Как стать автором
Обновить

Комментарии 36

НЛО прилетело и опубликовало эту надпись здесь
В данном случае от конечного устройства мало что зависит, инновация состоит именно в серверной инфраструктуре. Пользователь получает доступ к локальной сети через внешний шлюз, конечное устройство в локальной сети так же соединяется со внешним шлюзом, а потом эти два VPN соединения замыкаются. Если покупать готовый асус, то при прямых руках можно сделать что-то очень отдаленно похожее на VPN Box Active, только без портала управления пользователями и без автоматической генерации профилей. Но для этого необходимы технические знания выше среднего.
НЛО прилетело и опубликовало эту надпись здесь
Стоимость настройки скорее всего окажется выше, чем установка VPN Box. При этом нет гарантий качества и правильности конфигурации VPN-доступа. Не будет и SLA. Не будет авторизации по сертификатам и профилей для мобильных устройств. Не будет удобного портала управления пользователями. Не будет классной функции Connect On Demand на айфонах/айпадах.
НЛО прилетело и опубликовало эту надпись здесь
Так как услуга предоставляется на платной основе, т.е. за деньги, то с клиентом заключается договор. В договоре прописывается SLA, т.е. гарантированное время доступности сервиса. Это одна часть измерения качества сервиса.
Так же компания своевременно применяет обновления безопасности на всех узлах системы, все узлы подключены к системе мониторинга. При желании, администратор клиента может получать уведомления о всех инцидентах, связанных с его VPN Box.
Приходящий админ вряд ли такое сможет предложить. :-)
Если мы ставим это в LAN'e тогда порты все равно придется пробрасывать?
Нет, не надо. Устройство инициирует исходящее соединение, а порты пробрасывают для входящих.
Инициирует соединение до удаленного айпада/айфона/ноутбука? Что за чудеса?
Ну если совсем упрощать, то примерно так и есть. :-)
Устройство инициирует соединение до VPN-шлюза, а удаленный айфон так же подключается к этому шлюзу, там два VPN-соединения коммутируются. И айфон получает доступ к локальной сети. В этом и есть инновация проекта :-)
Многим паранойя не позволит гонять свой трафик через чужие шлюзы. Я бы не рискнул.
Для этого предусмотрен вариант Active, тогда весь трафик идет напрямую на устройство, и вот тогда придется пробрасывать порты.
Как эта штука будет конкурировать с MikroTik? Сколько стоит эта чудо-коробочка?
Как я уже писал, само устройство может быть почти любым, даже виртуалка. Самая важная часть — серверная инфраструктура. Насколько я знаю, стоимость коробочки будет равна стоимости платформы-донора + некий процент за прошивку, а затем будет браться небольшая абонентская плата за использование VPN-шлюза и всей инфраструктуры.
Уважаемый, ваша статья и комментарии перегибают в сторону я пиарюсь или прощупываю свою нишу. Будьте открыты (особенно в эпоху нарастающей паранойи) с аудиторией напишите подробную статью, что делает устройство, как устроенно и сколько вы просите за свою работу. Если ваши усилия стоят того, то я бы с радостью сложил на полочку и pfsense с mikrotik и смету на покупку фаерволов, заказал бы десяток вундер коробочек и понаставил в предприятиях. А на вопрос можете ли сделать удаленку защищенную, без вопросов об имеющей инфраструктуре предприятия, смело отвечал — да, можем как раз наш соответчик сделал готовое решение для ваших нужд.
Я не писатель, я — инженер :-)
С удовольствием отвечу на конкретные вопросы.
Решение использует только open-source продукты, все отрыто. ОС — OpenWRT, IPSec — StrongSWAN, авторизация — FreeRADIUS, база данных — PostgreSQL, мониторинг — Zabbix.
Розничная стоимость базового устройства на базе ALIX2D13 — 8990 руб. без НДС.
Защищенную удаленку сделать смогу, буквально методом Plug-and-Play, тут сомнений нет. :-)
Ну про подключение мобильных пользователей я ничего не скажу, но по факту сейчас вроде почти все умеют openVpn из коробки и даже с сертификатами.
А по деле приходилось поднимать L2 туннель между 2 офисами заказчика, до этого о openVpn почти ничего не знал. Но времени потребовалось пол дня чтобы настроить и протестировать. В итоге устройства во 2 офисе часто стали получать ip адреса от центрального Win DHCP сети, а не от близкого DHCP в Asus RT-N16 и мы смогли полностью его погасить.

