Keenetic II vs Keenetic Ultra
Ну так ты посмотри поддерживают или нет. На 5 ГГц просторнее, на 2,4 бывает все капитально забито.
"Капитально"
Например!
Например!
На ixbt очень мощное обсуждение есть. У меня дома Giga 2, в общаге Giga. На 2400 MHz. Все прекрасно.
да пофиг уже, я сегодня поставил кинетик гига2 вроде норм
2400 MHr2 гигахера? Почти всё мужское население
Короче, поменял я прошивку на V1, все стало еще хуже, зависает пару раз в день.
Посоветуйте, менять роутер, или может уйти в онлайм или мгтс?
Посоветуйте, менять роутер, или может уйти в онлайм или мгтс?
Если у тебя пчелайн, то уходи.
Мне на пчелайне нравится городской номер за 0,2р в минуту без абонентки.
у МТС же бесплатно Супер МТС тариф
ну и у Sipnet тоже
ну и у Sipnet тоже
Ну тогда кушай кактус дальше и продолжай искать железо, совместимой с провайдером.
Да вот я что-то отчаялся найти норм роутер, читаю про асус 56/66U тоже есть проблемы на L2TP
читаю про асус 56/66U тоже есть проблемы на L2TPГде ты читаешь такую глупость?
Ценность твоего мнения для меня стремится к 0, можешь ен засорять тему в очередной раз.
Да вот я что-то отчаялся найти норм роутерПосмотри MikroTik RB951G-2HnD
MikroTik RB951Ui-2HnD
А этот нормальный? Вроде то же самое, только без гигабитных портов
А этот нормальный? Вроде то же самое, только без гигабитных портов
Посмотри MikroTik RB951G-2HnDНе работает без костылей на пчелайне
Он не умеет в качестве VPN сервера принимать DNS имя. А в роутах, раздаваемых под DHCP нет роутов до VPN серверов, IP адрес которых может меняться.
В итоге, когда делаешь VPN соединение, то тут же оно рвется и всё заново начинается.
Поэтому нужно писать скрипт, который будет прописывать роуты при подключении VPN соединения. И второй скрипт, проверяющий адрес VPN сервера.
судя по тому что даже на форуме ты не единственный у кого проблемы с этим зухелем, его следует выкинуть в помойку. Вообще я в свое время открыл форум тогда еще корбиныи почитал какие роутеры там рекомендуют, которые хорошо поддерживают пчелиный l2tpru. Купил d-link dir655, прекрасно работает по сей день.
насчет онлайма не знаю, от мгтс я бы держался подальше.
насчет онлайма не знаю, от мгтс я бы держался подальше.
Поставил вчера Asus N56U, рвет соединение через пару минут, потом восстанавливает через минуту рвет, так итераций 5-6 и все глушняк. пока полный сброс не сделаешь.
На кастомной прошивке та же херня, звонки в пчелайн естественно не помогли.
Помог ФАК на форуме пчелайна, танцы с бубнами, и в итоге вроде пока работает без обрывов. через пару дней допишу статистику.
На кастомной прошивке та же херня, звонки в пчелайн естественно не помогли.
Помог ФАК на форуме пчелайна, танцы с бубнами, и в итоге вроде пока работает без обрывов. через пару дней допишу статистику.
да официально рекомендуемое там полное говно, а неофициальный роутеры в каждой ветке хвалял владельцы )) и одновременно стенают от глюков.
Я вот хвалюсь своим pfSense, и совершенно не стенаю от глюков...
танцы с бубнами, и в итоге вроде пока работает без обрывов5 лет назад я пошел простым путем - поставил старый комп на P4 в коридоре, установил на него MS ISA 2006 и он стабильно держал связь по VPN.
Сейчас склоняюсь к установке Kerio Control, который "из коробки" умеет работать с резервными каналами инета (1 пинг теряется при разрыве основного канала).
старый комп на P4посчитай, сколько он жрет
Ты так говоришь, как будто уже посчитал в рублях в месяц. Делись результатом 
наверное он и за ОС + MS ISA не платил
Я и за сам комп не платил 
Так что там с потреблением электричества? Если считать что работает круглосуточно, электричество стоит 4.5р/кВт*ч, то сколько в месяц будет стоить?
Так что там с потреблением электричества? Если считать что работает круглосуточно, электричество стоит 4.5р/кВт*ч, то сколько в месяц будет стоить?
наверное он и за ОС...не платилС чего ты взял?
~350 рублей, если исходить из потребления системника в 100 ватт (а он и поболее способен)
считал блин быстрее чем этот пост писал
считал блин быстрее чем этот пост писал
С чего ты взял?Если считать деньги то как-то невыгодно для таких целей продукцию мелкомягких использовать.
