Да проблем было и будет достаточно, без этого и не бывает. Но все решаемо. Решил пока не рыпаться. Остановлюсь на годик-друой
на этом девайсе. После стресса с принудительной конфигурацией в кратчйшие строки я внушил себе, что меня все устраивает
VPN Router Watchguard
- Dima_AC
- Вопрос темы решён
-
-
Великое дело вера.
Дальше следует убеждение, за ним можно и горы свернуть.
-
Великое дело вера.
Дальше следует убеждение, за ним можно и горы свернуть.
Вах! Красыво гаварыш, дарагой!С понедельника 3 дня шулюнг. Посмотрим будет ли толк или опять варить воду в ступе будут...
Но факт остается фактом: на Watchguard "сидят" очень много бльших фирм от 300 пользователей и выше. Из тех, на которых был
явно больше половины. В Америке Watchguard распространен еще больше, чем в Европе. -
Fazit: Рутеры серии x-core можно смело устанавливать на фирмы от 1000 юзеров и выше
Зачем же так вводить народ и фирмы в заблуждение. Keksdosen типа х1250 макс. до 1000. На практике до 200 и всё процессор загружен на 98 %
-
X1250e может только 500 VPN SSL tunnels одновременно поддерживать, не говоря уже об остальном
На практике до 200 и всё процессор загружен на 98 %
Механизм кэширования или выделенного трафика (QoS) тебе известен?
Или на твоей практике все юзики одновременно качают ослом порнуху? -
-
Механизм кэширования или выделенного трафика (QoS) тебе известен?
Или на твоей практике все юзики одновременно качают ослом порнуху?
Прочитав ентот пост, со стула скотился. Какие механизмы кеширования или выделенного трафика?
Они то здесь каким местом прикладываются.
Ты писал про 1000 юзиков и выше, прочитав технические данные, я немного сократил изходя из практики.
И на моей практике более сотни проектов с WatchGuard. И никто пока из клиентов не качают ослом порнуху.
Хотя на STM-1 с пропускной в 155 Mbit можно столько всего накачать -
Я 100 проектов по Watchguard не делал и вообще с ним ознакомился не по своей воле.
На данный момент заинсталлировал Watchguard на нескольких филиалах.
Всегда использую ISA-Server для кэширования часто посещаемых страниц.
Ну а теперь тебе самое время заканчивать с беспредметными скатываниями со стула и начинать
с непосредственного катания под столом.
И от туда же, кстати, можешь продуктивненько начитать свой 101-вый или 501-вый Watchguard-Projekt. Удачи -
Дык, в стойку ты встал. Удачи и вам желаю в начинаниях...
По существу.
Ищу субподрядчиков с опытом и знания UTM и XTM железок WatchGuard, с версии ОС 10.
CAG с версии 4.5
Командировки в Россию.
Вопросы? Отвечу. -
Ладно, проехали
Сейчас должен делать downgrade c 11.02 на 10ю версию.
11.01 и 11.02 работают нестабильно. В моем случае телеворкеры
слетают и через 1-2 дня и надо перестартовывать рутер.
BranchOffice Verbindungen работают нормально.
Перестартовку рутера можно было бы автоматизировать, но я считаю, что
это не совсем нормально. -
Клиенты только по SSL заходят или на сертификатах, и как управляется такая масса пользователей?
пысы я в россию не поеду ну если только за длинным рублём. -
Те клиенты, которые заходят через SSL и через Active Directory проблем не имеют.
Проблемы возникают у телеворкеров с PPTP. Это в основном Aussendienstler, которых я
уже пару лет не видел или шефы-упрямцы, отрицающие все нововведения, связанные с
их ноутебуками. Их кофигурацию я просто перенял 1:1 с BinTec. -
Вышла новая версия: 11.2
Проблему устранила. -
@ Дима_AC: спасибо, вишь я бы наверное так быстро и не заметил :]
слава Богу у меня запасной 2930 есть ~ завтра (если время будет) проапдейтю для теста ~ отпишусь; а вообще к вигорам отношусь с уважением, когда планировал впн тож сначала сравнивал Драытек и Бинтец, но посмотрев на цену и характеристики, всёж взял Драытек и не пожалел (пока :~) Единственное были проблемы поначалу с Уних, Драытек после 15~20 минут активности переставал принимать пакеты, за 2 дня тестового "вещания" у меня раз 5 садилась батарейка на сотке и на телефоне (да и меня стало колиграмма на 3 меньше С.), после переговоров с суппортом и пары недель ожидания, дали подкорректированную Firmware > и заработало !
