VPN Router Watchguard

Да проблем было и будет достаточно, без этого и не бывает. Но все решаемо. Решил пока не рыпаться. Остановлюсь на годик-друой
на этом девайсе. После стресса с принудительной конфигурацией в кратчйшие строки я внушил себе, что меня все устраивает

пока писал(а):

Великое дело вера.

Дальше следует убеждение, за ним можно и горы свернуть.

Вах! Красыво гаварыш, дарагой!

С понедельника 3 дня шулюнг. Посмотрим будет ли толк или опять варить воду в ступе будут...
Но факт остается фактом: на Watchguard "сидят" очень много бльших фирм от 300 пользователей и выше. Из тех, на которых был
явно больше половины. В Америке Watchguard распространен еще больше, чем в Европе.

X1250e может только 500 VPN SSL tunnels одновременно поддерживать, не говоря уже об остальном

На практике до 200 и всё процессор загружен на 98 %
Механизм кэширования или выделенного трафика (QoS) тебе известен?
Или на твоей практике все юзики одновременно качают ослом порнуху?

hifahif
Тебе, мил-человек, одна дорога: в баню. Там тебя отмоют и может даже, ну если
уж очень часто кликать будешь -> приголубят

Я 100 проектов по Watchguard не делал и вообще с ним ознакомился не по своей воле.
На данный момент заинсталлировал Watchguard на нескольких филиалах.
Всегда использую ISA-Server для кэширования часто посещаемых страниц.
Ну а теперь тебе самое время заканчивать с беспредметными скатываниями со стула и начинать
с непосредственного катания под столом.
И от туда же, кстати, можешь продуктивненько начитать свой 101-вый или 501-вый Watchguard-Projekt. Удачи

Ладно, проехали
Сейчас должен делать downgrade c 11.02 на 10ю версию.
11.01 и 11.02 работают нестабильно. В моем случае телеворкеры
слетают и через 1-2 дня и надо перестартовывать рутер.
BranchOffice Verbindungen работают нормально.
Перестартовку рутера можно было бы автоматизировать, но я считаю, что
это не совсем нормально.

Те клиенты, которые заходят через SSL и через Active Directory проблем не имеют.
Проблемы возникают у телеворкеров с PPTP. Это в основном Aussendienstler, которых я
уже пару лет не видел или шефы-упрямцы, отрицающие все нововведения, связанные с
их ноутебуками. Их кофигурацию я просто перенял 1:1 с BinTec.

Вышла новая версия: 11.2
Проблему устранила.

kruser писал(а):

@ Дима_AC: спасибо, вишь я бы наверное так быстро и не заметил :]
слава Богу у меня запасной 2930 есть ~ завтра (если время будет) проапдейтю для теста ~ отпишусь; а вообще к вигорам отношусь с уважением, когда планировал впн тож сначала сравнивал Драытек и Бинтец, но посмотрев на цену и характеристики, всёж взял Драытек и не пожалел (пока :~) Единственное были проблемы поначалу с Уних, Драытек после 15~20 минут активности переставал принимать пакеты, за 2 дня тестового "вещания" у меня раз 5 садилась батарейка на сотке и на телефоне (да и меня стало колиграмма на 3 меньше С.), после переговоров с суппортом и пары недель ожидания, дали подкорректированную Firmware > и заработало !

Привет, Сергей,
надеюсь, ты иногда заходишь в этот раздел
В общем, в двух словах : решился последовать твоему примеру и поставить у одного серьезного клиента на пять филиалов 5 Draytek рутеров.
Ситуация такая: основной офис имеет 2 синхронных DSL mit 4MB Upload. 1 DSL Leitung работает с Watchguard. 2 DSL Leitung работает с BinTec и используется kak Backup-Leitung +
для Teleworker mit SSL VPN, т.к. Порт 443 зарезервирован на Watchguard для Exchange OWA + OMA. Планирую заменить BinTec на Draytek.
Использовал Draytek уже года 3 für Schulen und Schulverwaltungen. Все работает/работало прекрасно. Проблемы начались сейчас, при конфигурации VPN Lan to Lan.
Тестирую сейчас пока три Draytek рутера: Trier - основной офис, Luxemburg- Zweigstelle, Koblenz-Zweigstelle. VPN Lan to Lan über IPSec.
При этой конфигурации работает нормально: Trier-> VPN Server 192.168.0.1 für Koblenz 192.168.1.0 und Lux 192.168.2.0 -> VPN Clients. Verbiondungen sollen in beide Richtungen funktionieren:
a) RIP Direction TX/RX Both
b) From first subnet to remote network, you have to do: Route
VPN-Client:
a) IPSec Security Method DES with Authentication-> Main mode или может лучше DES withоut Authentication, как рекомендует FAQ?
b) TCP/IP Network Settings-> More-> Remote Network 192.168.1.0 (bei VPN-CLient Lux) und 192.168.2.0 (bei VPN-CLient Koblenz). Для того, чтобы Lux + Koblenz могли между собой тоже коммуницировать.
Этот вариант работает стабильно, единственное я еще не решил какой выбрать IPSec Security Method DES with Authentication-> Main mode oder DES withоut Authentication .
При DES withоut Authentication RDP работает, конечно, немного быстреe. Датентрансфер еще не тестировал.