Головной офис сервер на базе компьютера под управлением CentOS по совместительству сетевой шлюз и firewall
Доп офис Asus RT-N16 + DD-WRT
У нас vpn на win2k8 сервере прокинут через обычный zyxel с NAT наружу.
Это равноценная замена коробочке?
Нет, ваш VPN как минимум требует настройки. А в реальности скорее всего у вас нет профилей для мобильных устройств, со стороны пользователя все настраивается вручную по инструкции. При желании коробочку можно подружить с Active Directory, тогда будет достаточно добавить пользователя в группу, например, VPN Box users, и все настройки будут высланы пользователю автоматически, по контактным данным из AD.
А чем обусловлен выбор openWRT вместо yocto?
Отсутствием знаний о yocto.
НЛО прилетело и опубликовало эту надпись здесь
Фишка в том что у вас тулзы билдятся один раз. Дополнительно можно цеплять туда уже готовые бинарные тулчейны.
В OpenWRT примерно то же самое, это такой модифицированный Buildroot. Честно говоря, он мне больше yocto нравится. Система сборки OpenWRT тоже поддерживает бинарные тулчейны и сборку пакетов один раз, как и может свой тулчейн скомпилировать, на основе uClibc / eglibc / glibc.
Удаленный web/vpn портал (инфраструктура), на российских серверах, или в Норвегии? А то в связи с последними тенденциями зарубеж не очень любят.
В Норвегии. Одно дело что не любят наши депутаты, а другое дело — что предпочитают пользователи. Нет никаких проблем перенести VPN-шлюз в российский сегмент, чтобы трафик за границу не гонять. Персональные данные хранятся у российского представителя. Все остальное пусть будет в Норвегии, так надежнее.
А та что подороже, сколько стоит?
от 12950 руб. без НДС.
Для домашней сети поднял нечто подобное. Микротик в Германии — в качестве активного узла, к нему подключаются домашние микротики: мой, родителей, сестры и офиса. Работает аналогично вашей схеме. Но есть огромный плюс — помимо соединений с центральным, все микротики соеденены и напрямую между собой — во первых скорость выше, во вторых падение одного узла (любого) не делает недоступным другие. Коробочки RB450 — брал примерно два года назад по 1600р. У вас сильно дороже выходит. Настраивается буквально за пару часов, работает идеально — никаких сбоев за полтора года. Удобство неоценимое — можно слать «факс» (документ на принтер) из Москвы в Томск или скинуть фотки с фотоаппарата в Томске прямо на компьютер в Бийске :)
А скорость? У вас шифрованный канал? Насколько я сталкивался со слабыми mikrotik — они очень медленные на шифрованных VPN.
Да, соединение шифрованное.
Сейчас еду в метро,
подключился в микротику в германии
но тут можно смотреть только на производительность софта — микротик стоит в виртуалке с 512Мб памяти. А вот это я уже в офисе, с Йоты
без впн
,
Подключился в Томск
— там RB450 железный,
Для сравнения - Германия тут же
, Итого выводы — софт микротика на виртуалке тянет хорошие скорости, по железкам пока можно сказать только то что они тянут всю полосу, что дает Йота в офисе. Вечером могу прогнать тесты на проводе.
А я ради прикола делал VPN Box на Raspberry Pi, на тестах скорость IPSec AES-128 была 5 МБит/с. Для подключения платежного терминала более чем достаточно.
в тестах выше шифрование аналогичное — MPPE128 stateless. Но по-моему, я видел скорости порядка 20Мбит. Сейчас точно не скажу, давно не обращал внимания на это — трех мегабит с лихвой хватает на большинство задач (даже видео скайпа — он очень любит при таком раскладе цепляться напрямую на внутренние адреса сети).
Как обещал — тест на проводе. Только железные микротики, модель RB450 (оба конца на тарифе 25Мбит, естественно, реально скорость будет пониже):
туннель pptp Москва-Томск MPPE128 stateless
канал несимметричный — если тестировать «с той стороны», результаты будут примерно те же.
Для развёртывания без специалистов есть Meraki.
С урезанными фичами и необходимостью закупки железа, которое превращается в тыкву, как только пользователь не продлил лицензию. :)
Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Публикации

Истории