Куплю услугу по настройке впн + 2 routerboard'a

[Banzai]

нужен опытный спец для настройке впн канала на базе двух интернетов (ДГ + телеком) и соответственно двух микротиков

предполагается использование dyndns ибо белых ip нету

микротики также купятся

оплата по безналу - но можно перевести и в нал через посредника

для того кто такие линки настраивал - роботы на полчаса , а мну совсем некогда

предложения плиз в приват

[Hcimor]

dyndns решает только вопрос сопоставления доменного имени с внешнем (читать как "белым", не маскированным и т.д.) IP-адресом в том случае, если при каждом соединении выдается внешний айпи, но каждый раз он разный. Так что IP-адреса с 2-х сторон должны быть внешними для настройки VPN, либо должны быть прокинуты соответствующие порты для девайсов, если айпишники у них внутренние. В случае работы с провайдерами сомневаюсь, что они прокинут порты через свое оборудование, так что остается вариант, когда с обеих сторон используются внешние IP-адреса, можно при этом, чтобы они были динамические (тогда пользуемся dyndns).

Какое оборудование предполагается использовать?

P.S. В идеале это конечно-же должна быть CISCO 800-й серии K9 SEC - неломаемая криптография, уверенность на 99.9% что если и засниферят трафик, то не расшифруют :-D

[Banzai]

оборудование mikrotik / routerboard - сиска неоправданно дорого

обыкновенный интернет - за натом + динамический внутренний ip

dyndns позволяет обращаться к хосту за натом провайдера через днс - если микротик ето умеет делать - то белый адрес не нужен какбе

http://gregsowell.com/?p=1523

и еще - впн канал должен быть прозрачный ..

мне некогда искать ответ на свой вопрос - готовы заплатить за услугу - по-етому и нужен чел с опытом

[ThinkMaster]

"впн канал должен быть прозрачный .."

Это типа EoIP, тоесть должны быть 2 порта с двух сторон, к которым втыкаешь всё что хочешь (с любыми адресами) и должно работать?

Или подойдёт VPN канал, который будет работать на определённых IP-адресах? IPSec тунель?

[Da_Vin4i]

оборудование mikrotik / routerboard - сиска неоправданно дорого

обыкновенный интернет - за натом + динамический внутренний ip

dyndns позволяет обращаться к хосту за натом провайдера через днс - если микротик ето умеет делать - то белый адрес не нужен какбе

http://gregsowell.com/?p=1523

и еще - впн канал должен быть прозрачный ..

мне некогда искать ответ на свой вопрос - готовы заплатить за услугу - по-етому и нужен чел с опытом

Микротик боард кул вещь, умеет делать много чего и удобно для сети. роздаст интернет куда надо, главное чтобы было откуда его брать - тоесть или какойто сервер с впн или тотже адсл+роутер кооторый можно использовать и на укртелекоме и на ДГ.

[Hcimor]

Обратиться к хосту за натом провайдера можно только если провайдер прокинет нужные порты... Dyndns выполняет несколько другую функуцию. Без прокидывания нужных портов через оборудование провайдера я не вижу возможности настройки туннеля VPN.

Схема работы оборудования провайдера (стандартная, обычно она используется):

Внутренняя локальная сеть с внутренними статическими или динамическими локальными IP-адресами. Роутер смотрящий наружу с одним или более реальными IP-адресами. На роутере есть фаервол (если провайдер экономный, в качестве роутера выступает сервер и фаервол софтварный, если провайдер не экономит на оборудовании, то стоит железный роутер, та же Cisco, с железным фаерволом). На фаерволе на 99% стоит правило DROP ALL, далее идут исключения для внутренних сервисов провайдера, требующие "сквозной" маршрутизации (так сказать прокинутые порты сервисов провайдера).

Когда с оборудования клиента с локальным IP-адресом посылается пакет в в интернет, то этот пакет маскируется внешним IP-адерсом роутера провайдера. Получая ответ на клиентский пакет роутер провайдера знает с какого локального IP-адреса был отправлен запрос и далее маршрутизирует данный пакет на нужный локальный IP-адрес клиента. Таким образом данный пакет не попадает под правило фаервола DROP ALL и проходит во внутреннюю сеть (это так называемый NAT).

Для поднятия VPN туннеля необходимо чтобы оборудование1 обратилось к оборудованию2 с запросом на начало защищенной сессии и т.д. (оборудование может быть любое, включая ПК). Так вот, пакет с запросом оборудования1 будет отброшен фаерволом провайдера, так как попадет под правило DROP ALL, потому что оборудование2 не инициализировало данную сессию из локальной сети провайдера. Даже если провайдеру "пофиг" на своих пользователей и он не включил фаервол, то на его оборудовании все равно должен быть прокинут нужный порт. Роутер провайдера должен знать, что если к нему стучиться оборудование1 на порт N, то для данной сессии нужно организовать сквозную маршрутизацию в локальную сеть на такой-то IP-адрес и такой-то порт M. Если порт не прокинут, то грубо говоря, роутер провайдера ответит клиентскому оборудованию1 на запрос поднятия VPN "у меня нет данного сервиса".

Поэтому если с двух сторон нет ни одного внешнего IP-адреса, через оборудование провайдера не прокинуты нужные порты VPN поднять никак не удастся. Если хотя бы с одной стороны есть внешний IP-адрес, тогда можно смотреть дальше, там тоже есть нюансы. В идеале должны быть внешние IP-адреса с двух сторон. Если есть внешние IP-адреса с двух сторон, но они допустим динамические, вот тогда в помощь нам приходит DynDNS. Поправьте меня, если я что-то неверно сказал.

Обычно провайдеры за дополнительную плату предлагают внешние IP-адреса в аренду. Думаю Вам необходимо сначала узнать про данную услугу провайдеров.

[Hcimor]

сиска неоправданно дорого

Соглашусь с Вами, что дорого. Не соглашусь с Вами, что неоправданно дорого.

Во-первых крайне надежное и отказоустойчивой оборудование. Например Cisco 800-й серии K9 SEC запрещены для использования в России (точнее для их использования необходима специальная лицензия ФСБ, что приравнивается к запрещено ), так как ФСБ России перехватить трафик между двумя такими цисками может, но расшифровать не может при всех имеющихся у них суперкомпьютерах. Если бы я хотел быть уверенным, что информация, передаваемая между филиалами, не попадет в 3-и руки, то я бы лучше 1 раз "переплатил".

Во-вторых - это оборудования из класса "настроил и забыл".

В-третьих - это масштабируемое оборудования, в цисках как и в обычных ПК можно увеличивать оперативную память, менять модули шифрования и т.д.

З.Ы. Вы не подумайте, я ни в коем случае не склоняю Вас к использованию цисок, я просто не соглашаюсь, что они неоправданно дороги. Их цена велика, но вполне оправдана, особенно для большого бизнеса, где вопрос безопасности и отказоустойчивости стоит на 1-ом месте.

[Banzai]

ребят - спасибо за пояснения - но ето как бы лишнее

я хочу нанять человека на выполнение работ - тз можно уточнять по ходу , сам я лично заморачиваться не хочу и не могу - валом своей работы непосредственной...

с динднс я пробовал работать - вроде как хост был доступен из внешнего интернета

ктому же - софтинки типа хамачи работают без вопросов на любом интеренете - значит технически сконектится можно ...

- а если для конкретной задачи нужен будет другой провайдер - ето решабельно и не критично

Это типа EoIP, тоесть должны быть 2 порта с двух сторон, к которым втыкаешь всё что хочешь (с любыми адресами) и должно работать?

Или подойдёт VPN канал, который будет работать на определённых IP-адресах? IPSec тунель?

я так понимаю EoIP можно на микротике прокинуть через VPN ?

зачем именно прозрачный - на удаленном хосте прописан рутер , находящийся в локальной сети - то-есть на хосте никакие настройки маршрутизации менять не желательно .

если кто возьмется настроить - велкам в приват, пишите сколько хотите за роботу - я согласую с начальством

ps сиска ето хорошо не отрицаю - но для данного проэкта не рентабельно в принципе