Comments 19
Ну или хотя бы:
— Какой тип сервера нужен и как его сконфигурировать?
— Как настроить конечное устройство (хотя бы смартфон)?
Надеюсь, правильно понял вопрос. Я не автор, но могу рассказать, как это работает с точки зрения пользователя. По сути, клиенту настраивать ничего вообще не надо (кроме L2 до оператора из своей сети). Это чистой воды услуга оператора, преимущественно для корпоративных клиентов.
Если клиенту нужна изолированная мобильная сеть, то оператор заводит ему что-то типа “VLAN”, в который селит специальную пачку номеров/SIM-карт клиента, которые ему выдаются. Так, все устройства, которые зарегистрируются в сети с этими SIM-картами, попадут в изолированный L2 сегмент. А дальше, клиент «пригоняет» оператору стык со своей сетью: либо тёмной оптикой, либо через IPSec, либо через MPLS, чем увязывает мобильный сегмент сети со своей сетью, маршрутизатором и прочим. Соответственно, мобильный сегмент имеет доступ в интернет только через маршрутизатор клиента, а не оператора, естественно, в соответствии с политиками доступа клиента.
Это не VPN в понимании широкого слоя населения, это операторская услуга изолированной сети на своих мощностях (MPLS, L3VPN).
По поводу настроек оконечных устройств все совсем просто. Примеры для айфона и модема на картинках, но, как я упоминал, есть схемы, где и их не нужно делать.
Я сомневаюсь, что из-за нескольких десятков симкарт оператор будет гореть желанием её предоставить, или откажут или тариф окажется заградительным, чтобы клиент сам не захотел.
серый адрес -> l2tp туннель до сервера -> шифрование канала.
L3VPN хорош возможностью настроить QoS. В статье про это не слова.
Схема с туннелированием с самого устройства описана в ограничениях в самом начале: она выдвигает ряд требований к устройству, которые не во всех случаях оправданно выполнять. В случае с банкоматом это может иметь смысл, т.к. они как правило не испытывают проблем с электропитанием и у них нет ограничений по размерам. А вот уже с мобильными терминалами оплаты ситуация может отличаться. Ещё есть примеры со счетчиками, датчиками и прочим другим.
Работа с QoS возможна для классического L3VPN, то есть в данном случае только на участке фиксированной сети. На мобильной части сети оператора QoS в классическом его понимании работать не будет, максимум ваши метки оставят нетронутыми.
У темы с IMEI есть несколько вариаций: есть более дубовый, когда симка запоминает первый определившийся IMEI, который из ее памяти ничем не вышибить, а есть более гибкие настройки через CMP (у Мегафон это «М2М Мониторинг»), когда можно отправить уведомление администратору, определить местоположение, заблокировать часть сервисов и т.д.
А если нужно ещё больше секьюрности, можно авторизовать каждую сим-карту по индивидуальным логинам и паролям. Ещё и на клиентском Радиусе.
Что интересно, несмотря на все разнообразие возможностей по настройке правил пропуска трафика на стороне Вашего роутера, большая часть клиентов такого сервиса, как показывает практика, предпочла бы передать эту задачу оператору.
А на счёт тарификации есть варианты. Как правило, операторы продают трафик пакетами на сим-карту, причём плата за одну симку не может быть меньше определённого значения, обусловленного затратами. Для оператора дороже именно количество абонентов, а не объём трафика. Поэтому, если пакет маленький, то стоимость мегабайта в нем больше. В помегабайтной тарификации аналогичный расчёт. Бывают разные ухищрения вроде общего пакета на все симки или выбора тарифа уже по факту потребления, но это все может сэкономить максимум 30-40% от счёта при условии, что у Вас не какой-то совсем нерыночный тариф.
Наше решение больше для B2B клиентов, но и многие частные клиенты используют нас как точки доступа.
оператор связи ОТК
VPN для мобильных устройств на уровне сети