Привет, Сергей,
надеюсь, ты иногда заходишь в этот раздел
В общем, в двух словах : решился последовать твоему примеру и поставить у одного серьезного клиента на пять филиалов 5 Draytek рутеров.
Ситуация такая: основной офис имеет 2 синхронных DSL mit 4MB Upload. 1 DSL Leitung работает с Watchguard. 2 DSL Leitung работает с BinTec и используется kak Backup-Leitung +
для Teleworker mit SSL VPN, т.к. Порт 443 зарезервирован на Watchguard для Exchange OWA + OMA. Планирую заменить BinTec на Draytek.
Использовал Draytek уже года 3 für Schulen und Schulverwaltungen. Все работает/работало прекрасно. Проблемы начались сейчас, при конфигурации VPN Lan to Lan.
Тестирую сейчас пока три Draytek рутера: Trier - основной офис, Luxemburg- Zweigstelle, Koblenz-Zweigstelle. VPN Lan to Lan über IPSec.
При этой конфигурации работает нормально: Trier-> VPN Server 192.168.0.1 für Koblenz 192.168.1.0 und Lux 192.168.2.0 -> VPN Clients. Verbiondungen sollen in beide Richtungen funktionieren:
a) RIP Direction TX/RX Both
b) From first subnet to remote network, you have to do: Route
VPN-Client:
a) IPSec Security Method DES with Authentication-> Main mode или может лучше DES withоut Authentication, как рекомендует FAQ?
b) TCP/IP Network Settings-> More-> Remote Network 192.168.1.0 (bei VPN-CLient Lux) und 192.168.2.0 (bei VPN-CLient Koblenz). Для того, чтобы Lux + Koblenz могли между собой тоже коммуницировать.
Этот вариант работает стабильно, единственное я еще не решил какой выбрать IPSec Security Method DES with Authentication-> Main mode oder DES withоut Authentication .
При DES withоut Authentication RDP работает, конечно, немного быстреe. Датентрансфер еще не тестировал.Не получается такой вариант:
a) VPN-Server Trier für Lux und Koblenz, VPN-CLients Lux und Koblenz für VPN Server Trier+ kein Remote Network Eintrag unter TCP/IP Network Settings-> More-> Remote Network (statische Route).
b) VPN-Server Koblenz für Lux, VPN-Client Lux für Koblenz.
Der Punkt "b" macht Probleme: die Datenpakete zwischen VPN-Server Koblenz und VPN-Client lux gehen ständig verloren, die VPN-Verbindung wird ständig getrennt und wieder aufgebaut.
Уже разговаривал с Draytek Hotline. Непривычно, что все бесплатно, очень вежливы и идут на встречу. Но их специалисты не идут ну ни в какое сравнение с Watchguarg или BinTec/Funkwerk
Hotline. Похоже им проблема не известна и мне сначала сказали, что я должен рутеры Koblenz-Lux обнулить специальным Firmware и вручную(!!!) проконфигурировать по новой.
После этого мне пришлось им доказывать, что проблема не в этом, а в конфигурации дизайна. Короче, как по мне, то лучше бы Hotline была платной и проблема была бы решена моментально.
Поделись, пожалуйста, опытом, как ты проконфигурировал свой филиалы. Спасибо! -
Дима, привет!
в Zentrale у меня feste IP - CompanyConnect - Draytek 2930
Филиалы ADSL - Draytek 2900 - VPN zu Zentrale. В основном хватает связи филиалов и Zentrale, есть пара исключений с static Route.
Жаль не вижу втоего мэйл адреса, сделал скринов, но не хочется все постить, дай bitte mail-adresse ? -
Привет Сергей, спасибо за ответ! Послал тебе Е-Mail в PM...
-
Привет Сергей!
Все получил, большое спасибо за помощь! Разбираюсь, не все работает так, как хотелось бы.
Draytek-Support не во всех отношениях компетентен. Общаюсь там с Герром Кремзель и Герром Фальк.
Первый, видно, совсем новичек и плавает, второй во многом разбирается, но тоже часто должен обращаться ихнему гуру.
В общем, у меня несколько глобальных проблем. С такой конфигурацией, как у тебя, mit statische Route у меня тоже работает, не работает тот вариант,
который я описал выше. И Фальк не может эту проблему пока решить. Сначала сказал, что Router-Firmware надо обнулить с rst-Firmware, потом,
когда я просто сегодня настроил 3 других рутера, затих. Надеюсь разберется.
