Ситуация такая. 2 офиса vpn от провайдера в 1 интернет второй лезет в интернет через первый. этот провайдер не может дать скорость более 2 мб не на интернет не на vpn поэтому было принято решение переходить на другого провайдера и подключить инет сразу в оба офиса и на первое время пользоваться vpn от провайдера. но суть в том что основной сервак будет стоять там где не было инета т.е. там нет прокси а нужно чтобы туда валились vpn клиенты из области (порядка 20). Там стоят 2 сервака на 1 будет база 1c+SQL+Apache на 2ом резервный контроллер домена и к нему идет vpn от провайдера. Как мне без затрат организовать доступ клиентов к серверу с 1с ???
По теме из базы знаний
Ответы
Подписаться на ответы
Инфостарт бот
Сортировка:
Древо развёрнутое
Свернуть все
Нарисуй схему, и туда подпиши комментарии что и куда, а то так сумбурно, долго думал и ни чего не понял.
Так мелкий совет из личного опыта, VPN лучше будет поднять не средствами винсервер , а встроенными VPN средствами каких либо шлюзов, благо их сейчас навалом от циско до длинк у всех есть такой функционал, либо использовать бесплатную реализацию openvpn.рекомендую. если интересно отпишусь ниже почему. но сначала схему все же.
Так мелкий совет из личного опыта, VPN лучше будет поднять не средствами винсервер , а встроенными VPN средствами каких либо шлюзов, благо их сейчас навалом от циско до длинк у всех есть такой функционал, либо использовать бесплатную реализацию openvpn.рекомендую. если интересно отпишусь ниже почему. но сначала схему все же.
1.у тебя сейчас есть впн средствами провайдера между офис1 и офис 2? так?, также у тебя есть куча мелких офисов которым нужно до офиса 2 ? так? уточни если понял как то не так.
2. да openvpn бесплатная кросплатформенная реализация, у самого есть 2 сервака на линуксе и один на винде, клиенты тоже есть и такие и такие.
2. да openvpn бесплатная кросплатформенная реализация, у самого есть 2 сервака на линуксе и один на винде, клиенты тоже есть и такие и такие.
1. Хотя счас еще раз перечитал первое сообщение, наверно все же так счас у тебя удаленные офисы как то подключаются к офису 2, а нужно их подключить к офису 1, между офисом 1 и офисом 2 счас есть впн, я так думаю это чтото типа энфорты, астарты, простор телекома, в общем радиоканал.
2.получается что сервак в офисе 1 основной и туда будут подключатся на будущее офис2 и еще 20 клиентов.?
2.получается что сервак в офисе 1 основной и туда будут подключатся на будущее офис2 и еще 20 клиентов.?
на мой взгляд как раз openvpn тебе подойдет, с учетом количества клиентов на винде реализовывать сервак не советую, не стабильно стоять будет, вот клиенты как захочешь можно и на винде.
В общем оп серваку нужно железо в идеале сервачное конечно, но сойдет и обычный комп, даже не самый новый, в общем комп который счас в магазине стоит 10 тыр. это минимум , если нагнешь руководство на самый простой сервак за 40-50 т.р. это вообще супер будет. операционка рекомендую freebsd но если ни когда не работал с никсами наверно просче для освоения будет ubuntu поставить.
В общем оп серваку нужно железо в идеале сервачное конечно, но сойдет и обычный комп, даже не самый новый, в общем комп который счас в магазине стоит 10 тыр. это минимум , если нагнешь руководство на самый простой сервак за 40-50 т.р. это вообще супер будет. операционка рекомендую freebsd но если ни когда не работал с никсами наверно просче для освоения будет ubuntu поставить.
Vpn отлично настраивается встроенными средствами 2003 сервера (Маршрутизация и удаленный доступ).
Учитывая (13) рекомендую не заморачиваться с впн, а просто средствами шлюза настроить проброс порта 23877 (как пример) на внутренний терминальный сервак на порт 3389.
Удаленные клиенты будут коннектится извне к 8.8.8.8:23877 (АйПи как пример). Только настрой маппинг клиентских дисков и принтеров.
ЗЫ под 2008Р2 принтера настраиваются легче чем под 2003 из-за EasyPrint, во остальном без разницы.
Учитывая (13) рекомендую не заморачиваться с впн, а просто средствами шлюза настроить проброс порта 23877 (как пример) на внутренний терминальный сервак на порт 3389.
Удаленные клиенты будут коннектится извне к 8.8.8.8:23877 (АйПи как пример). Только настрой маппинг клиентских дисков и принтеров.
