Сообщения без ответов | Активные темы Текущее время: 28 мар 2024, 18:22



Ответить на тему  [ Сообщений: 88 ]  На страницу Пред.  1, 2, 3, 4  След.
GRE тунель и маршрутизация между 3-мя и более точками 
Автор Сообщение

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1404
IKEv2 DTLS 1.2 есть на Эниконнекте, для мобильных платформ всё само обновляется со сторов, для настольных вы сами регулируете версии клиентов централизованно прямо с роутера или ASA или FirePOWER.

P.S. Ну а скачать всё можно здесь https://t.me/cisco_collection/113


07 дек 2019, 00:11
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 548
Откуда: Msk
siqueiros писал(а):
придется за каждого пользователя предприятия хлопотать и выкладывать ссылку для загрузки и установки, как-то не совсем удобно получается.

Хлопотать вам в любом случае придется. Сомнительно, что типовая МарьИванна сможет сама
создать подключение к VPN в Виндах. А тогда разница небольшая, что создавать соединение,
что поставить клиента. А обновляется он, как уже сказали, автоматически с роутера.

_________________
Knowledge is Power


07 дек 2019, 01:37
Профиль

Зарегистрирован: 17 окт 2016, 18:02
Сообщения: 228
Silent_D писал(а):
siqueiros писал(а):
придется за каждого пользователя предприятия хлопотать и выкладывать ссылку для загрузки и установки, как-то не совсем удобно получается.

Хлопотать вам в любом случае придется. Сомнительно, что типовая МарьИванна сможет сама
создать подключение к VPN в Виндах. А тогда разница небольшая, что создавать соединение,
что поставить клиента. А обновляется он, как уже сказали, автоматически с роутера.


Ну, не знаю, в Винде 10-ке довольно простой мастер подключения, это надо совсем панический страх перед компьютерами иметь наверное, чтобы не справиться. Еще конечно этих МарьИванн из девяностых и нулевых осталось не много, ушли на пенсию, современные тетки, они уже более адаптированные, детство прошло как минимум в окружении Pentium 600Мегагерц / 16 мегабайт оперативки и Виндоуз 98/2000, за которым работали их папа и мамы.

Вложение:
Screenshot 2019-12-07 at 23.17.45.jpg
Screenshot 2019-12-07 at 23.17.45.jpg [ 104.63 КБ | Просмотров: 10090 ]


07 дек 2019, 23:31
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1404
Делайте как хотите, но как говорилось выше, более управляемый и масштабируемый впн это Эниконнект.

самый большие минусы встроенного в винду клиента - нет провижинга, зависимость от версии билда винды он просто не всегда работает с цицкой, нет сплит туннеля, нет таких вещей как DTLS и т.д.


08 дек 2019, 11:00
Профиль
Аватара пользователя

Зарегистрирован: 03 апр 2013, 16:21
Сообщения: 1525
Клиенты Anyconnect раскладываются непосредственно на ASA или маршрутизатор и оттуда ставятся абоненту при обращении к нему по http.


08 дек 2019, 11:25
Профиль
Аватара пользователя

Зарегистрирован: 03 апр 2013, 16:21
Сообщения: 1525
root99 писал(а):
нет сплит туннеля

Вообще-то в L2TP есть.


08 дек 2019, 11:28
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1404
вручную добавлять роуты для сплита это не смешно, смысла во всём этом поделии нет...., не говоря уже о древности протокола...


08 дек 2019, 11:45
Профиль
Аватара пользователя

Зарегистрирован: 03 апр 2013, 16:21
Сообщения: 1525
Почему вручную, оно от RADIUS'а само втягивается.


08 дек 2019, 12:32
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1404
ну в данном разрезе мы говорим про автономное решение - в автономном варианте встроенный впн клиент от МС не масштабируемый в отл. от того же AnyConnect, да и уместно только говорить про IKEv2 клиент и сравнивать по функционалу с Цицкой - остальное уже не актуально....


08 дек 2019, 13:02
Профиль
Аватара пользователя

Зарегистрирован: 03 апр 2013, 16:21
Сообщения: 1525
Ну я то понимаю что Anyconnect по сути безальтернативен, все остальное сильно хуже, я про то что сам протокол умеет, а реализация это уже дело пятое.