Не получается такой вариант:
a) VPN-Server Trier für Lux und Koblenz, VPN-CLients Lux und Koblenz für VPN Server Trier+ kein Remote Network Eintrag unter TCP/IP Network Settings-> More-> Remote Network (statische Route).
b) VPN-Server Koblenz für Lux, VPN-Client Lux für Koblenz.
Der Punkt "b" macht Probleme: die Datenpakete zwischen VPN-Server Koblenz und VPN-Client lux gehen ständig verloren, die VPN-Verbindung wird ständig getrennt und wieder aufgebaut.
Уже разговаривал с Draytek Hotline. Непривычно, что все бесплатно, очень вежливы и идут на встречу. Но их специалисты не идут ну ни в какое сравнение с Watchguarg или BinTec/Funkwerk
Hotline. Похоже им проблема не известна и мне сначала сказали, что я должен рутеры Koblenz-Lux обнулить специальным Firmware и вручную(!!!) проконфигурировать по новой.
После этого мне пришлось им доказывать, что проблема не в этом, а в конфигурации дизайна. Короче, как по мне, то лучше бы Hotline была платной и проблема была бы решена моментально.
Поделись, пожалуйста, опытом, как ты проконфигурировал свой филиалы. Спасибо!

Привет Сергей, спасибо за ответ! Послал тебе Е-Mail в PM...

Привет Сергей!
Все получил, большое спасибо за помощь! Разбираюсь, не все работает так, как хотелось бы.
Draytek-Support не во всех отношениях компетентен. Общаюсь там с Герром Кремзель и Герром Фальк.
Первый, видно, совсем новичек и плавает, второй во многом разбирается, но тоже часто должен обращаться ихнему гуру.
В общем, у меня несколько глобальных проблем. С такой конфигурацией, как у тебя, mit statische Route у меня тоже работает, не работает тот вариант,
который я описал выше. И Фальк не может эту проблему пока решить. Сначала сказал, что Router-Firmware надо обнулить с rst-Firmware, потом,
когда я просто сегодня настроил 3 других рутера, затих. Надеюсь разберется.
Другая проблема в том, что на основном рутере мне надо два IP-Adressen Bereiche. Один сейчас актуален, а другой, старый остался для сервера с Zeiterfassungssoftware
на который подключенно более 10 терминалов, находящихся в радиусе 300-500км. На терминалах IP-Adresse надо менять вручную, да и сам Zeiterfassungserver
надо перелопaтить, что-то как всегда не заработает итд. BinTec, Watchguard and Co справляются с 2x IP-Adressenbereiche без проблем. Draytek 2930 это не делает.
Я поизвращался с рутингом, но бесполезно. Заказал сегодня новый Draytek 3200, который был представлен на Cebit, он это может. Только имет один LAN-Port
и выход надо еще отфильтровывовывать:) через дополнительный Switch mit VLAN-Funktionalität. Вроде то, что мне надо. Пожалуйста зарегистрируйся для просмотра данной ссылки на страницу.Советую тебе, кстати, обновить Firmware на 3.3.0. Понятно, донт тач зе раннинг систем, но я сейчас в усиленных тестах и если через месяц-два все будет ОК, то
могу выложить скриншоты и смело ставь...
PS. запланировал, кстати, Пожалуйста зарегистрируйся для просмотра данной ссылки на страницу. чтобы со временем убрать не только Bintec-рутеры, но и 4x Watchguard.

Попробую сформулировать по другому. Есть центральный филиал: А и офисы B, C и D.
A - это VPN-Сервер. B, C и D это VPN-Clients.
IP-Bereiche:
A: 192.168.0.0
B: 192.168.1.0
C: 192.168.2.0
D: 192.168.3.0
При этой конфигурации B, C и D могут коммуницировать только с сервером A и не могут между собой.
Для того, чтобы B, С и D могли коммуницировать между собой, делаем статический рутинг:
Для B: -> 192.168.2.0 + 192.168.3.0
Для C: -> 192.168.1.0 + 192.168.3.0
Для D: -> 192.168.1.0 + 192.168.2.0
Tak, kak и сделанно у тебя. У меня эта конфигурация работает тоже отлично и без проблем.
Не работает конфигурация без статического рутинга, т.к. при рутинге идет потеря скорости, если, к примеру тебе надо зайти с C на B, то все запросы сначала посылаются на A: C->A->B.
Я хочу сделать соединения не так: B->A->D, C>A->D, B->A->C, a так: B->D, C->D, B->C
Тогда мне надо еще два дополнительных VPN-Server. Например B-VPN-Server для C + D и C-VPN-Server для D. Вот именно эта конфигурация и не работает и Фальк вместе с ихним англцким или индийским гуру усиленно чешут репу.
Сколько у тебя идет одновременных соединений через Централе? У меня может быть гораздо больше ста и если нагрузить центральный рутер еще и дополнительным рутингом, то будет кирдык и секир башка.
Хоть новая модель 3200 и имеет быстрый процессор, но больше, чем 50 соединений ему лучше не поручать. Я надеюсь, сейчас понятно описал?Да, кстати L2TP через IPSec жрет ресурсы не по деЦки. Советую в твоем случае, после обновления FW, L2TP убрать и оставить IPSec in MainMode + DES-Auth (или если скорость совсем хороша 3DES).
Так же важно не забыть Peer ID. Если хочешь, вышлю работающую конфигурацию на мыло.
Если не трудно, отпишись, пожалуйста, сколько у тебя идет одновременных соединений через централе. Спасибо!