ЗЫ под 2008Р2 принтера настраиваются легче чем под 2003 из-за EasyPrint, во остальном без разницы.
одно из самых главных: если будешь на обычном не сервачном железе реализовывать то сетевухи стандартные типа realtec и подобные за 200р. не рекомендую так как это софтвенные сетевухи и при больших нагрузках будут во первых загружать проц при обработке и при пиках могут валится начать. поэтому даже если будет обычный комп поставь нормальные полноформатные сетевухи intel, они даже на вид не такие маленькие как реалтек а большие как видюхи.
либо вот совсем эконом вариант десктоп карта считается но все же лучше чем реалтек и почти по цене реалтек
либо вот совсем эконом вариант десктоп карта считается но все же лучше чем реалтек и почти по цене реалтек
нет уроков нет, но если интересует напишу как и чего делать, могу впринципе даже готовыми конфигами для сервера и клиентов поделиться. производительность у решения достаточная подключенный канал 70 мб и порядка 40 клиентов вполне выдерживает и это все на не молодом 1-о головом серваке, правда думаю менять потому как вначале был канал 20 и клиентов , а счас вот разраслось.
из плюсов решения кстати по сравнению со многими другими точто при подключении с сервака на клиента можно сразу кучу параметров выдавать, в самом элементарном случае роутинг, а не в элементарном, ну там целый мануал можно скопировать вот сюда,
есть пара тройка дней или горит все? где нить к среде-четвергу могу написать мануал с картинками об установке под ключ, напримере ubuntu сервер с нуля, для новичков, и для тех кто не хочет ковырят глубоко его, а просто поставить быстренько и забыть.
идея сделать на винде очень не хороша мягко говоря, это я тебе скажу как человек который это реализовывал и видел кучу граблей в этом способе. Вернее будет правильнее так, вот там где у тебя один комп или 2-3 подключаются к серваку там винда нормальное решение, а вот там где утебя 40 компов, и там где у тебя сервак который должен выдержать 40 подключений вот это будет тонкое место очень, по мимо того что под винду нужно более мощное железо, лицензию на винду калы на подключение и пр. это если ты о лицензионности также думаешь. помимо этого в винде нет нормальной службы роутинга и маршрутизации, (это не пустые слова так даже говорят на официальных курсах микрософта преподы только шепотом) чтобы эту службу обоути и более менее настроить роутинг на сервере нужен будет какой либо еще сторонний софт типа KerioWinroute, но опять же повторюсь что с подключением это труба будет. помимо всего процего винда поддерживает толкьо подключение точка-точка и реализует срадствами виртуальных tap адаптеров, все же никсы имеют в аренале такое подключение как tun, это так называемое канальное когда не виртуальный адаптер работает а канал поднимается сразу.. ну это нюансы хотя очень существенные.
ты кстати надеюсь понимаешь что сервер по приему впн подключений это не тот сервер где у тебя 1с стоит и нетот сервер где у тебя AD, . да кстати забыл написать получается что тебе как минимум помимо винды еще нужен будет какойто файрвол корпоративный если ты винду хочешь.
я так говорю , не потому как я заядлый пингвиновод, у меня на никсах толmrj шлюзы и сервак впн и все а просто пришел к этому в результате наступления на кучу граблей, основнаяч из которых как раз произвольное падение службы маршрутизации на винде , самопроизвольно отключение тап адптеров в винде, когда ты после этого даже на обед отойти не можешь потому как руками перезапускать чтото придется.... ну в общем я все о тот же что из винды шлюз и сервак по приемук подключений не очень. а если учесть что он очень будет бояться еще всяких червей и пр. ну это вообще проблемой может стать... в общем дкмай до завтра на чем мануал писать на винде или никсе напиши на том и сделаю. кстати вараинт tto есть когда сервер впн поставить на виртуалку на никсе а виртуалку на винду установить, так сказать тоже прикольный вариант.
вот вот 7 тыр пров просит , да плюс это я так думаю радиоканал не ствбильно будт нет возможности резервный канал держать, да и вдруг он из дома захочет или вообще уедет куда то а зайти захочет, а так у него всегда будет возможность.
По поводу гипервизора или виртуалбокс или вмваря, у них тоже бесплатный вариант для малого бизнеса, но я думаю что сделаю на боксе, к среде надеюсь все заколбашу.
По поводу гипервизора или виртуалбокс или вмваря, у них тоже бесплатный вариант для малого бизнеса, но я думаю что сделаю на боксе, к среде надеюсь все заколбашу.
