usg-pro-4 site to site, цифры и варианты

usg-pro-4 site to site, цифры и варианты, UniFi Network

Mikeynl

Guest

19.05.2017 08:25:00

Привет, ребята! Я изучал возможность использования сочетания usg-pro-4 и usg. Нам нужно построить звездообразную сеть site-to-site с круглосуточным шлюзом управления для наших клиентов. Идея в том, чтобы мы могли заходить в сеть и делать какие-то сервисные операции, но с клиентской стороны назад никакого доступа не было. На стороне клиента USG должен работать в режиме роутера. Все оборудование там должно иметь IP-адреса из диапазона VPN этого сайта. USG выступает в роли шлюза, а нужный интернет-трафик идёт через WAN-порт.

Можно ли реализовать это с помощью указанных продуктов? И самое важное — сколько site-to-site соединений можно держать постоянно включёнными на usg-pro-4? Я смотрел технические характеристики, но конкретных цифр не нашёл.

Трафик будет только в виде исходящего по нашему входу, и уже 500 Кб — это достаточно.

Кто-то может ответить на пару вопросов или направить нас в правильное русло? Спасибо!

Think-Networks

Guest

10.07.2017 09:26:00

Думал, что ты уже всё сделал, но я ещё не закончил... подключены только несколько площадок. Всё ещё жду местных специалистов. Так как сейчас всё работает для удалённых площадок (им в основном нужен интернет), роутер пока не меняли. Однако я вручную создал несколько ссылок, и они работают отлично. Стандартная автонастройка строит mesh-топологию, где все площадки связаны друг с другом. В некоторых случаях это удобно, а в некоторых — нет: https://community.ui.com/feature-requests/c3c095cc-e557-4b6e-bafa-085fafdb0a0b. Так что посмотри, и напиши, если у тебя есть прогресс 😁

Mikeynl Guest	#3 13.06.2017 12:09:00 Рад слышать. Я смотрю, какие у нас есть варианты. Вижу, что edgerouter может делать то же самое?

Think-Networks

Guest

13.06.2017 12:07:00

Итак, да, это точно должно работать... Я тоже делаю примерно то же самое с моими клиентами — связываю свою сеть с их, чтобы было проще получать SNMP и подключаться к VMware-хостам или гостевым машинам, если нужно их перезагрузить. У меня запущен SNMP на локальном сервере, и я настроил их машины так, чтобы они отправляли данные на мой сервер, чтобы я мог получать ошибки и сбои как локально, так и по электронной почте.

Mikeynl

Guest

13.06.2017 11:43:00

Привет! Прежде всего спасибо за твое время и ответ! Похоже, мы, возможно, не совсем поняли, что именно тебе нужно? Ты, насколько я понял, упоминал, что хочешь конфигурацию STAR... то есть центральный офис (HQ), который разветвляется на другие филиалы? Правильно. Все филиалы подключаются к HQ. Пример:
hq 10.10.10.0/24
management 10.10.11.0/24
site1 10.10.12.0/24
site2 10.10.13.0/24
site3 10.10.14.0/24
site4 10.10.15.0/24

Если что, я сейчас именно так и делаю… У каждого филиала будет свой USG и собственное подключение к интернету (все в одном контроллере, к слову).
Да, интернет на стороне WAN, внутренние адреса назначаются по префиксам для каждого филиала.

С центрального офиса будет Site-to-Site VPN, чтобы филиалы могли «внутренне» общаться с HQ и получать данные с сервера. Весь обычный интернет-трафик будет маршрутизироваться локальным USG напрямую в интернет?
Да, филиалы sitex могут общаться только с HQ, между собой они не видны. Филиал management должен иметь доступ ко всем диапазонам.

Похоже, это именно то, что нужно?
Да.

Не уверен, есть ли ограничения по количеству подключений, которые можно создать, но я думаю, что 10 — это базовое число. Речь не о пользователях, подключающихся удаленно, а именно о статических Site-to-Site VPN.
Статические подключения — просто когда инженеру нужно подключиться внутри диапазонов sitex, это можно сделать с одной стороны. У нас разные клиенты и сетевые настройки, и создание внутренних диапазонов внутри сети клиента очень нам упрощает жизнь.

Я, правда, подумываю, чтобы каждый филиал мог напрямую связываться с другим филиалом, а не через центральный офис. Ясно, что не всем это нужно (например, если в филиале нет сервера).
Мне это не нужно.

Просто интересно, сколько одновременно может работать статических подключений с минимальным трафиком. Трафик будет только для обслуживания. Весь остальной интернет-трафик (github и прочее) идет напрямую через локальное соединение. Я не против, если на каждые 100 ipsec туннелей потребуется USG-Pro-4 — это приемлемо. Если же на каждые 10 — не очень 😀

Еще раз спасибо за твое время!

Think-Networks

Guest

13.06.2017 11:33:00

Наверное, мы не совсем правильно поняли, что вам нужно? Вы вроде говорили, что хотите конфигурацию в виде ЗВЕЗДЫ... То есть центральный главный офис, который соединяется с другими офисами, как филиалами? На самом деле, я сейчас как раз это и делаю.

У каждого офиса будет свой USG и собственное интернет-соединение (все под одним контроллером, кстати).

С главного офиса будет настраиваться Site to Site VPN, чтобы филиалы могли «внутренне» связываться с главным офисом и получать данные с сервера. Весь обычный интернет-трафик будет идти через местный USG напрямую в интернет.

Звучит так, как вы хотели?

Не уверен насчет ограничений по количеству таких подключений, но 10 — это, думаю, базовое число. Это не то же самое, что удалённые пользователи, которые подключаются к сети, а именно постоянные Site to Site VPN.

Я, правда, подумал ещё, чтобы каждый офис связывался напрямую со всеми другими, а не только через центральный. Конечно, не всем филиалам это нужно, особенно если там нет сервера.

Mikeynl Guest	#7 13.06.2017 10:09:00 Итак, прошло три недели, а ответ так и не поступил.

Читают тему (гостей: 1)