дома - да, никто не спорит
да даже в энтерпрайзе
стандарт говнороутера - линух/бсд, если только такой роутер не обязан быть вписан в существующую инфраструктуру управления серверами
стандарт говнороутера - линух/бсд, если только такой роутер не обязан быть вписан в существующую инфраструктуру управления серверами
да и в энтерпарайзе противоречий не особо
Завести в домен любым из путей - и пользуйтесь
Завести в домен любым из путей - и пользуйтесь
Как предлагаешь считать трафик по пользователям на сервере терминалов?
Я использую ISA/TMG Client.
Да , еще ISA/TMG поддерживают создание кластеров для распределения нагрузки и отказоустойчивости.
Если предложишь что-то лучше - перейду на твое решение
Я использую ISA/TMG Client.
Да , еще ISA/TMG поддерживают создание кластеров для распределения нагрузки и отказоустойчивости.
Если предложишь что-то лучше - перейду на твое решение
Забавно читать как ты превозносишь функционал софта (который вроде как прикрыли), установленный на трешовую железяку.
Load balance на линухе тоже делается, странно, да? С подсчётом траффика думаю справился бы сам терминальный сервер независимо от того кто там ему инет роутит.
Load balance на линухе тоже делается, странно, да? С подсчётом траффика думаю справился бы сам терминальный сервер независимо от того кто там ему инет роутит.
С подсчётом траффика думаю справился бы сам терминальный сервер независимо от того кто там ему инет роутит.Есть компания, в которой работают несколько десятков сотрудников. Часть работает на нескольких серверах терминалов, часть работает со своих ноутбуков, часть с компьютеров.
При этом пользователи периодически заходят под своим логином на чужие компьютеры и работают с них.
В конце месяца нужно составить отчет о том кто сколько в инете сидел, куда ходил, сколько скачал и отправил.
Как будешь составлять отчеты по пользователям? Я выбрал ISA/TMG Client. Ты можешь предложить конкретное альтернативное решение?
ISA/TMG Client
Он на каждый пользовательский комп ставится?
Он на каждый пользовательский комп ставится?Да, групповой политикой. На все компьютеры в домене.
ISA/TMG настроен так, что без него просто не пускает в инет.
Также правила файервола расписаны по пользователям. Например, для одних открыта аська и контакт, для других закрыты. И независимо о того, откуда человек выходит в инет, ему будут доступны все ресурсы, которые разрешены для него политикой компании.
Кстати, рад буду услышать от тебя предложения по тому, какое ПО может использовать группы AD для применения правил файервола к трафику пользователей.
Ты не находишь что мы несколько отклонились от изначальной темы? Напомню, она про простой роутер. Ты упомянул MS ISA в контексте решения проблемы "как сделать простой роутер". Если ты тогда решал другую задачу, то какого лешего её решение делает тут?
Если ты хочешь обсудить ISA/TMG, то можно перенести все в отдельную тему.
Я рассказал про свое решение для работы с корбиновским VPN, без претензий на то что оно будет лучшим, элегантным, экономичным и пр. Оно работало быстро, стабильно и все поставленные задачи решало.
Ты для чего-то полез ругать ISA/TMG и пытаться меня убедить что это дорогое говно.
Раз ты хочешь предложить что-то лучше, то я с радостью тебя выслушаю. Я всегда открыт для новых красивых решений.
Пока что получается что ругать ISA/TMG ты начал, а его функционал и достойные альтернативы ты не знаешь. Если ты хочешь предложить какие-то конкретные решения, то предлагай, обсудим. Если нет, то закроем тему.
Я рассказал про свое решение для работы с корбиновским VPN, без претензий на то что оно будет лучшим, элегантным, экономичным и пр. Оно работало быстро, стабильно и все поставленные задачи решало.
Если считать деньги то как-то невыгодно для таких целей продукцию мелкомягких использовать.
да даже в энтерпрайзе
Ты для чего-то полез ругать ISA/TMG и пытаться меня убедить что это дорогое говно.
Раз ты хочешь предложить что-то лучше, то я с радостью тебя выслушаю. Я всегда открыт для новых красивых решений.
Пока что получается что ругать ISA/TMG ты начал, а его функционал и достойные альтернативы ты не знаешь. Если ты хочешь предложить какие-то конкретные решения, то предлагай, обсудим. Если нет, то закроем тему.
ISA/TMG настроен так, что без него просто не пускает в инет.Это, кстати, продвинутыми пользователя обходится на раз
Также правила файервола расписаны по пользователям. Например, для одних открыта аська и контакт, для других закрыты. И независимо о того, откуда человек выходит в инет, ему будут доступны все ресурсы, которые разрешены для него политикой компании.
Как?
Например для Васи открыт только 80й порт, а для Пети только 110 и 25.
Как Вася сможет получить доступ к 110 и 25 порту, а Петя к 80?
Или ты про банальные вещи вроде "Васе запретили контакт, поэтому он ходит через анонимайзер"?
Например для Васи открыт только 80й порт, а для Пети только 110 и 25.
Как Вася сможет получить доступ к 110 и 25 порту, а Петя к 80?