нуну это почти как голый зад наружу выставить, и все данные что передавать просто открытым текстом, сам то много впн настроил стандартными средствами и много их у тебя работает самое главное? поделись опытом внедрения, если все так и есть, если все так и есть большими буквами анпишу что я был неправ.. в общем все это флуд.
разница между 2003 и 2008r2 ну очень на мой взгляд большая , хотя бы потому что это + 2 поколения винды, а это не просто так: вин2003-свое ядро практически, 2008=ядро вин виста, 2008r2=win7, в плане безопасности и стабильности огромный скачек вперед, кстати если уж делать к примеру встроенными средствами то уж точно нужно на 2008r2, там намного переработана эта чать с поддржкой современныхпротоколов, ну и терминал сервер улучшен впоане бесзопасноти и стабильности. но тут возникает проблема: там где у человека удаленные офисы нужно будет держать обязательно тоже только вин машины, для подключения к серваку, а если там стоит чтото древнее типа 2000/xp/03 дак вообще труба новых технологий не будет это поддерживать.. в общем можно долго обсуждать, пусть топикстартер сам думает. если интересно пробует советуется, в конце концов, его хозяйство и ему за него отвечать.
разница между 2003 и 2008r2 ну очень на мой взгляд большая , хотя бы потому что это + 2 поколения винды, а это не просто так: вин2003-свое ядро практически, 2008=ядро вин виста, 2008r2=win7, в плане безопасности и стабильности огромный скачек вперед, кстати если уж делать к примеру встроенными средствами то уж точно нужно на 2008r2, там намного переработана эта чать с поддржкой современныхпротоколов, ну и терминал сервер улучшен впоане бесзопасноти и стабильности. но тут возникает проблема: там где у человека удаленные офисы нужно будет держать обязательно тоже только вин машины, для подключения к серваку, а если там стоит чтото древнее типа 2000/xp/03 дак вообще труба новых технологий не будет это поддерживать.. в общем можно долго обсуждать, пусть топикстартер сам думает. если интересно пробует советуется, в конце концов, его хозяйство и ему за него отвечать.
(42) fadaserw,
у меня нет... мы используем ВПН второго уровня (организован провайдером), т.о. все удаленные подразделения находятся в одном адресном пространстве...
но у зукселя достаточно хорошая подборка материалов на сайте.... уверен что там есть рекомендации по организации VPN соединений через их оборудование.... справедливости ради, стоит отметить что использование именно зукселя - не обязательно.. у других брендов тоже есть неплохие решения... и даже дешевле.... ну и не стоит забывать, что скорость при использовании VPN поверх интернета - снижается.... ну и собственно тарфик никуда не девается... это если пользуешься тарифами с ограничениями по трафику...
у меня нет... мы используем ВПН второго уровня (организован провайдером), т.о. все удаленные подразделения находятся в одном адресном пространстве...
но у зукселя достаточно хорошая подборка материалов на сайте.... уверен что там есть рекомендации по организации VPN соединений через их оборудование.... справедливости ради, стоит отметить что использование именно зукселя - не обязательно.. у других брендов тоже есть неплохие решения... и даже дешевле.... ну и не стоит забывать, что скорость при использовании VPN поверх интернета - снижается.... ну и собственно тарфик никуда не девается... это если пользуешься тарифами с ограничениями по трафику...
по поводу снижени, сложно сказать по крайней мере мерял задержку от клиента до сервра и потом от клиента до сервера уже через поднятыый канал, задержка не выросла, ну илм выросла менее чем на 1 м/с, скорость, ну 70 мбит/с легкоидет чрез openpn более не было возможности померять, по стоимсти да линукс ссамое недорогое решение, а вот на коробках скокльо будет стоить уже не акт что дешево будет.
(48) falcon,
тут по поводу линукс под его цели можно поставить на любой старый комп , у меня на 20 клиентов таких мелких стоял на железе селек 1700 1гб памяти., а там где у нгего удаленные точки вообще ни какого железа не нужно так как реализация есть на любую платформу, так что подключится тоже с любого компа можно. Я единственное не вкурсе под мак есть реализация или нет, просто не было как то необходимости.
тут по поводу линукс под его цели можно поставить на любой старый комп , у меня на 20 клиентов таких мелких стоял на железе селек 1700 1гб памяти., а там где у нгего удаленные точки вообще ни какого железа не нужно так как реализация есть на любую платформу, так что подключится тоже с любого компа можно. Я единственное не вкурсе под мак есть реализация или нет, просто не было как то необходимости.
