Несколько Практич. Вопросов По Сетям Vn

[Ilia]

раз у меня только 2 билетика сообщения осталось:

1. Насколько "легальны" схемы обхода лиц. ограничений? атата кто будет исполнять?

2. есть реальные истории с "соткой" в главной роли и балансировщиком (я не про актив\стендбай) 2 и более ISP внутри ее nix внутренностей?

3. может ли ВИпНет клиент выступать как точка входа в защищенную сеть (т.е. VN сеть<->ПК с випнет клиент <->пром. ПК с юниксом)?

4. как отнесется софтовый ВипНет клиент\координатор на соседство с виртуализацей? (хайпер\варя\ораkлы и т.п.)

5. Чем заняться если межсетевое не срослось? какие костыли или велосипеды порекомендуете?

извините за сумбур, но инф. найти у "местных гуру" не смог

[ingenico]

1. Есть исчерпано количество АП, СМ, прикладных задач в лицензии, то эти ограничения вы никак не обойдете.

2. Сотку можно заставить работать с двумя ISP. Писали скрипт на bash и ставили его запуск в cron. Каждые 5 минут скрипт пинговал тестовый IP на основном канале (10 пингов), при отсутствии 5 пингов (признак плохого качества канала) скрипт подменял шлюз по умолчанию для основного канала на шлюз по умолчанию для резервного канала. Для тестового IP добавляли статический маршрут через шлюз по умолчанию для основного канала. При восстановлении стабильного пинга на тестовый IP, вновь меняли шлюз по умолчанию на основной. Как-то так.

3. Если только туннелировать Ваш безвипнетовский ресурс.

4. На VMWare, Oracle Virtualbox и Клиент и Координатор ставятся и работают. Возникают только трудности в разграничении полномочий администратора безопасности и администратора виртуальных систем, т.к. инструментами управления виртуализацией можно нелегально получить доступ к содержимому виртуальной машины, что не есть хорошо.

5. Если межсетевое делать по инструкции, то "срастется". А так, анализировать события журнала IP-пакетов, конфигурацию сети и маршрутизацию, чтобы понять причину проблемы.

[Ilia]

1. а загонять весь трафик через NAT и таким макаром пускать к защищенным ресурсам больше чем куплено лицензий ?

2. печалька

3. т.е. в сети я его увижу с адресом клиента?

4. не то, я имел в виду установку на сервер с win Кординатором роль hyper-V или VMware Workstation (купить машину спец. для випнета пока не можем, но есть полупустой веб сервер)

5. Межсетевое не срослось по административным причинам, в связи с этим приходится в филиале держать сразу две "сотки" для доступа в нашу сеть и сеть другой организации (что никак не упрощает управление)

[ingenico]

1. Это можно и ни кем не возбраняется. Например между Координатором и туннелируемой сеткой ставить NATустройство и туннелировать только его адрес, а не всю сеть. Но я бы не назвал это обходом лицензионных ограничений.

2. Родных средств работы с двумя внешними каналами в Координаторах нет. Потому каждый "выкручивается" как может.

3. Через Клиента никакой безвипнетовский узел не попадет в защищенную сеть. Только через Координатор (туннелирование).

4. Это надо тестировать. Виртуальные сетевые интерфейсы вашей виртуальной машины будут ходить в сеть через реальные физические интерфейсы Координатора и как на это отреагирует ViPNet - не совсем понятно. Может будет достаточно правило фильтрации добавить и всё.

5. "Костыли и велосипеды" не пробовал. Да и вряд ли тут что-то придумать можно. Межсетевое удобнее будет.