Или ты про банальные вещи вроде "Васе запретили контакт, поэтому он ходит через анонимайзер"?
Ты для чего-то полез ругать ISA/TMG и пытаться меня убедить что это дорогое говно.Потому что речь шла о домашнем использовании. Ты же влез со своим энтерпрайзом.
И да, для дома он дорогое говно. Особенно будучи развёрнутым на древнем P4.
Альтернатива стандартная - openvpn. Настройка ведётся несколько менее изящно, но работает ничуть не хуже.
Например для Васи открыт только 80й порт, а для Пети только 110 и 25.Туннельчик до своего сервера, не?
Как Вася сможет получить доступ к 110 и 25 порту, а Петя к 80?
У меня это работает, по крайней мере.
Потому что речь шла о домашнем использовании. Ты же влез со своим энтерпрайзом.Теперь ты меня пытаешься убедить в том, что вообще не понимаешь о чем идет речь
И да, для дома он дорогое говно. Особенно будучи развёрнутым на древнем P4.
Альтернатива стандартная - openvpn. Настройка ведётся несколько менее изящно, но работает ничуть не хуже.
ISA/TMG это надстройка над RRAS. Ты знаешь разницу между функциями маршрутизатора и фаервола? Что такое VPN и для чего она (сеть) нужна?
OpenVPN это альтернатива чему? ISA/TMG? Ну так ты ты сейчас говоришь что жопа это альтернатива пальцу.
У всех свои задачи. OpenVPN предназначен для создания шифрованного канала между двумя точками. ISA/TMG это решение для гибкого и наглядного разграничения доступа между сетями, распределения нагрузки на сеть и пр. Как их можно сравнивать - не понимаю.
Сам же уводишь разговор непонятно куда.
В обозначенной задаче есть билайн/корбина с их подключением по VPN.
P4 с VPN справляется отлично, мощности хватает, в отличии от роутера.
2003 сервер VPN поднимает тоже на ура, сам переподключает при разрыве связи, маршрутизирует трафик, выдает адреса в локальную сеть по DHCP.
Ты же прицепился к надстройке RRAS - "а-а-а, интерпрайз, дома не нужно, дорого и вообще майкрософтовское говно". Ты понимаешь что основное это службы RRAS, и функции маршрутизатора выполняет Windows Server?
Если тебя так волнует вопрос лицензионности, копирастии, легальности музыки играющей в кафе и пр. бред, то можешь успокоить себя тем, что студентам МГУ на 2003 сервер дарили лицензии.
Туннельчик до своего сервера, не?Сработает такой вариант. Только "точка выхода в инет" будет уже не сервер компании, а твой сервер.
У меня это работает, по крайней мере.
Если задача закрыть 25й порт, чтобы из-за вирусов рассылающих спам, IP адрес компании не попал в spam list, то туннель никому мешать не будет.
Теперь ты меня пытаешься убедить в том, что вообще не понимаешь о чем идет речьУ тебя в голове творится явно не то что ты пишешь на форум.
Сначала приведи в соответствие одно другому, потом выкатывай предъявы.
Для учёта трафика "по пользователю" мне было бы достаточно openvpn, один чёрт надо что-то там пользователю устанавливать. Свою задачу ты описал изначально так. Что ты там успел придумать пока я тебе отвечал меня совершенно не колышет.
Свою задачу ты описал изначально так.Как? Задача у меня была корбиной пользоваться дома. Роутер постоянно рвал VPN соединения, поэтому поднимал не хилой железкой, а компом. Вот это моя задача.
А уже дальше, ты начал разговор о том что это дорогое майкрософтовское говно. Я привел тебе примеры того, какие функции есть у ISA/TMG, какие другие задачи в других местах я таким образом решал. И я тебя про них спрашивал, какие есть альтернативы ISA/TMG. Привел тебе примеры функций которые требуются от этих программ, долго пытался от тебя добиться внятного ответа какие же другие программы могут решать аналогичные задачи. Но ты так ничего и не предложил.
Разграничение по пользователям с помощью OpenVPN? На сервере терминалов 10 разных пользователей подняли 10 соединений OpenVPN каждый в своем сеансе. Как будет маршрутизироваться трафик?
И да, если ты до сих пор не понял, роль маршрутизатора, раздатчика инета и пр. выполняет windows server 2003 установленный на p4. Вот он к посту топикстартера относится.
ISA/TMG к посту топикстартера не относится, к домашнему инету не относится, и идет как отдельная ветка обсуждения. В которой ты меня пытаешься убедить что это дорогое говно. Я тебя пытаюсь убедить что это удобный инструмент для решения определенных задач.
Если ты считаешь что этот инструмент говно, то предлагай свой. Критиковать все вокруг каждый дурак может. А вот предложить что-то лучше - единицы.
Круг задач, которые решает ISA/TMG я обозначил. Можешь предложить альтернативные инструменты? Или ты просто сказал "дорогое говно", потому что ругать майкрософт это модно?