по любому впн можно завязать телефонию, если она поддерживает ИП, если панасы то там платы есть ип телефонии, а вообще если все объеденять то посмотри в сторону решений от cisko или реализация ип атс asterisk, и то и то работает со шлюзами ип телефонами и обычными телефонами любыми линиями, ... в общем тоже отдельная история.
asterisk, тож умеет работать с панасами просто в этом случае так сказать функционал растет и софтовые телефолны и любые почтии ип телефоны и пр., если у тебя много точек по 1 компу то как раз реализация очень интересна у каждой точки будет телефон с адресным пространством офиса центрального, ну и клиенты смогут позвонить звоня в офис и попасть в любую точку при этом.
начал уже было мануал писать, решил взглянуть что есть в нете, вот тут написано все кратко, по шагам , вариант сос статическими ключами.
в самом простом случае можно так, 5 топик сверху там уже не обычный общий статик кей а ключи сервера отдельно и клиента отдельно. у меня так сделано. так что смотри тут. что непонятно пиши раз тем более на винде поднимать хочешь.
в самом простом случае можно так, 5 топик сверху там уже не обычный общий статик кей а ключи сервера отдельно и клиента отдельно. у меня так сделано. так что смотри тут. что непонятно пиши раз тем более на винде поднимать хочешь.
Много букф ... тему не осилил ... На супердревних серваках подняты pfsense с openVPN для работы по RDP между двумя городами, более простые решения на pfsense+openVPN подняты на железе калькуляторного типа. Итого в остатке: нормальные сетевухи + pfsense = блекджек и девочки легкого поведения ...
fadaserw
Я бы посоветовал поднять PPTP сервер штатными средствами Windows 2003.
Или же использовать железное решение, например Mikrotik, недорогие железяки этой фирмы вполне стабильно держат у меня более 30 подключений, плюс еще правила фильтрации работают.
Я бы посоветовал поднять PPTP сервер штатными средствами Windows 2003.
Или же использовать железное решение, например Mikrotik, недорогие железяки этой фирмы вполне стабильно держат у меня более 30 подключений, плюс еще правила фильтрации работают.
(64)falcon
Почему две лицензии?
Один сервер Win 2003, на нем поднимаем PPTP сервер.
После чего на всех клиентских машинах - неважно какая там ось, серверная или нет, создаем подключение к серверу.
Вот и все.
Но я бы конечно рекомендовал железяку под это дело, стабильнее будет.
Почему две лицензии?
Один сервер Win 2003, на нем поднимаем PPTP сервер.
После чего на всех клиентских машинах - неважно какая там ось, серверная или нет, создаем подключение к серверу.
Вот и все.
Но я бы конечно рекомендовал железяку под это дело, стабильнее будет.
(66)falcon
Возможно я не совсем верно понял условия задачи.
Я думал надо подключить двадцать клиентов из регионов, а не один офис с двадцатью клиентами.
В таком случае конечно лучше будет поднять сессию на сервере в удаленном офисе, и смаршрутизировать туда трафик всего офиса. Хотя и вариант с поднятием сессии на каждой машине тоже вполне работоспособен, просто менее удобен.
Смысл моего поста (60) в том, что в данном случае, логичнее воспользоваться встроенным в сервер решением, либо купить железяку, нежели использовать для этого всякий сторонний софт, вроде OpenVPN
Возможно я не совсем верно понял условия задачи.
Я думал надо подключить двадцать клиентов из регионов, а не один офис с двадцатью клиентами.
В таком случае конечно лучше будет поднять сессию на сервере в удаленном офисе, и смаршрутизировать туда трафик всего офиса. Хотя и вариант с поднятием сессии на каждой машине тоже вполне работоспособен, просто менее удобен.
Смысл моего поста (60) в том, что в данном случае, логичнее воспользоваться встроенным в сервер решением, либо купить железяку, нежели использовать для этого всякий сторонний софт, вроде OpenVPN
Я обычно для таких целей использую такие железяки -
MikroTik RB 450G -4500руб
MikroTik RB 750 -1700руб
MikroTik RB 750GL -2600руб
Функционал шикарный, работают стабильно, очень удобны в администрировании, есть watchdog, и встроенная система мониторинга.
Это нечто среднее между SOHO роутерами и дорогими профессиональными железяками от cisco.
В общем если нет денег на профессиональную железку для впн, которая стоит как правило от 400$ и выше, то это самый удачный вариант.
