставить клиента. А обновляется он, как уже сказали, автоматически с роутера. Ну, не знаю, в Винде 10-ке довольно простой мастер подключения, это надо совсем панический страх перед компьютерами иметь наверное, чтобы не справиться. Еще конечно этих МарьИванн из девяностых и нулевых осталось не много, ушли на пенсию, современные тетки, они уже более адаптированные, детство прошло как минимум в окружении Pentium 600Мегагерц / 16 мегабайт оперативки и Виндоуз 98/2000, за которым работали их папа и мамы. Вложение:
Screenshot 2019-12-07 at 23.17.45.jpg [ 104.63 КБ | Просмотров: 10122 ]
|
07 дек 2019, 23:31 |
|
|
root99
Зарегистрирован: 29 май 2017, 21:19 Сообщения: 1404
|
Делайте как хотите, но как говорилось выше, более управляемый и масштабируемый впн это Эниконнект.
самый большие минусы встроенного в винду клиента - нет провижинга, зависимость от версии билда винды он просто не всегда работает с цицкой, нет сплит туннеля, нет таких вещей как DTLS и т.д.
|
08 дек 2019, 11:00 |
|
|
Bessmertniy
Зарегистрирован: 03 апр 2013, 16:21 Сообщения: 1525
|
Клиенты Anyconnect раскладываются непосредственно на ASA или маршрутизатор и оттуда ставятся абоненту при обращении к нему по http.
|
08 дек 2019, 11:25 |
|
|
Bessmertniy
Зарегистрирован: 03 апр 2013, 16:21 Сообщения: 1525
|
root99 писал(а): нет сплит туннеля Вообще-то в L2TP есть.
|
08 дек 2019, 11:28 |
|
|
root99
Зарегистрирован: 29 май 2017, 21:19 Сообщения: 1404
|
вручную добавлять роуты для сплита это не смешно, смысла во всём этом поделии нет...., не говоря уже о древности протокола...
|
08 дек 2019, 11:45 |
|
|
Bessmertniy
Зарегистрирован: 03 апр 2013, 16:21 Сообщения: 1525
|
Почему вручную, оно от RADIUS'а само втягивается.
|
08 дек 2019, 12:32 |
|
|
root99
Зарегистрирован: 29 май 2017, 21:19 Сообщения: 1404
|
ну в данном разрезе мы говорим про автономное решение - в автономном варианте встроенный впн клиент от МС не масштабируемый в отл. от того же AnyConnect, да и уместно только говорить про IKEv2 клиент и сравнивать по функционалу с Цицкой - остальное уже не актуально....
|
08 дек 2019, 13:02 |
|
|
Bessmertniy
Зарегистрирован: 03 апр 2013, 16:21 Сообщения: 1525
|
Ну я то понимаю что Anyconnect по сути безальтернативен, все остальное сильно хуже, я про то что сам протокол умеет, а реализация это уже дело пятое.
|
08 дек 2019, 13:05 |
|
|
siqueiros
Зарегистрирован: 17 окт 2016, 18:02 Сообщения: 228
|
root99 писал(а): Делайте как хотите, но как говорилось выше, более управляемый и масштабируемый впн это Эниконнект.
самый большие минусы встроенного в винду клиента - нет провижинга, зависимость от версии билда винды он просто не всегда работает с цицкой, нет сплит туннеля, нет таких вещей как DTLS и т.д. Хочется сделать правильно . Железка для этих целей выделенная, к сожалению допотопная, первый айэсэр,3825, поэтому думаю как-бы по-проще было, чтобы производительности хватило. Вот надыбал доку по этой теме, буду пробовать внедрять, надеюсь исчерпывающий материал. https://www.cisco.com/c/en/us/support/docs/security/anyconnect-secure-mobility-client/200533-AnyConnect-Configure-Basic-SSLVPN-for-I.html
|
09 дек 2019, 00:48 |
|
|
Silent_D
Зарегистрирован: 07 сен 2014, 02:54 Сообщения: 548 Откуда: Msk
|
siqueiros писал(а): Железка для этих целей выделенная, к сожалению допотопная, первый айэсэр,3825 По этому поводу есть нюанс. В ISR встроенный крипто-ускоритель не умеет в SSL (в 2800 точно, думаю что и в 3800 тоже). Т.е. чистый IPSec он считает, а вот SSL никак, только софтверно. Соединение проходит, ping, telnet - все Ок, но вот только вы пытаетесь качнуть какой-нибудь приличный файл - CPU 99% и коннект отваливается. Так что пришлось брать AIM-VPN/SSL-2, на EBay стоит копейки. С ним все Ок, не 150 Mbit, как на ISR 1100, конечно, но коннект не отваливается и работать можно.
_________________ Knowledge is Power
|
09 дек 2019, 01:55 |
|
|
root99
Зарегистрирован: 29 май 2017, 21:19 Сообщения: 1404
|
ASAv виртуальную поставили и забыли про вопрос вообще, до 9.3 версии есть бесплатный вариант, но немного устаревший, с современным софтом есть платный вариант не дорогой, но там актуальный софт и все современные фишки....
|
09 дек 2019, 08:41 |
|
|
siqueiros
Зарегистрирован: 17 окт 2016, 18:02 Сообщения: 228
|
Silent_D писал(а): siqueiros писал(а): Железка для этих целей выделенная, к сожалению допотопная, первый айэсэр,3825 По этому поводу есть нюанс. В ISR встроенный крипто-ускоритель не умеет в SSL (в 2800 точно, думаю что и в 3800 тоже). Т.е. чистый IPSec он считает, а вот SSL никак, только софтверно. Соединение проходит, ping, telnet - все Ок, но вот только вы пытаетесь качнуть какой-нибудь приличный файл - CPU 99% и коннект отваливается. Так что пришлось брать AIM-VPN/SSL-2, на EBay стоит копейки. С ним все Ок, не 150 Mbit, как на ISR 1100, конечно, но коннект не отваливается и работать можно. Полезный нюанс, спасибо что отметили. К сожалению на 3800, которую использую в качестве HUB, сейчас стоит AIM-VPN/EPII-PLUS, насколько понимаю без поддержки SSL. Посмотрел на одном из Spoke установлен AIM VPN SSL 2, но это на 2800 серии, на 3800 уже нужна плата AIM VPN SSL 3. На ebay сейчас вижу минимальный ценник 2т. с лишним рублей с доставкой из Китая, на авито меньше 5т. не увидел. Неспешно закажу наверное, не знаю, хотя в планах конечно сменить платформу уже, слишком устарела ISR1, 3825 все же для наших дней. Но, за 2т. наверное можно взять пока.
|
09 дек 2019, 12:17 |
|
|
_2e_
Зарегистрирован: 14 май 2009, 12:57 Сообщения: 2067 Откуда: Волгоград
|
siqueiros писал(а): Silent_D писал(а): siqueiros писал(а): Железка для этих целей выделенная, к сожалению допотопная, первый айэсэр,3825 По этому поводу есть нюанс. В ISR встроенный крипто-ускоритель не умеет в SSL (в 2800 точно, думаю что и в 3800 тоже). Т.е. чистый IPSec он считает, а вот SSL никак, только софтверно. Соединение проходит, ping, telnet - все Ок, но вот только вы пытаетесь качнуть какой-нибудь приличный файл - CPU 99% и коннект отваливается. Так что пришлось брать AIM-VPN/SSL-2, на EBay стоит копейки. С ним все Ок, не 150 Mbit, как на ISR 1100, конечно, но коннект не отваливается и работать можно. Полезный нюанс, спасибо что отметили. К сожалению на 3800, которую использую в качестве HUB, сейчас стоит AIM-VPN/EPII-PLUS, насколько понимаю без поддержки SSL. Посмотрел на одном из Spoke установлен AIM VPN SSL 2, но это на 2800 серии, на 3800 уже нужна плата AIM VPN SSL 3. На ebay сейчас вижу минимальный ценник 2т. с лишним рублей с доставкой из Китая, на авито меньше 5т. не увидел. Неспешно закажу наверное, не знаю, хотя в планах конечно сменить платформу уже, слишком устарела ISR1, 3825 все же для наших дней. Но, за 2т. наверное можно взять пока. Была у меня в одном месте 3825 + ssl 3 хабом споков эдак на 50 в своё время - тяжело ей было. Не лохматьте бабушку. Закопайте стюардессу.
|
09 дек 2019, 12:59 |
|
|
siqueiros
Зарегистрирован: 17 окт 2016, 18:02 Сообщения: 228
|
_2e_ писал(а): Была у меня в одном месте 3825 + ssl 3 хабом споков эдак на 50 в своё время - тяжело ей было. Не лохматьте бабушку. Закопайте стюардессу. 50 это внушительно.! У меня сейчас на ней и 5-ти споков-то нет , надеюсь плавно перелезть на 4300-ю, по мере роста, финансового в первую очередь, но честно говоря теперь задумался, после ваших цифр. 3825 просто монстр оказывается, если с таким количеством филиалов хоть как-то справлялся, я вряд ли так смогу нагрузить её.
|
09 дек 2019, 13:35 |
|
|
dijix
Зарегистрирован: 02 ноя 2013, 08:12 Сообщения: 791
|
siqueiros писал(а): _2e_ писал(а): Была у меня в одном месте 3825 + ssl 3 хабом споков эдак на 50 в своё время - тяжело ей было. Не лохматьте бабушку. Закопайте стюардессу. 50 это внушительно.! У меня сейчас на ней и 5-ти споков-то нет , надеюсь плавно перелезть на 4300-ю, по мере роста, финансового в первую очередь, но честно говоря теперь задумался, после ваших цифр. 3825 просто монстр оказывается, если с таким количеством филиалов хоть как-то справлялся, я вряд ли так смогу нагрузить её. только не забудьте hsec с perf взять
|
09 дек 2019, 19:28 |
|
|
siqueiros
Зарегистрирован: 17 окт 2016, 18:02 Сообщения: 228
|
dijix писал(а): siqueiros писал(а): _2e_ писал(а): Была у меня в одном месте 3825 + ssl 3 хабом споков эдак на 50 в своё время - тяжело ей было. Не лохматьте бабушку. Закопайте стюардессу. 50 это внушительно.! У меня сейчас на ней и 5-ти споков-то нет , надеюсь плавно перелезть на 4300-ю, по мере роста, финансового в первую очередь, но честно говоря теперь задумался, после ваших цифр. 3825 просто монстр оказывается, если с таким количеством филиалов хоть как-то справлялся, я вряд ли так смогу нагрузить её. только не забудьте hsec с perf взять на 4300 серию? Ну, как только, так сразу
|
10 дек 2019, 01:36 |
|
|
dijix
Зарегистрирован: 02 ноя 2013, 08:12 Сообщения: 791
|
siqueiros писал(а): на 4300 серию? Ну, как только, так сразу ну если вам нужна скорость шифрования 75 мбит и скорость платформы 100 мбит то можно и без этого, ну или Вы каким другим способом это обходите?
|
10 дек 2019, 04:18 |
|
|
siqueiros
Зарегистрирован: 17 окт 2016, 18:02 Сообщения: 228
|
dijix писал(а): siqueiros писал(а): на 4300 серию? Ну, как только, так сразу ну если вам нужна скорость шифрования 75 мбит и скорость платформы 100 мбит то можно и без этого, ну или Вы каким другим способом это обходите? цены на канал упали; за последний год несколько объектов перевелись во-первых на безлимит., (были лимитированные по трафику тарифы, позорные 10-15 гб. в месяц,), пукнуть лишний раз страшно было, перерасход по диким ценам), сейчас 50 мегабитные, синхронные каналы как минимум. Прожорливое всё стало, на видеонаблюдение уходит по 2 мегабит на камеру, некоторые требуют хорошего качества изображение, ставят по 4 мегапуксельных айпи камеры, удаленно зумят, наблюдают за персоналом. Опять же товароучетные системы по туннелям гоняют, 1с сама по-себе нарекания вызывает, плохо настраивают, небрежно, потом валят всё либо на 1с, либо на плохой интернет. Поэтому, 50 мегабит уже не роскошь на мой взгляд. Соответственно на роутере такой потенциал тоже будет востребован, не везде конечно, где-то избыточно будет, смысла нет, простаивать будет, но местами будет в самый раз. Просто вопрос цены само собой, не все готовы отвалить 80 т. за 4300-серию,
|
10 дек 2019, 20:20 |
|
|
root99
Зарегистрирован: 29 май 2017, 21:19 Сообщения: 1404
|
4331 в МСК новая стоит 60т руб. бу можно найти в два раза дешевле только нужно чтобы повезло, но найти можно - весь ПАК лицензий для 4331 стоит не более 150 евро.....