08 дек 2019, 13:05
Профиль

Зарегистрирован: 17 окт 2016, 18:02
Сообщения: 228
root99 писал(а):
Делайте как хотите, но как говорилось выше, более управляемый и масштабируемый впн это Эниконнект.

самый большие минусы встроенного в винду клиента - нет провижинга, зависимость от версии билда винды он просто не всегда работает с цицкой, нет сплит туннеля, нет таких вещей как DTLS и т.д.


Хочется сделать правильно ;).
Железка для этих целей выделенная, к сожалению допотопная, первый айэсэр,3825, поэтому думаю как-бы по-проще было, чтобы производительности хватило.
Вот надыбал доку по этой теме, буду пробовать внедрять, надеюсь исчерпывающий материал.
https://www.cisco.com/c/en/us/support/docs/security/anyconnect-secure-mobility-client/200533-AnyConnect-Configure-Basic-SSLVPN-for-I.html


09 дек 2019, 00:48
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 548
Откуда: Msk
siqueiros писал(а):
Железка для этих целей выделенная, к сожалению допотопная, первый айэсэр,3825

По этому поводу есть нюанс. В ISR встроенный крипто-ускоритель не умеет в SSL (в 2800 точно, думаю что и в 3800 тоже).
Т.е. чистый IPSec он считает, а вот SSL никак, только софтверно. Соединение проходит, ping, telnet - все Ок,
но вот только вы пытаетесь качнуть какой-нибудь приличный файл - CPU 99% и коннект отваливается.
Так что пришлось брать AIM-VPN/SSL-2, на EBay стоит копейки.
С ним все Ок, не 150 Mbit, как на ISR 1100, конечно, но коннект не отваливается и работать можно.

_________________
Knowledge is Power


09 дек 2019, 01:55
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1404
ASAv виртуальную поставили и забыли про вопрос вообще, до 9.3 версии есть бесплатный вариант, но немного устаревший, с современным софтом есть платный вариант не дорогой, но там актуальный софт и все современные фишки....


09 дек 2019, 08:41
Профиль

Зарегистрирован: 17 окт 2016, 18:02
Сообщения: 228
Silent_D писал(а):
siqueiros писал(а):
Железка для этих целей выделенная, к сожалению допотопная, первый айэсэр,3825

По этому поводу есть нюанс. В ISR встроенный крипто-ускоритель не умеет в SSL (в 2800 точно, думаю что и в 3800 тоже).
Т.е. чистый IPSec он считает, а вот SSL никак, только софтверно. Соединение проходит, ping, telnet - все Ок,
но вот только вы пытаетесь качнуть какой-нибудь приличный файл - CPU 99% и коннект отваливается.
Так что пришлось брать AIM-VPN/SSL-2, на EBay стоит копейки.
С ним все Ок, не 150 Mbit, как на ISR 1100, конечно, но коннект не отваливается и работать можно.


Полезный нюанс, спасибо что отметили. К сожалению на 3800, которую использую в качестве HUB, сейчас стоит AIM-VPN/EPII-PLUS, насколько понимаю без поддержки SSL.
Посмотрел на одном из Spoke установлен AIM VPN SSL 2, но это на 2800 серии, на 3800 уже нужна плата AIM VPN SSL 3. На ebay сейчас вижу минимальный ценник 2т. с лишним рублей с доставкой из Китая, на авито меньше 5т. не увидел. Неспешно закажу наверное, не знаю, хотя в планах конечно сменить платформу уже, слишком устарела ISR1, 3825 все же для наших дней. Но, за 2т. наверное можно взять пока.


09 дек 2019, 12:17
Профиль

Зарегистрирован: 14 май 2009, 12:57
Сообщения: 2067
Откуда: Волгоград
siqueiros писал(а):
Silent_D писал(а):
siqueiros писал(а):
Железка для этих целей выделенная, к сожалению допотопная, первый айэсэр,3825

По этому поводу есть нюанс. В ISR встроенный крипто-ускоритель не умеет в SSL (в 2800 точно, думаю что и в 3800 тоже).
Т.е. чистый IPSec он считает, а вот SSL никак, только софтверно. Соединение проходит, ping, telnet - все Ок,
но вот только вы пытаетесь качнуть какой-нибудь приличный файл - CPU 99% и коннект отваливается.
Так что пришлось брать AIM-VPN/SSL-2, на EBay стоит копейки.
С ним все Ок, не 150 Mbit, как на ISR 1100, конечно, но коннект не отваливается и работать можно.