MikroTik RB 450G -4500руб
MikroTik RB 750 -1700руб
MikroTik RB 750GL -2600руб
Функционал шикарный, работают стабильно, очень удобны в администрировании, есть watchdog, и встроенная система мониторинга.
Это нечто среднее между SOHO роутерами и дорогими профессиональными железяками от cisco.
В общем если нет денег на профессиональную железку для впн, которая стоит как правило от 400$ и выше, то это самый удачный вариант.
pptp штатными средствами не стоит , в случае неполадок в работе да даже в настройке очень сложно диагностируемое решение, пока рзберешся подумаешь, кто дернул за ногу сесть на эту тарантайку))). да и стабильностью не отличающееся...
В ощем можно долго разглогольствовать, там еще в первых постах писал про железные решения, подведу итог ккак я вижу:
1. если нет как такого шлюза в нет и человек готов на каждую удаленку купить по коробочке то не самое плохое решение тем более коробка возможно умеет поднимать соединение типа ппое до провайдера. по поводу производетелей микротиком не работал, работал из дешевых решений с длинк,Ю нетгир микронет, длин точно на мойц взгляд не стоит полный треш не стабильно ипр. Неткир неплохо, есть даже решения где к коробке можно вполне подключаться клиентов софтовым, идет в комплекте. микронет отлично за минимум денег , но проблема сложно найти в продажа на данный момент.
2. есть шлюз нужно его использовать и ставить туда openvpn легко маштабируемое кросплатформенное решение, выдерживает любые нагрузки. либо если нет шлюза или отдельно впн сервака поднять на nix системах ubuntu freebsd или их клонов типа pfsens и пр., и использовать, помимо опен впн7 можно много всего на такой гейт навесить от самых простых прог для мониторинга канала и пр. до очень сложных решений по безопасности.
3. встроенныве средства, ну если только хочется огрести геморой.
1. если нет как такого шлюза в нет и человек готов на каждую удаленку купить по коробочке то не самое плохое решение тем более коробка возможно умеет поднимать соединение типа ппое до провайдера. по поводу производетелей микротиком не работал, работал из дешевых решений с длинк,Ю нетгир микронет, длин точно на мойц взгляд не стоит полный треш не стабильно ипр. Неткир неплохо, есть даже решения где к коробке можно вполне подключаться клиентов софтовым, идет в комплекте. микронет отлично за минимум денег , но проблема сложно найти в продажа на данный момент.
2. есть шлюз нужно его использовать и ставить туда openvpn легко маштабируемое кросплатформенное решение, выдерживает любые нагрузки. либо если нет шлюза или отдельно впн сервака поднять на nix системах ubuntu freebsd или их клонов типа pfsens и пр., и использовать, помимо опен впн7 можно много всего на такой гейт навесить от самых простых прог для мониторинга канала и пр. до очень сложных решений по безопасности.
3. встроенныве средства, ну если только хочется огрести геморой.
завтра начну писать про подключение сервер-много клиентов, там установка с настройкой по сложнее будет, так что за 1-н день, не обещаю сделать но постараюсь, пока читаем эту ставим +
Будут кому то интересно на *nix тож сделаю, с выкладкай готового сервака, который запустил и работай.
Будут кому то интересно на *nix тож сделаю, с выкладкай готового сервака, который запустил и работай.
сначала на винде допишу для подключения точка-много точек, это как раз твой случай, рекомендую попробовать, у меня раньше стояла win2003 с серваком как раз openvpn + разные файрволы пробовал, в итоге остановился на kerio winroute , отличное решение получилось, керио и маршрутизацию по уму в отличии от винды делал, и файрвол и прокся для пользователей в общем сервак все в одном был, и шлюз и впн и пр., потом уже с течением времени перешел на никсы, никс конечно пошустрее винды и требования к железу по менее, но на тот момент я этого не знал, а перешел так как была команда на белый софт переходить, .... на клиенские машины денег дали и на 1-у серверную винду, а вот на шлюз не осталось, когда же посотрели что я еще и на керио прошу денег вообще сказали что не будет более...)) вот так вот в добровольно принудительном порядке я стал изучать никс системы.....)))
В общем так что винда на самом деле нормальный вариант, особенно если есть возможность дополнить нормальным софтом ее и связка OpenVpn+Kerio как раз то что ей не хватает.
В общем так что винда на самом деле нормальный вариант, особенно если есть возможность дополнить нормальным софтом ее и связка OpenVpn+Kerio как раз то что ей не хватает.
Для получения уведомлений об ответах подключите телеграм бот:
Инфостарт бот