Другая проблема в том, что на основном рутере мне надо два IP-Adressen Bereiche. Один сейчас актуален, а другой, старый остался для сервера с Zeiterfassungssoftware
на который подключенно более 10 терминалов, находящихся в радиусе 300-500км. На терминалах IP-Adresse надо менять вручную, да и сам Zeiterfassungserver
надо перелопaтить, что-то как всегда не заработает итд. BinTec, Watchguard and Co справляются с 2x IP-Adressenbereiche без проблем. Draytek 2930 это не делает.
Я поизвращался с рутингом, но бесполезно. Заказал сегодня новый Draytek 3200, который был представлен на Cebit, он это может. Только имет один LAN-Port
и выход надо еще отфильтровывовывать:) через дополнительный Switch mit VLAN-Funktionalität. Вроде то, что мне надо. Пожалуйста зарегистрируйся для просмотра данной ссылки на страницу.Советую тебе, кстати, обновить Firmware на 3.3.0. Понятно, донт тач зе раннинг систем, но я сейчас в усиленных тестах и если через месяц-два все будет ОК, то
могу выложить скриншоты и смело ставь...
PS. запланировал, кстати, Пожалуйста зарегистрируйся для просмотра данной ссылки на страницу. чтобы со временем убрать не только Bintec-рутеры, но и 4x Watchguard. -
Дима, привет !
пока писал 2 раза вылете, то одно, то другое вкратце...
Спасибо тебе за neue Firmware - попробую на следующей неделе, насчет "running system" не беда, у меня запасной естьДим, я тут почему то туплю:
Цитатаb) VPN-Server Koblenz für Lux, VPN-Client Lux für Koblenz.
Der Punkt "b" macht Probleme: die Datenpakete zwischen VPN-Server Koblenz und VPN-Client lux gehen ständig verloren, die VPN-Verbindung wird ständig getrennt und wieder aufgebaut.теряется именно VPN Verbindung ? или какая то Anwendung kriegt einen time out ?
-
Попробую сформулировать по другому. Есть центральный филиал: А и офисы B, C и D.
A - это VPN-Сервер. B, C и D это VPN-Clients.
IP-Bereiche:
A: 192.168.0.0
B: 192.168.1.0
C: 192.168.2.0
D: 192.168.3.0
При этой конфигурации B, C и D могут коммуницировать только с сервером A и не могут между собой.
Для того, чтобы B, С и D могли коммуницировать между собой, делаем статический рутинг:
Для B: -> 192.168.2.0 + 192.168.3.0
Для C: -> 192.168.1.0 + 192.168.3.0
Для D: -> 192.168.1.0 + 192.168.2.0
Tak, kak и сделанно у тебя. У меня эта конфигурация работает тоже отлично и без проблем.
Не работает конфигурация без статического рутинга, т.к. при рутинге идет потеря скорости, если, к примеру тебе надо зайти с C на B, то все запросы сначала посылаются на A: C->A->B.
Я хочу сделать соединения не так: B->A->D, C>A->D, B->A->C, a так: B->D, C->D, B->C
Тогда мне надо еще два дополнительных VPN-Server. Например B-VPN-Server для C + D и C-VPN-Server для D. Вот именно эта конфигурация и не работает и Фальк вместе с ихним англцким или индийским гуру усиленно чешут репу.
Сколько у тебя идет одновременных соединений через Централе? У меня может быть гораздо больше ста и если нагрузить центральный рутер еще и дополнительным рутингом, то будет кирдык и секир башка.
Хоть новая модель 3200 и имеет быстрый процессор, но больше, чем 50 соединений ему лучше не поручать. Я надеюсь, сейчас понятно описал?Да, кстати L2TP через IPSec жрет ресурсы не по деЦки. Советую в твоем случае, после обновления FW, L2TP убрать и оставить IPSec in MainMode + DES-Auth (или если скорость совсем хороша 3DES).
Так же важно не забыть Peer ID. Если хочешь, вышлю работающую конфигурацию на мыло.
Если не трудно, отпишись, пожалуйста, сколько у тебя идет одновременных соединений через централе. Спасибо! -
LAN to LAN - 25-27 Verbindungen plus 2-3 Teleworker.
Цитатаa так: B->D, C->D, B->C
ясно. Не пробовал, так как думал, что всё равно не получится - очень заинтересовало, как только они (почесав репы ) чего нибудь надумают - отпишись пожалуйста !
ЦитатаСоветую в твоем случае, после обновления FW, L2TP убрать и оставить IPSec in MainMode + DES-Auth (или если скорость совсем хороша 3DES).
после обновления надо рискнуть, когда "строил" VPN в 2005 были заморочки, но и другой рутер в Zentrale, так что будем посмотреть.
ЦитатаТак же важно не забыть Peer ID. Если хочешь, вышлю работающую конфигурацию на мыло.
на 2930 ?