ISA/TMG к посту топикстартера не относится, к домашнему инету не относится, и идет как отдельная ветка обсуждения. В которой ты меня пытаешься убедить что это дорогое говно. Я тебя пытаюсь убедить что это удобный инструмент для решения определенных задач.
Если ты считаешь что этот инструмент говно, то предлагай свой. Критиковать все вокруг каждый дурак может. А вот предложить что-то лучше - единицы.
Круг задач, которые решает ISA/TMG я обозначил. Можешь предложить альтернативные инструменты? Или ты просто сказал "дорогое говно", потому что ругать майкрософт это модно?
Вот это моя задача.О, то есть всё-таки дома. Все прочие примеры ты привёл из рабочей практики, я так понимаю, причём не очень понимаю нахера, никто не просил.
Из пушки по воробьям стреляете, батенька
Можно было взять чуть более продвинутый роутер, за счёт экономии на электричестве за полгода окупился бы.Как будет маршрутизироваться трафик?
Странный вопрос. Как настроишь, так и будет.
Или ты просто сказал "дорогое говно", потому что ругать майкрософт это модно?
Попробуй для начала спорить с тем что я пишу, а не с тем что тебе хотелось бы видеть в моей писанине.
О, то есть всё-таки дома. Все прочие примеры ты привёл из рабочей практики, я так понимаю, причём не очень понимаю нахера, никто не просил.Ура! Наконец-то ты начал понимать!
Да, пример с разделением по пользователям и пр. это из рабочей практики. Вот про такие вещи я тебя и спрашивал, какие ты знаешь альтернативы ISA/TMG для решения подобных задач, раз говоришь что это дорогое говно. Логично ведь что если разумный человек так заявляет, то он знает что-то лучше.
Помоему ты сам с собой разговариваешь.
Ура! Наконец-то ты начал понимать!
Да, пример с разделением по пользователям и пр. это из рабочей практики. Вот про такие вещи я тебя и спрашивал, какие ты знаешь альтернативы ISA/TMG для решения подобных задач, раз говоришь что это дорогое говно. Логично ведь что если разумный человек так заявляет, то он знает что-то лучше.
Странный вопрос. Как настроишь, так и будет.Может быть я чего-то не знаю, но на обычном сервере терминалов для всех залогиненных пользователей используется общая таблица маршрутизации. Когда ты поднимаешь VPN соединение на сервере терминалов, то это затрагивает всех пользователей. Как можно заставить Васю ходить в инет через один тунель, Петю через другой, когда они на одном сервере терминалов работают?
Помоему ты сам с собой разговариваешь.Похоже на то
Мне казалось что все очевидно. А пришлось так долго объяснять элементарные вещи
Ты хочешь поспорить на эту тему открывай отдельный тред.
ты знаешь альтернативы ISA/TMG
Если кого-то это интересует, то тебе накидают ответов.
При этом стоило бы очертить список фич, которые ты используешь, а не "вот тут есть хуйня от мелкомягких, которую в реале никто не использует, а у в этом решении нет".
Ты много не знаешь.
Может быть я чего-то не знаю, но на обычном сервере терминалов для всех залогиненных пользователей используется общая таблица маршрутизации. Когда ты поднимаешь VPN соединение на сервере терминалов, то это затрагивает всех пользователей. Как можно заставить Васю ходить в инет через один тунель, Петю через другой, когда они на одном сервере терминалов работают?
Это до тебя не доходит.Слава, говорит в разрезе темы треда, а ты перекинулся на использование ISA/TMG в коропоративных сетях, причем в этом ключе никто с тобой еще не спорил.
Мне казалось что все очевидно. А пришлось так долго объяснять элементарные вещи
Ты много не знаешь.Конечно. И все время учусь чему-то новому.
Расскажи про то как на сервере терминалов каждый пользователь может пользоваться своим VPN тунелем, не видя и не используя тунелей других пользователей.
Для примера есть сервер 2008R2 с поднятой службой сервера терминалов. Каждый пользователь ограничен одним сеансом. На нем 3 пользователя. Вася поднимает VPN соединение до своего домашнего сервера и пускает весь трафик кроме локального через него. Петя поднимает до своего сервера VPN и тоже пускает весь трафик кроме локального через него. Какая ситуация с сетью будет у Маши, которая никуда тунели не поднимала, а просто хочет зайти на флокал и увидеть на главной странице IP адрес своей конторы? Что у нее отобразится, адрес конторы, Петиного или Васиного сервера?
Ты много не знаешь.а вот раз зашла об этом речь, можно подробнее по данному вопросу?
Слава, говорит в разрезе темы тредаА зачем нужен ISA/TMG для поднятия VPN до корбины?
VPN поднимает RRAS, а ISA/TMG это надстройка, которая в данном процессе не участвует.
А зачем нужен ISA/TMG для поднятия VPN до корбины?
