Всем привет. Работаю в крупной корпорации. Есть 4 домена, есть 2 удаленных офиса, и куча менеджеров с ноутбуками по стране. Сервера под Windows 2003 Server, железо на них очень хорошее: серверы SuperMicro, 2-процессорные XEON’ы, 2Гб RAM. Удаленные офисы находятся на большом расстоянии, сидят на спутниковом канале или на выделенке с ними идет постоянная SQL-репликация. До настоящего момента все стояло на Windows Server2003 в связке с Kerio Winroute Firewall. Удаленные офисы подсоединяются по VPN-tunnel’ю к главному серверу. VPN-туннель создан под Керио. Менеджеры через мобильник по GPRS подкидываются на шлюзы, затем открывают приложения в Excel’e через Citrix MetaFrame. В последнее время стали понимать, что с разрастанием корпорации нас эта схема не устаривает – частые глюки, зависания и т.д. и т.п. Встал вопрос – что делать?
Что требуется:
1. Firewall+proxy для внутреннего офиса, чтобы был инет, и чтобы никто у нас не лазил.
2. Возможность подключения удаленных офисов, чтобы они работали бесперебойно.
Вижу 3 варианта:
1. Покупать маршрутизатор Cisco, и на нем уже все это дело настраивать. Оставить Windows, снести Kerio.
2. Посоветовали поставить FreeBSD, на него софт и оставить остальное как есть
3. Оставить и Windows и Kerio и все остальное, тому що лучше уже не будет
Что посоветуете
Не совсем понятно, на чем затыкается ваша система?
Если вопрос в шлюзе, то FreeBSD ipfw,pf...squid, mpd,freeradius...итд.
В общем, вариант 2
Я бы поставил в центральном офисе VPN-концентратор Cisco. Ну да, дорого, но и работать будет как часы. А Kerio это поделка, и для вас уже не годится.
Напишите мейлом, если интересуют подробности.
спасибо, что откликнулись! Дело в том, что мне надо и чтобы наш офис фунциклировал, а мы обслуживаем на данный момент 4 компании, у каждого свои домены-серверы, им необходима почта(на серверах стоят мейл-серверы Керио) и Инет. К некоторым еще и подключаются удаленные офисы и менеджеры.
То есть, мне нужно решить проблему в офисах, чтобы все работало как часы, без тормозов: Инет, почта.
2. Чтобы удаленные менеджеры могли подключиться и работать, чтоб не звонили по 20 раз на день с воплями: "а меня не впускает!". Повторяю - так как канал GPRS узкий для передачи всего окна по RDP, мы поставили Citrix и у менеджеров теперь вылазит маленькое окошечко, соответтвенно скорость работы увеличивается.
3. Поднять VPN туннели по Инету для удаленных офисов, чтобы они также беспрепятственно могли обмениваться данными. Между центральным и остальными 4 внутренними и 2 внешними офисами идет SQL-репликация. Корпорация торговая, и задолбало мчаться в люой день в офис подымать канал после звонка разъяренного шефа. Денежку выделять собираются, надо просто найти оптимальный выход из данной ситуации!
если деньги дают то однозначно 1
Тоже не совсем понятно на чем именно наступает затык. Но если необходим безопасный доступ к опубликованным приложениям через интернет, то лучше используй Citrix Secure Gateway, тем более что он бесплатен и входит в поставку c Presentation Server. Есть версии которые работают на платформах Windows и UNIX. В итоге получишь, что каждый Citrix клиент у тебя будет подключаться к шлюзу безопасности к главному офису (где стоят терминальные сервера) использую SSL соединения.
Если будут деньги однозначно cisco самый большой uptime будет точно. Гибкость, надежность и безопастность будет выше остальных вариантов.
У Cisco аптайм будет большой, не сомневаюсь, но вот решит ли это проблему работы всей системы?
С железом разобрались. А сервера оставлять под Windows2003Server или переходить на FreeBSD (или что-нибудь Линуксовое??)... С учетом того, что с Линухоидами не работал вообще? То есть, стоит ли переучиваться, или Винда нормальное решение на данный момент и бросить все силы на освоение CISCO??
> То есть, стоит ли переучиваться, или Винда нормальное решение на
>данный момент и бросить все силы на освоение CISCO??Не так страшна винда как ее малюют. Есть случаи когда винда будет или легче или удобней поэтому сразу подкидываться и искать новое решение не стоит нужно провести анализ в чем проблемы.
1 с железом вроде все ясно замена на аппаратные решения программных скажится полжительно
2 но у тебя заходят на Citrix и работают в Excel приложении если честно у меня от таких решений тихий шок, потому что потерять данные элементарно. Я думаю лучший вариант заменить то приложение на Web и тогда даже на медленных канал будет все красиво. Если конечно не будет устраивать менеджеров работа через броузер тогда нужено написать тонкого клиента
Так Citrix стоит именно для отго, что он создает шифрованный канал... А если через WEB - тогда ведь у нас все будет окрытое... Повторяю, что менеджеры передают секретную информацию и крайне нежелательно, чтобы ее перехватили :(
А принцип работы через Citrix таков:
Менеджеры через GPRS (или, если там нет GPRS-покриття через CSD) подключаются на наш сервер, через Citrix открывают свой Excel-файл с сервера и работают, то есть вносят изменения...