Полезный нюанс, спасибо что отметили. К сожалению на 3800, которую использую в качестве HUB, сейчас стоит AIM-VPN/EPII-PLUS, насколько понимаю без поддержки SSL.
Посмотрел на одном из Spoke установлен AIM VPN SSL 2, но это на 2800 серии, на 3800 уже нужна плата AIM VPN SSL 3. На ebay сейчас вижу минимальный ценник 2т. с лишним рублей с доставкой из Китая, на авито меньше 5т. не увидел. Неспешно закажу наверное, не знаю, хотя в планах конечно сменить платформу уже, слишком устарела ISR1, 3825 все же для наших дней. Но, за 2т. наверное можно взять пока.


Была у меня в одном месте 3825 + ssl 3 хабом споков эдак на 50 в своё время - тяжело ей было. Не лохматьте бабушку. Закопайте стюардессу.


09 дек 2019, 12:59
Профиль ICQ

Зарегистрирован: 17 окт 2016, 18:02
Сообщения: 228
_2e_ писал(а):
Была у меня в одном месте 3825 + ssl 3 хабом споков эдак на 50 в своё время - тяжело ей было. Не лохматьте бабушку. Закопайте стюардессу.


50 это внушительно.! У меня сейчас на ней и 5-ти споков-то нет ;), надеюсь плавно перелезть на 4300-ю, по мере роста, финансового в первую очередь, но честно говоря теперь задумался, после ваших цифр. 3825 просто монстр оказывается, если с таким количеством филиалов хоть как-то справлялся, я вряд ли так смогу нагрузить её.


09 дек 2019, 13:35
Профиль

Зарегистрирован: 02 ноя 2013, 08:12
Сообщения: 791
siqueiros писал(а):
_2e_ писал(а):
Была у меня в одном месте 3825 + ssl 3 хабом споков эдак на 50 в своё время - тяжело ей было. Не лохматьте бабушку. Закопайте стюардессу.


50 это внушительно.! У меня сейчас на ней и 5-ти споков-то нет ;), надеюсь плавно перелезть на 4300-ю, по мере роста, финансового в первую очередь, но честно говоря теперь задумался, после ваших цифр. 3825 просто монстр оказывается, если с таким количеством филиалов хоть как-то справлялся, я вряд ли так смогу нагрузить её.

только не забудьте hsec с perf взять


09 дек 2019, 19:28
Профиль

Зарегистрирован: 17 окт 2016, 18:02
Сообщения: 228
dijix писал(а):
siqueiros писал(а):
_2e_ писал(а):
Была у меня в одном месте 3825 + ssl 3 хабом споков эдак на 50 в своё время - тяжело ей было. Не лохматьте бабушку. Закопайте стюардессу.


50 это внушительно.! У меня сейчас на ней и 5-ти споков-то нет ;), надеюсь плавно перелезть на 4300-ю, по мере роста, финансового в первую очередь, но честно говоря теперь задумался, после ваших цифр. 3825 просто монстр оказывается, если с таким количеством филиалов хоть как-то справлялся, я вряд ли так смогу нагрузить её.

только не забудьте hsec с perf взять


на 4300 серию? Ну, как только, так сразу ;)


10 дек 2019, 01:36
Профиль

Зарегистрирован: 02 ноя 2013, 08:12
Сообщения: 791
siqueiros писал(а):

на 4300 серию? Ну, как только, так сразу ;)


ну если вам нужна скорость шифрования 75 мбит и скорость платформы 100 мбит то можно и без этого, ну или Вы каким другим способом это обходите?


10 дек 2019, 04:18
Профиль

Зарегистрирован: 17 окт 2016, 18:02
Сообщения: 228
dijix писал(а):
siqueiros писал(а):

на 4300 серию? Ну, как только, так сразу ;)


ну если вам нужна скорость шифрования 75 мбит и скорость платформы 100 мбит то можно и без этого, ну или Вы каким другим способом это обходите?