спроси у того кто подкинул эту идею:
установил на него MS ISA 2006 и он стабильно держал связь по VPN
Ты точно хочешь спросить у PM'а и что именно:
а вот раз зашла об этом речь, можно подробнее по данному вопросу?
1. как на BRAS создать несколько VRF и настроить для каждого свою таблицу маршрутизации?
2. для VPN концентратора, настроить несколько VPN групп и для каждой группы настроить свои правила и свою маршрутизацию?
Ты полностью цитату приводи.
>>спроси у того кто подкинул эту идею:
Так ты решил что поднимал VPN туннель и держал связь ISA 2006 о_О, а не "старый комп на P4"?
поставил старый комп на P4 в коридоре, установил на него MS ISA 2006 и он стабильно держал связь по VPN>А зачем нужен ISA/TMG для поднятия VPN до корбины?
>>спроси у того кто подкинул эту идею:
Так ты решил что поднимал VPN туннель и держал связь ISA 2006 о_О, а не "старый комп на P4"?
Ты точно хочешь спросить у PM'аесли б ты был такой важный, ты бы не заходил на форум в подобные треды
1. как на BRAS создать несколько VRF и настроить для каждого свою таблицу маршрутизации?нет и нет, разумеется
2. для VPN концентратора, настроить несколько VPN групп и для каждой группы настроить свои правила и свою маршрутизацию?
вопрос был: как настроить отдельную таблицу маршрутизации для каждого пользователя на терминал-сервере
Я имел в виду, что все ПМы тупые, и на такие вопросы не ответят.
В зависимости от профиля, отправляй в разные VRF, а для них разные таблицы. Это не решит твою проблему?
В зависимости от профиля, отправляй в разные VRF, а для них разные таблицы. Это не решит твою проблему?
А на мой конкретный пример с Васей, Петей и Машей можешь ответить?
Как это делается на стандартном терминале на 2008R2?
Как это делается на стандартном терминале на 2008R2?
Так ты решил что поднимал VPN туннель и держал связь ISA 2006Ты же его зачем-то упомянул? Или это просто Остапа понесло?
Упомянул я его для того, чтобы было понятно каким инструментом я пользовался для настройки правил фаервола, проброса портов и пр. вещей.
В RRAS, несомненно, можно это все настраивать, но уж очень неудобный интерфейс.
А в ISA все красиво, удобно и наглядно.
В RRAS, несомненно, можно это все настраивать, но уж очень неудобный интерфейс.
А в ISA все красиво, удобно и наглядно.
Шаг первый: удаляем Windows Serwer 2012 ...
Еще рез для деревянных, если хочешь задать вопрос, нахер его обсуждать в треде, где чувак просит помощи с домашним роутером (ему не нужно знать как настраивать ISA и TMG, у него конкретная проблема, которую он хочет быстро, не особо трахаясь решить).
Хочешь пообсуждать создай отдельный тред и возможно тебе ответят.
Еще рез для деревянных, если хочешь задать вопрос, нахер его обсуждать в треде, где чувак просит помощи с домашним роутером (ему не нужно знать как настраивать ISA и TMG, у него конкретная проблема, которую он хочет быстро, не особо трахаясь решить).
Хочешь пообсуждать создай отдельный тред и возможно тебе ответят.
Шаг первый: удаляем Windows Serwer 2012 ...Еще рез для деревянных, если хочешь задать вопрос, нахер его обсуждать в треде, где чувак просит помощи с домашним роутеромТ.е. годфазеру ты отвечаешь нормально, а мне хамишь и выпендриваешься?
Все с тобой ясно. 1. ответа по конкретному примеру у тебя нет, максимум сказать что-то можешь по терминальному серверу на никсах, а не на винде 2. любишь лизать начальственные жопы.
В зависимости от профиля, отправляй в разные VRFтебе как бы намекают, что в терминал-сервере на винде нет такой возможности
а если мы ошибаемся, и она есть, то хотелось бы узнать подробнее
я помоему уже 2 раза в этом треде написал:
1. Не являюсь техническим специалистом (ты от меня каких-то квалифицированных ответов требуешь, ты уверен в этом?).
2. Я тебе уже два раза посоветовал, как можно быстро и правильно получить ответ на свой вопрос.
А ты меня еще и хамом обозвал... Пойду грустить.
1. Не являюсь техническим специалистом (ты от меня каких-то квалифицированных ответов требуешь, ты уверен в этом?).
2. Я тебе уже два раза посоветовал, как можно быстро и правильно получить ответ на свой вопрос.
А ты меня еще и хамом обозвал... Пойду грустить.
Вопрос был как еще сделать, а не как сделать на Windows Server... , и мой посыл был лишь в том, что любое решение имеет альтернативу, чтобы сравнивать решения, нужно иметь исходные данные и обсуждать это в другом треде.
тебе как бы намекают, что в терминал-сервере на винде нет такой возможности
а если мы ошибаемся, и она есть, то хотелось бы узнать подробнее
Это все, что я хотел сказать.