>наш сервер, через Citrix открывают свой Excel-файл с сервера и работают,
>то есть вносят изменения...Ситрикс нормальное решение для тонких клиентов, для нерадивых - можно опубликовать приложение и подцепитоь его через браузер. проблема не в этом, насколько я понимаю, а в централизованном управлении разростающейся сетью, которая бьется на кучу мелких не взаимосвязанных сегментов. Мое мнение - интеграция решений между AD и миром *nix. В не зависимости от того, захотите вы ставить аппаратные решения на CISCO или програмные bsd/linux потребуется что-то из разряда RADIUS(что бы не плодить кучу слождных связок), которые помогут с авторизацией на хостах-роутерах и распределении прав
Замена Kerio назрела, как по мне - очень давно, либо ставить стенку из софтины на другой плотформе мира *nix, либо железку CISCO, либо прыгатиь в сторону ISA сервера от МС. Необходима препланировка леса доменов, наведение доверительных отношений и прочая (оффтоп на этом форуме) Тобишь вылизывание,а не отпевание имеющейся схемы - быструю и человеческую замену существующей схеме, а главное дешевую в плане не только цены на ПО, но и простоя , врят ли найдете, соотвественно ноги надо искать в AD, для схемы. Тобишь привести в порядок домен и иметь не кучу мелких, а один большой, поделенный на поддомены. Таже Radius привязка даст возможность общаться на тех же роутерах основываясь на политиках из AD, что заметно облегчит вашу участь.
То есть мое видиние:
1) Навести порядок в Win
2) выбрать между Win и FreeBSD на чем вы будете строить VPN/proxy/mail сервера, отсюда выбрать, есть ли смысл браться за CISCO. Как по мне, в случае выбора CISCO вам все равно потребуется как минимум еще два сервера (если реально высокая нагрузка, ессно) под почтовик и проксю.
3) Оставлять Kerio все же не надо, вместо него лучше взять ISA - там очень много гораздо более полезного и ценного, и Kerio до него расти и расти.
Я еще раз советую обратить Ваше внимание на продукт Citrix Secure Gateway, который предназначен для обеспечения безопасного доступа к опубликованному контенту Citrix через Web Interface. Еще раз подчеркиваю, что этот продукт совершенно бесплатен и никаких дополнительных лицензий не требует. Один недостаток - поскольку для создания соединения SSL требуется цифровой сертификат, то неободимо на сервер CSG ставить Web сертификат, а на клиентские машины корневые сертификаты. Однако и этого можно избежать, если приобрести Web сертификат например у Verisign, тогда корневые сертификаты будут по умолчанию встроены в клиентские браузеры. Настроить CSG не просто, а очень просто.Итак если проблема в том чтобы необходимо шифровать трафик для Web клиентов Citrix, то лучшего решения чем CSG Вам не найти. Если будут вопросы по его настройке, то пожалуйста, обращайтесь.
>Так Citrix стоит именно для отго, что он создает шифрованный канал... А
>если через WEB - тогда ведь у нас все будет окрытое...
>Повторяю, что менеджеры передают секретную информацию и крайне нежелательно, чтобы ее
>перехватили :(
Я понимаю насчет информации, но зачем гонять лишний трафик? (перерисовка терминала) это тормоза и возникновение неоднозначностей и т.п. менеджер подключается по VPN? затем работа с внутренним сервером по https объясните где возможна утечка информации? Если информация долгосрочная ни кто не отменял PGP и т.п. Для не долговременной информации вполне хватает https
Все три варианта по своему хороши и если работает, то ничего менять не нужно. Но!
1. В настоящей конфигурации нет шейпера, а это для терминальных клиентов очень важно. (Большая вероятность того, что именно здесь и затык.)
Для того чтобы разделить траффик на Citrix, VPN и остальной для Windows существуют, например, такие решения:
Bandwidth Controller (быстрый, устанавливается как драйвер)
SoftPerfect Bandwidth Manager
2. Качественнее шейпер работает на FreeBSD. Но! Времени на неё может много, а разница визуально будет заметна мало. (Если внешний канал очень широкий, то лучше конечно Фря.)
Есть ещё достаточно быстрый и неплохой вариант Redwall Firewall.3. На Cisco времени и денег уйдёт больше всего, но когда всё работает на железке - приятно :)
Минус в том, что прокси и всё остальное всё равно нужно будет ставить на отдельную машину, так почему бы ей в этом случае не быть и фаерволом.