LINUX.ORG.RU

История изменений

Исправление upcFrost, (текущая версия) :

провайдер - свои люди

дружба эт святое. но общепринятых норм сетевого администрирования она не отменяет.

Если по сути - нужно будет прописать маршруты и забить правила input/forward на фаерволах. это нужно будет делать в любом случае, есть впн или нет (в случае впн маршрут пойдет в тоннель). imul уже дал выше два листинга как это делать, это базовая сеть и тут даже комментировать нечего.

по поводу впн - они решают не только проблему защиты, хотя ей пренебрегать нельзя ни по личным, ни по юридическим показателям. помимо защиты впн в первую очередь позволяет задействовать стандартные варианты подключения удаленных точек. это сейчас зданий всего два, а у меня был опыт когда компания за два года с 6 до 15 точек выросла. тут уже никакой ручной маршрутизацией не отделаться, да и site-to-site ipsec'ами тоже, только ospf/dvpn/dmvpn, ну и gre разумеется, а они все прекрасно и абсолютно стандартно интегрируются с впн-тоннелями.

собственно я это к чему - если уж взялся сеть переделывать, переделай так чтоб хватило даже если контору раздует как пачку кефира на июльском солнце. иначе в один прекрасный день будет 10 точек и 20 провайдеров, и дикий зоопарк из серых и белых адресов, ната и через колено сделанной маршрутизации. лучше пока можно - сделать хорошо и на века.

Исходная версия upcFrost, :

провайдер - свои люди

дружба эт святое. но общепринятых норм сетевого администрирования она не отменяет.

Если по сути - нужно будет прописать маршруты и забить правила input/forward на фаерволах. это нужно будет делать в любом случае, есть впн или нет (в случае впн маршрут пойдет в тоннель). imul уже дал выше два листинга как это делать, это базовая сеть и тут даже комментировать нечего.

по поводу впн - они решают не только проблему защиты, хотя ей пренебрегать нельзя ни по личным, ни по юридическим показателям. помимо защиты впн в первую очередь позволяет задействовать стандартные варианты подключения удаленных точек. это сейчас зданий всего два, а у меня был опыт когда компания за два года с 6 до 15 точек выросла. тут уже никакой ручной маршрутизацией не отделаться, да и site-to-site ipsec'ами тоже, только ospf/dvpn/dmvpm, ну и gre разумеется, а они все прекрасно и абсолютно стандартно интегрируются с впн-тоннелями.

собственно я это к чему - если уж взялся сеть переделывать, переделай так чтоб хватило даже если контору раздует как пачку кефира на июльском солнце. иначе в один прекрасный день будет 10 точек и 20 провайдеров, и дикий зоопарк из серых и белых адресов, ната и через колено сделанной маршрутизации. лучше пока можно - сделать хорошо и на века.