Вопрос был как еще сделать, а не как сделать на Windows Server... , и мой посыл был лишь в том, что любое решение имеет альтернативуда, вместо терминал-сервера можно каждому выдать отдельный компьютер (можно виртуалку)
спасибо, К.О.
1. Не являюсь техническим специалистом (ты от меня каких-то квалифицированных ответов требуешь, ты уверен в этом?).ответ "ты много не знаешь" был действительно хамским, и мог быть оправдан только в том случае, если это знаешь ты, даже не являясь специалистом
Прости меня, за то что ты используешь терминальный сервер Windows для целей, для которых он не предназначен, признаю виноват.Твой К.О.
Чего стоит такой специалист, которого одной фразой можно сконфузить.
ответ "ты много не знаешь" был действительно хамским, и мог быть оправдан только в том случае, если это знаешь ты, даже не являясь специалистом
Это значит, что он сам не уверен, что его решение правильное.
PS и не был он хамским...
Прости меня, за то что ты используешь терминальный сервер Windows для целей, для которых он не предназначентерминальный сервер предназначен для одновременного использования вычислительных ресурсов
в каком месте этому противоречит возможность каждому пользователю подключить VPN-соединение?
Чо то я не понял ...
то есть типа разные пользователи, заводят свои терминальные сессии (rdp как я понимаю), и уже в них поднимают vpn соединения до разных vpn серверов (в общем случае) и пускают в них траффик ? То есть каждый пользователь живет в своей таблице маршрутизации (разговор именно про rdp сессию пользователя на терминальном сервере) ? Если это возможно в принципе, то это возможно и с openvpn (я правда не совсем понимаю нахуа такой изврат).
OpenVPN совершенно точно можно настроить на авторизацию в win домене, со всеми вытекающими. Как минимум на выходе будет соответствие vpn ip <-> ad user, и далее можно строить политику маршрутизации/файрволинга/подсчета трафика/ограничения скорости исходя из этого известного соответствия (например netgraph в freebsd удовлетворит любой каприз). Да, это сильно сложнее чем потыкать мышкой в оснастке isa, но и возможностей потенциально больше.
Мне непонятен механизм использования терминального сервера. Обычно требуется предоставить доступ к терминальному серверу, чтобы клиент смог на нём заюзать какое либо ПО, которое любит работать в условиях терминального сервера (например 1С какой нить старый, или банкклиент). Но давать доступ какой то Маше, чтобы она там запустила vpn сессию до какого то третьего сервака, открыла иешечку и запустила вконтактик - это, извините, бред.
то есть типа разные пользователи, заводят свои терминальные сессии (rdp как я понимаю), и уже в них поднимают vpn соединения до разных vpn серверов (в общем случае) и пускают в них траффик ? То есть каждый пользователь живет в своей таблице маршрутизации (разговор именно про rdp сессию пользователя на терминальном сервере) ? Если это возможно в принципе, то это возможно и с openvpn (я правда не совсем понимаю нахуа такой изврат).
OpenVPN совершенно точно можно настроить на авторизацию в win домене, со всеми вытекающими. Как минимум на выходе будет соответствие vpn ip <-> ad user, и далее можно строить политику маршрутизации/файрволинга/подсчета трафика/ограничения скорости исходя из этого известного соответствия (например netgraph в freebsd удовлетворит любой каприз). Да, это сильно сложнее чем потыкать мышкой в оснастке isa, но и возможностей потенциально больше.
Мне непонятен механизм использования терминального сервера. Обычно требуется предоставить доступ к терминальному серверу, чтобы клиент смог на нём заюзать какое либо ПО, которое любит работать в условиях терминального сервера (например 1С какой нить старый, или банкклиент). Но давать доступ какой то Маше, чтобы она там запустила vpn сессию до какого то третьего сервака, открыла иешечку и запустила вконтактик - это, извините, бред.
VPN-сессии здесь предлагались как механизм подсчёта трафика индивидуальных пользователей на сервере терминалов.
Но давать доступ какой то Маше, чтобы она там запустила vpn сессию до какого то третьего сервака, открыла иешечку и запустила вконтактик - это, извините, бред.Понятно что на практике так не делается, это был гипотетический пример.
Все пошло от того что предложил как альтернативу ISA Client использовать OpenVPN и дальше начались рассуждения о том как же будет работать VPN на сервере терминалов и получится ли одно заменить другим.
Если нужно подсчитать сколько трафика нагенерировали пользователи общаясь с терминальным сервером - то надо считать на vpn сервере.
Если нужно подсчитать сколько трафика ушло на то, как Маша слазила во Вконтактик находясь в RDP сессии терминального сервера - то задача бредовая.
Если VPN сервер = Терминальный сервер и при этом на винде, то да, альтернатив isa почти что и нет, но я всё равно не понимаю, нахрена юзерам доступ к каким то внешним ресурсам именно из терминальной сессии.
Не говоря о том, что любая примочка к ISA (подсчитать траффик красиво например, и тд ) - довольно таки дорогая.
Если нужно подсчитать сколько трафика ушло на то, как Маша слазила во Вконтактик находясь в RDP сессии терминального сервера - то задача бредовая.
Если VPN сервер = Терминальный сервер и при этом на винде, то да, альтернатив isa почти что и нет, но я всё равно не понимаю, нахрена юзерам доступ к каким то внешним ресурсам именно из терминальной сессии.
Не говоря о том, что любая примочка к ISA (подсчитать траффик красиво например, и тд ) - довольно таки дорогая.
OpenVPN охуительная альтернатива isa клиенту.
Нахера на сервере терминалов держать вообще какой либо vpn ? (тем более инициировать vpn туннели из rdp сессий ).
Какая задача то изначально ? зачем на сервере терминалов vpn сервер ? зачем считать сколько трафика сьела Маша поставив 100 лайков, да ещё из браузера запущенного в rdp сессии, да ещё и через vpn туннель из этой сессии до третьего vpn сервера ?
Нахера на сервере терминалов держать вообще какой либо vpn ? (тем более инициировать vpn туннели из rdp сессий ).
Какая задача то изначально ? зачем на сервере терминалов vpn сервер ? зачем считать сколько трафика сьела Маша поставив 100 лайков, да ещё из браузера запущенного в rdp сессии, да ещё и через vpn туннель из этой сессии до третьего vpn сервера ?
Нахера на сервере терминалов держать вообще какой либо vpn ? (тем более инициировать vpn туннели из rdp сессий ).Изначальная задача - найти хорошую альтернативу ISA/TMG
Какая задача то изначально ? зачем на сервере терминалов vpn сервер ? зачем считать сколько трафика сьела Маша поставив 100 лайков, да ещё из браузера запущенного в rdp сессии, да ещё и через vpn туннель из этой сессии до третьего vpn сервера ?
Как пример решаемой задачи - учет трафика пользователей и распределения прав доступа по их аккаунту. Т.е. человек может работать как на сервере терминалов, так и на любом чужом компьютере в домене и везде у него будут одинаковые права на выход в инет, везде посчитается его трафик.
ISA/TMG клиент с этой задачей прекрасно справляется. Через GP устанавливается на все компьютеры в домене, на ISA/TMG сервере запрещается анонимный доступ и права выдаются на группы пользователей.
Меня заинтересовало заявление 'а о том что для энтерпрайза такое решение он осуждает, но разумной удобной альтернативы мы коллективно так придумать и не смогли.
Ну как вариант
с помощью GPO устанавливаем OpenVPN client всем рабочим станциям. на гейтвей/гейтвеи внутренние и внешние ставим openvpn сервера. Настраиваем их на авторизацию в AD и устанавливаем правила соответствия vpn ip <-> ad user. Далее всё разруливать на уровне ip адресов.
Да, гемор. Да, не готовое решение. Но гораздо более гибкое и масштабируемое (например появится у тебя > 1 провайдера и > 1 офиса), да и на технологии майкрософт не завязано.
с помощью GPO устанавливаем OpenVPN client всем рабочим станциям. на гейтвей/гейтвеи внутренние и внешние ставим openvpn сервера. Настраиваем их на авторизацию в AD и устанавливаем правила соответствия vpn ip <-> ad user. Далее всё разруливать на уровне ip адресов.
Да, гемор. Да, не готовое решение. Но гораздо более гибкое и масштабируемое (например появится у тебя > 1 провайдера и > 1 офиса), да и на технологии майкрософт не завязано.
гибкое и масштабируемое (например появится у тебя > 1 провайдера и > 1 офиса)Можно поподробнее?
с помощью GPO устанавливаем OpenVPN client всем рабочим станциям. на гейтвей/гейтвеи внутренние и внешние ставим openvpn сервера. Настраиваем их на авторизацию в AD и устанавливаем правила соответствия vpn ip <-> ad user. Далее всё разруливать на уровне ip адресов.Как быть с серверами терминалов под Windows?
Сервер терминалов должен выполнять свою задачу.
Он стоит в отдельной подсети. Гейтвей разруливает доступ клиентов к серверу терминалов, попутно считая трафики и делая прочую шнягу.
Он стоит в отдельной подсети. Гейтвей разруливает доступ клиентов к серверу терминалов, попутно считая трафики и делая прочую шнягу.
Сервер терминалов должен выполнять свою задачу.Поясни, пожалуйста на конкретном примере:
Он стоит в отдельной подсети. Гейтвей разруливает доступ клиентов к серверу терминалов, попутно считая трафики и делая прочую шнягу.
есть компания у которой стоит 3 сервера терминалов и 100 тонких клиентов. За тонкими клиентами работают манагеры, которые используют офис, 1с и интернет. В зависимости от нагрузки система каждого нового подключающегося манагера кидает на самый свободный сервер.