цены на канал упали; за последний год несколько объектов перевелись во-первых на безлимит., (были лимитированные по трафику тарифы, позорные 10-15 гб. в месяц,), пукнуть лишний раз страшно было, перерасход по диким ценам), сейчас 50 мегабитные, синхронные каналы как минимум.
Прожорливое всё стало, на видеонаблюдение уходит по 2 мегабит на камеру, некоторые требуют хорошего качества изображение, ставят по 4 мегапуксельных айпи камеры, удаленно зумят, наблюдают за персоналом. Опять же товароучетные системы по туннелям гоняют, 1с сама по-себе нарекания вызывает, плохо настраивают, небрежно, потом валят всё либо на 1с, либо на плохой интернет. Поэтому, 50 мегабит уже не роскошь на мой взгляд.
Соответственно на роутере такой потенциал тоже будет востребован, не везде конечно, где-то избыточно будет, смысла нет, простаивать будет, но местами будет в самый раз. Просто вопрос цены само собой, не все готовы отвалить 80 т. за 4300-серию,


10 дек 2019, 20:20
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1404
4331 в МСК новая стоит 60т руб. бу можно найти в два раза дешевле только нужно чтобы повезло, но найти можно - весь ПАК лицензий для 4331 стоит не более 150 евро.....


10 дек 2019, 20:47
Профиль

Зарегистрирован: 17 окт 2016, 18:02
Сообщения: 228
root99 писал(а):
4331 в МСК новая стоит 60т руб. бу можно найти в два раза дешевле только нужно чтобы повезло, но найти можно - весь ПАК лицензий для 4331 стоит не более 150 евро.....


Да, мы кажется уже на эту тему общались в вами; мониторю в принципе, к сожалению за 30-ку нет 4331 пока, не появлялась, видимо слишком быстро расходятся ;).
Есть 4321, по 19т., это видимо под филиалы подойдет.


10 дек 2019, 21:30
Профиль

Зарегистрирован: 02 ноя 2013, 08:12
Сообщения: 791
siqueiros писал(а):
dijix писал(а):
siqueiros писал(а):

на 4300 серию? Ну, как только, так сразу ;)


ну если вам нужна скорость шифрования 75 мбит и скорость платформы 100 мбит то можно и без этого, ну или Вы каким другим способом это обходите?


цены на канал упали; за последний год несколько объектов перевелись во-первых на безлимит., (были лимитированные по трафику тарифы, позорные 10-15 гб. в месяц,), пукнуть лишний раз страшно было, перерасход по диким ценам), сейчас 50 мегабитные, синхронные каналы как минимум.
Прожорливое всё стало, на видеонаблюдение уходит по 2 мегабит на камеру, некоторые требуют хорошего качества изображение, ставят по 4 мегапуксельных айпи камеры, удаленно зумят, наблюдают за персоналом. Опять же товароучетные системы по туннелям гоняют, 1с сама по-себе нарекания вызывает, плохо настраивают, небрежно, потом валят всё либо на 1с, либо на плохой интернет. Поэтому, 50 мегабит уже не роскошь на мой взгляд.
Соответственно на роутере такой потенциал тоже будет востребован, не везде конечно, где-то избыточно будет, смысла нет, простаивать будет, но местами будет в самый раз. Просто вопрос цены само собой, не все готовы отвалить 80 т. за 4300-серию,

у нас просто zbf, межсегментного трафика минимум 200-300 мбит, тоже видео, обновления этой десятки еще, вообщем сразу boost берем, а 100 мбит совсем нам мало, тем более это на всю платформу


11 дек 2019, 05:08
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 548
Откуда: Msk
dijix писал(а):
у нас просто zbf, межсегментного трафика минимум 200-300 мбит, тоже видео

Это внутри между VLAN-ами, или вы между сайтами через паблик (через VPN) столько гоняете?
И какой же канал в Инет тогда?

_________________
Knowledge is Power


11 дек 2019, 07:37
Профиль

Зарегистрирован: 02 ноя 2013, 08:12
Сообщения: 791
Silent_D писал(а):
dijix писал(а):
у нас просто zbf, межсегментного трафика минимум 200-300 мбит, тоже видео

Это внутри между VLAN-ами, или вы между сайтами через паблик (через VPN) столько гоняете?
И какой же канал в Инет тогда?

Наружу все через VPN, каналы по 200 мбит


11 дек 2019, 09:49
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 88 ]  На страницу Пред.  1, 2, 3, 4  След.

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 44


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB