вопросы по настройке сети

[vertuphone]

Есть 2 локальные сети в разных городах.
Одна сеть (1) ходит в интернет через серв2003. Интернет канал 1мбит
Вторая сеть (2) ходит в интернет через DIR-100 (несколько vlanов до прова) и DIR-120 (который устанавливает ppp соединение и подключен к dir-100), канал там 0.5мбит

Пользователи сети (2) подключаются к сети (1) устанавливая на каждой машине vpn соединение с серв2003.
Нужно:
1. Сделать так, чтобы пользователи сети (2) не устанавливали постоянно vpn с сетью (1), а чтобы это делала некая железяка. При этом чтобы эта железяка не использовала в качестве шлюза интернета сеть (1). Т.е. чтобы пользователи сети (2) были одновременно и в интернете и в vpnе с сетью (1).

2. Чтобы между офисами был хардверный vpn канал, в который можно было бы воткнуть voip шлюзы с которых можно было бы звонить друг другу (уже настроены в одну подсеть).

3. Чтобы между офисами был хардверный канал, чтобы я из сети (1) мог смотреть web-камеры сети (2).

Какие железяки посоветуете? Или лучше программно настраивать? Бюджет небольшой есть...

[flumashina]

Не скажу что особо спец в ТСП-ИП
но как я панимаю здесь в сети №2 нужон маршрутизатор (Cisco - скорее всего) который и отправит впн запросы в сторону сети №1, а интернет запросы на dir100 -> от туда следовательно в интернет.

ксати мне один знакомый писал что у него валяются без дела пара цисков

[Господин Директор]

Если небольшой бюджет, то ДЛинк DFL-210 в качестве центрального роутера (весьма приличная железка, своя ОС, правила, вообщем сильно повторяет некоторые модели цисок) + 804HV на точках (аппаратная реализация vpn).

Все остальное реализуется правилами на 210-й.

Один из примеров реализаций (работает 2 года, несколько раз глючили 804-е, пока не прошил свежей прошивкой, в остальном нареканий нет):

1. 2 канала интернета (ДСИ+WS)
2. На ДСИ помимо инета вланами разведены vpn'ы для офисов (4 штуки).
3. Интернет раздается на все точки из WS (т.к. дешевле)
4. На ДСИшном интернете висит почтовый сервак+сайтик (т.к. по статистике глюков с падением инета от ДСИ меньше).
5. В удаленных офисах одно время жили аппаратные SIP-шлюзы, во главе с DVG-3004S на главном (возможность звонить через центральную мини-АТС).

ДФЛка поддерживает шейпинг канала по правилам (т.е. можно выделить удаленным офисам по 128 Кбит инета жОстко, либо выставить приоритеты, т.е. при свободной полосе поднять до 512, а если главный офис начинает канал нагружать, то скорость автоматом упадет до жОсткого минимума).

[vertuphone]

big thanx
804 - видимо сильно старая железка только. судя по внешнему виду. Врядли такую купить смогу

[Господин Директор]

Да не... Выпускаются такие еще, так что найти не проблема.
Факи по настройке IPSec-туннелей между 210-й и 804-й есть на сайте длинка, там все просто.
Единственная запарка может быть в написании правил маршрутизации в нескольких подсетях, но это тоже решаемо

[denisfaq]

Могу продать 2шт cisco 827-4v маршрутизаторы с подключением телефонов.
Но настраивать не буду некогда мне...

Ну а на первый взгляд неважно как и что к инету, ставишь с двух сторон циски, на цисках адреса внешн, внутр, для всех шлюзом циски, между цисками тунель и наверное тупой прямой роут сеть 2 через циско 1, роут сеть 1 через циско 2. По телефонам не скажу, не дружу с ними...

[vertuphone]

Могу продать 2шт cisco 827-4v маршрутизаторы с подключением телефонов.
Но настраивать не буду некогда мне...

Ну а на первый взгляд неважно как и что к инету, ставишь с двух сторон циски, на цисках адреса внешн, внутр, для всех шлюзом циски, между цисками тунель и наверное тупой прямой роут сеть 2 через циско 1, роут сеть 1 через циско 2. По телефонам не скажу, не дружу с ними...

я подумаю. спасибо :wink:

[vertuphone]

взял вчера dfl-210 - железка просто бомба. второй день тащусь.

...тьфутьфутьфу

[Господин Директор]

Есть за ней такое, ога

[denisfaq]

взял вчера dfl-210 - железка просто бомба. второй день тащусь.

...тьфутьфутьфу

А я могу дешевле циски cisco 827-4v отдать