И в конце месяца нужен отчет по тому, на какие сайты ходил сотрудник, сколько откуда чего скачал/залил.
Как в твоем варианте считается трафик?
на такой задаче я не вижу вообще необходимости в vpn сервере.
есть сеть в которой клиенты, есть сеть с терминальными серверами, есть инет. Между ними стоит гейтвей, пускай freebsd с pf. При каждом rdp запросе оно средствами pf форвардится на 1 из 3 терминальных серверов, затем каждая такая tcp сессия живет сама по себе (pf за этим будет следить). На этом же гейтвее стоит squid, настроенный пускать из подсети терминальных серверов в инет, с ntlm авторизацией на AD DC. Нагрузкой там стоит sams, который считает трафик и рисует графики, а так же позволяет управлять политикой доступа по доменным группам через веб интерфейс (но удобнее через squid.conf конечно же).
Никаких ис с прочими приблудами покупать не нужно, squid и sams - опенсурс. Если нужно подключать rdp сессиантов из вне - добавляем openvpn, только для того чтобы пустить таких ребят во внутреннюю сеть. (Заодно их авторизуем через то же AD и отдельно считаем траффик, прошедший через vpn туннели).
Появляется второй провайдер - тут варианты, либо ещё 1 инстанс сквида на другой роутинг тэйбл, и с помощью pf разруливаем кого в какой сквид отправить. Либо он (squid) уже сам умеет в несколько таблиц маршрутизации и позволяет устраивать всякие load balancing/failover clustering.
Короче каждую подзадачу решаем с помощью наиболее подходящего для него инструмента. Если общая глобальная задача усложняется - это означает, что просто добавляется новая подзадача.
есть сеть в которой клиенты, есть сеть с терминальными серверами, есть инет. Между ними стоит гейтвей, пускай freebsd с pf. При каждом rdp запросе оно средствами pf форвардится на 1 из 3 терминальных серверов, затем каждая такая tcp сессия живет сама по себе (pf за этим будет следить). На этом же гейтвее стоит squid, настроенный пускать из подсети терминальных серверов в инет, с ntlm авторизацией на AD DC. Нагрузкой там стоит sams, который считает трафик и рисует графики, а так же позволяет управлять политикой доступа по доменным группам через веб интерфейс (но удобнее через squid.conf конечно же).
Никаких ис с прочими приблудами покупать не нужно, squid и sams - опенсурс. Если нужно подключать rdp сессиантов из вне - добавляем openvpn, только для того чтобы пустить таких ребят во внутреннюю сеть. (Заодно их авторизуем через то же AD и отдельно считаем траффик, прошедший через vpn туннели).
Появляется второй провайдер - тут варианты, либо ещё 1 инстанс сквида на другой роутинг тэйбл, и с помощью pf разруливаем кого в какой сквид отправить. Либо он (squid) уже сам умеет в несколько таблиц маршрутизации и позволяет устраивать всякие load balancing/failover clustering.
Короче каждую подзадачу решаем с помощью наиболее подходящего для него инструмента. Если общая глобальная задача усложняется - это означает, что просто добавляется новая подзадача.
Хорошее решение, мне нравится
Основная идея, как я понял - учет трафика пользователей на прокси-сервере, который использует доменную авторизацию.
Почитаю инфу по этим программным продуктам поподробнее.
Основная идея, как я понял - учет трафика пользователей на прокси-сервере, который использует доменную авторизацию.
Почитаю инфу по этим программным продуктам поподробнее.
с ntlm авторизацией на AD DC.Только, на данный момент, с авторизацией по kerberos, mod_auth_ntlm_winbind вроде как считается устаревшим и неподдерживаемым. А c авторизацией по kerberos будут работать и альтернативные браузеры (в смысле, будет sso через альтернативные браузеры).
Собственно это и пытался донести до о использовании не по назначению терминального сервера...
Но давать доступ какой то Маше, чтобы она там запустила vpn сессию до какого то третьего сервака, открыла иешечку и запустила вконтактик - это, извините, бред.
Песец засрали тему.
Кинетики вполне годные роутеры с отличными показателями аптайма (провайдер "кверти").
Глюки с зависанием у ТС исходили по причине зла под названием "впн от билайн".
Имхо надо менять провайдера при первой возможности
Кинетики вполне годные роутеры с отличными показателями аптайма (провайдер "кверти").
Глюки с зависанием у ТС исходили по причине зла под названием "впн от билайн".
Имхо надо менять провайдера при первой возможности
смени прошивку на V1.00(BWN.4.4)D0, v2.0 кстати глючная
Оставить комментарий
SmoKing
Keenetic первый стал время от времени затупливать решил обновить на новое поколение, не могу понять есть ли смысл в 5Ггц я даже не в курсе поддерживают ли его мои ноуты и телефоны.Есть ли смысл брать Ultra?