https://opennet.ru/openforum/vsluhforumID3/110435.html ++ Предисловие<br><br>В этом году поменяли провайдера. Выдал он нам небольшую сетку, сказал маршрутизатор по умолчанию, находящийся в этой же сети. В общем, ситуация вполне стандартная. Сразу же столкнулись с неудобствами такого подключения, которых не было при подключении к старому провайдеру по pppoe, ведь теперь маршрутизатор не под нашим управлением:<br><br>** Все хосты с "белыми" адресами должны обзавестись собственными межсетевыми экранами.<br>** Маршрутизация превращается либо в динамическую (что то ещё удовольствие), либо в прописывании её на всех "белых" хостах.<br><br><br>[[IMG /opennews/pics_base/0_1486964773.png]]<br><br><br>++ Быстрые и неправильные решения<br><br>Данные проблемы можно попытаться решить наскоком, и что может ложно успокоить, "всё будет работать". Поменяв маршрут по умолчанию на белых хостах на собственный маршрутизатор создастся видимость, что всё починилось: маршрутизация до филиалов и серых сетей появилась, а межсетевой экран даже сможет срабатывать на выход. Но кому более всего нужен межсетевой экран н https://opennet.ru/openforum/vsluhforumID3/110435.html#10 Thu, 16 Mar 2017 09:44:07 GMT &gt; что всё сделано согласно рекомендаций методичек. Но это костыли <br><br>Какие методички? С каких пор VPN-ы стали костылями? Типичный рунет, зудит сказать какую-нибудь гадость, а сказать нечего, вот и получается бред.<br> https://opennet.ru/openforum/vsluhforumID3/110435.html#9 Sat, 11 Mar 2017 18:12:19 GMT Круто в УФК по Ульяновской области "живут" раз такие замахи :) Совершенно не понятно зачем вам VPN с маршрутизаторов. Если есть крипто-шлюзы. Я конечно подозреваю - что всё сделано согласно рекомендаций методичек. Но это костыли :( <br> https://opennet.ru/openforum/vsluhforumID3/110435.html#8 Fri, 10 Mar 2017 08:09:55 GMT Решение - идиотское. Отговорка про нехватку ресурсов для НАТа из-зп большого количества клиентов - еще более идиотская. Или я неправильно понял и клиентов у вас десятки тысяч. а каналы - в десятках гигабит?<br><br>Как уже говорили выше - правильное решение это свой маршрутизатор (а лучше UTM) на которой и приземлена белая сетка. <br> https://opennet.ru/openforum/vsluhforumID3/110435.html#7 Thu, 02 Mar 2017 22:14:41 GMT прям стелс-фареволл ССПТ, который так часто рекламируют на этом сайте по минимальной цене, а не за 100 тысяч рублей :)<br> https://opennet.ru/openforum/vsluhforumID3/110435.html#6 Tue, 28 Feb 2017 18:48:57 GMT Высосаная из пальца (или из другого места) проблема. Имеем 3 практически идентичные конфигурации, никаких проблем нет. Приземляете все белые адреса на своем маршрутизатора/МЭ, дальше static nat + filtering или pat пробрасываете что куда надо. <br> https://opennet.ru/openforum/vsluhforumID3/110435.html#5 Fri, 17 Feb 2017 17:31:19 GMT 1:1 NAT не жрет ресурсов по портам, но это всё равно через CPU. Ведь дело в том, что это не абстрактные рассуждения, глаголы в будущем времени неуместны. Работаем же, беремся с глюками.<br> https://opennet.ru/openforum/vsluhforumID3/110435.html#4 Fri, 17 Feb 2017 16:16:05 GMT 1:1 NAT не пожрёт ресурсов, в линк упрётесь.<br> https://opennet.ru/openforum/vsluhforumID3/110435.html#3 Thu, 16 Feb 2017 07:43:59 GMT Это тоже одно из нормальных решений, но нам не подходит по причине того, что у нас приличное количество клиентов, но мало того, они ВСЕ подключаются как штык в 8:00, такова специфика работы. VPN-ы начинают тормозить и глючить. Всё же NAT и мост несравнимы по потребляемым ресурсам, а тот же DNS не надо сплитовать для нормальной отдачи инетного домена.<br> https://opennet.ru/openforum/vsluhforumID3/110435.html#2 Wed, 15 Feb 2017 17:29:03 GMT Раз уж роутер не под вашим управлением, то я бы повесил все белые адреса на одну машину (с тем же linux), и сделал бы One 2 one NAT на серые адреса. Linux машина была бы шлюзом по-умолчанию для всех во внутренней сети.<br>