|
10 дек 2019, 20:47 |
|
|
siqueiros
Зарегистрирован: 17 окт 2016, 18:02 Сообщения: 228
|
root99 писал(а): 4331 в МСК новая стоит 60т руб. бу можно найти в два раза дешевле только нужно чтобы повезло, но найти можно - весь ПАК лицензий для 4331 стоит не более 150 евро..... Да, мы кажется уже на эту тему общались в вами; мониторю в принципе, к сожалению за 30-ку нет 4331 пока, не появлялась, видимо слишком быстро расходятся . Есть 4321, по 19т., это видимо под филиалы подойдет.
|
10 дек 2019, 21:30 |
|
|
dijix
Зарегистрирован: 02 ноя 2013, 08:12 Сообщения: 791
|
siqueiros писал(а): dijix писал(а): siqueiros писал(а): на 4300 серию? Ну, как только, так сразу ну если вам нужна скорость шифрования 75 мбит и скорость платформы 100 мбит то можно и без этого, ну или Вы каким другим способом это обходите? цены на канал упали; за последний год несколько объектов перевелись во-первых на безлимит., (были лимитированные по трафику тарифы, позорные 10-15 гб. в месяц,), пукнуть лишний раз страшно было, перерасход по диким ценам), сейчас 50 мегабитные, синхронные каналы как минимум. Прожорливое всё стало, на видеонаблюдение уходит по 2 мегабит на камеру, некоторые требуют хорошего качества изображение, ставят по 4 мегапуксельных айпи камеры, удаленно зумят, наблюдают за персоналом. Опять же товароучетные системы по туннелям гоняют, 1с сама по-себе нарекания вызывает, плохо настраивают, небрежно, потом валят всё либо на 1с, либо на плохой интернет. Поэтому, 50 мегабит уже не роскошь на мой взгляд. Соответственно на роутере такой потенциал тоже будет востребован, не везде конечно, где-то избыточно будет, смысла нет, простаивать будет, но местами будет в самый раз. Просто вопрос цены само собой, не все готовы отвалить 80 т. за 4300-серию, у нас просто zbf, межсегментного трафика минимум 200-300 мбит, тоже видео, обновления этой десятки еще, вообщем сразу boost берем, а 100 мбит совсем нам мало, тем более это на всю платформу
|
11 дек 2019, 05:08 |
|
|
Silent_D
Зарегистрирован: 07 сен 2014, 02:54 Сообщения: 548 Откуда: Msk
|
dijix писал(а): у нас просто zbf, межсегментного трафика минимум 200-300 мбит, тоже видео Это внутри между VLAN-ами, или вы между сайтами через паблик (через VPN) столько гоняете? И какой же канал в Инет тогда?
_________________ Knowledge is Power
|
11 дек 2019, 07:37 |
|
|
dijix
Зарегистрирован: 02 ноя 2013, 08:12 Сообщения: 791
|
Silent_D писал(а): dijix писал(а): у нас просто zbf, межсегментного трафика минимум 200-300 мбит, тоже видео Это внутри между VLAN-ами, или вы между сайтами через паблик (через VPN) столько гоняете? И какой же канал в Инет тогда? Наружу все через VPN, каналы по 200 мбит
|
11 дек 2019, 09:49 |
|
|
Кто сейчас на конференции |
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 43 |
|
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете добавлять вложения
|
|
|