Варианты «железной» организации vpn/ipsec.

dslam в центр, adsl-модемы на периферию. Так как они сейчас никому уже не нужны, то наверное можно и бу купить.

А что такое «удаленные небольшие точки»? Если это точки в пределах завода-торгового_центра-аэропорта или что-нибудь в этом роде, то еще туда-сюда. А если раскиданы по городу, то аренда меди выйдет на порядок дороже.

не, ну дслам это конечно вы загнули) конечно, все в черте города, думаю, получится даже L2 до себя со всех точек собрать провайдерский. меня интересует именно периферийное оборудование на точках, которое трафик закрывало бы.

Много разных. Например, такие.

Угу. Такой у меня уже стоит, я его как центральный планировал использовать. Для точек же показалось жирновато.

Mikrotik

Mikrotik? Для IPSEC? Ну-ну :)

А по сабжу - б/у кошек накупить, и радоваться.

Я вряд ли что-то смогу подсказать, но всё же: полоса какая требуется на удаленных точках/в центре? А то без этого советовать что-то конкретное я думаю достаточно затруднительно.

Mikrotik? Для IPSEC? Ну-ну :)

Не поделишься негативным опытом или ссылкой на оный? Сам не использую Mikrotik ни для чего серьезного(пока), но планирую бордер на вот этом сделать, может и IPSec-туннель мастрячить туда придётся, хотелось бы сразу узнать о возможных граблях. Про то что с вероятностью 100500% отдельного криптопроцессора для IPSec в Mikrotik-е лучше не ждать(это вам не Cisco/Juniper, ценник не тот) - я в курсе.

На наге есть кучка тем со срачем вокруг микротика.

Коротко - IPSEC в свежих версиях то ли заломан вообще, то ли заломана совместимость с другими вендорами. Ну и общая непредсказуемость софта и категорическое нежелание латать критические уязвимости (за это деньги же не платят) - баги, позволящие DoS, висят годами.

микротики рассматриваются. честно говоря, пока что как приоритет, потому как на узле стоит здоровенный cloudcore router, к которому это все очень кошерно можно прицепить по pptp. но во-первых фстэк. во-вторых ipsec там пока что на уровне «кота в мешке».

и я понимаю, что все прогрессивное человечество использует для таких целей всякие PIX и прочие старые модели кошек, но у меня государственная организация и в современных политических условиях я даже слово это боюсь произносить лишний раз при начальстве)

полоса до каждой точки имеет потолок в десятку.

5мбит микротик 951 в айписеке прожевывает спокойно, думаю, и десятка не предел

организация и в современных политических условиях я даже слово это боюсь произносить лишний раз при начальстве)

Не стесняйтесь. Есть линейка для малого бизнеса cisco. Попрошу заметить, что производителей с мировым именем много. Можете построить сеть на решении fortinet (fortigate), zyxel (zywall), juniper, huawei и др. Можете построить программное решение на основе сертифицированного решения на Solaris (есть железо с платами аппратно-ускоренного шифрования) или linux (astra/ROSA/Alt/RHEL, SLES). Опирайтесь на ФСТЭК. Возможно есть и специализированные решения от отечественных разработчиков. У меня в стране такие есть.