Denis
ибо протокол дыряв
Дмитрий
сканят жеж суки, ну а что обертка в tls не спасает вообще никак?
данные может и спасает а вот уязвимости протокола врятли )
Denis
поэтому я использую порты nntp, ntp, hpjetprint и другие не популярные вещи ))))))))
Denis
а еще располагать канал с rdp внутри l2tp с ipsec
Denis
но это если приличное оборудование с 2 сторон
Moneron 🇷🇺
Сейчас hEX стОит 3200 рублей, считаю, что ставить его как гейтвей для небольшой компании — самое то. И про ИПСек с ним пообщаться интересно.
Алексей
Moneron 🇷🇺
Гейт для офиса, компании, впн-концентратор
Moneron 🇷🇺
Естественно, не промышленные масштабы, но железка хорошая, сдюжит и ипсек, и оспф, и ещё много чего
Алексей
а еще располагать канал с rdp внутри l2tp с ipsec
а если клиенты с разных городов цепляются откуда ни попадя, что тогда делать предлагаете? :)
Алексей
как их всех пустить в во всё это щастье?
Denis
а если клиенты с разных городов цепляются откуда ни попадя, что тогда делать предлагаете? :)
на этот случай "но это если приличное оборудование с 2 сторон"
Denis
у меня теперь есть мап с настройкой на динамический адрес по 1 порту и автоматическим подъемом всех моих туннелей
Denis
оч удобно. правда из них ипсек только 1
Denis
и если использовать постоянно, hex оптимален
Алексей
а ну да, а так манагеры сидят по городам со всяких юсб свистков и шмылинков ломятся на сервак, тогда совсем печаль беда, я уже начал подумывать было про опенвпн на винде... была тема такая что можно сконфигурить екзешничек с предустановленными настройками на соединение с серваком... хз даже попробовать чтоли...
Denis
ну начнем с того, что l2tp и pptp в винде можно прописать в командной строке
Denis
и запускать соединение батником
Denis
например мы так делали, когда сервак висел на усб свистке с серым адресом
Алексей
тогда сервак нужно на винде поднимать а то 2011-й врядли столько народу потянет :)
Denis
автоматический подъем pptp сессии спас положение
Denis
hex попробуйте
Алексей
через RAS чтоли автоподнятие?
Denis
я пробовал (после курсов) 3 одновременных туннеля с шифрованием
Denis
50-60% и нормально
Denis
да
Алексей
а сколько человек?
Denis
а 1 раз это был батник в шедуллере 2008 сервера )))
Denis
40 мегабитная синтетическая нагрузка
Moneron 🇷🇺
а если клиенты с разных городов цепляются откуда ни попадя, что тогда делать предлагаете? :)
Винда умеет л2тп с ипсеком. Чем не вариант? А внутри уже хоть телнет ))
Алексей
а 1 раз это был батник в шедуллере 2008 сервера )))
не, эт понятно, а хекс при чем, если народу тьма лучше напрямую херачить в винду наверное...
Denis
не, эт понятно, а хекс при чем, если народу тьма лучше напрямую херачить в винду наверное...
l2tp сервером лучше делать отдельную железку. винда всегда это коряво делает
Denis
если у вас серьезная контора, то 3-5 тысяч на сетевую инфраструктуру не вопрос
Denis
а если пояснить, что это ради безопасности, то я думаю решаемый вопрос
Moneron 🇷🇺
если у вас серьезная контора, то 3-5 тысяч на сетевую инфраструктуру не вопрос
Согласен. Мы сейчас с наших бордеров будем выносить впн как раз на хекс. В целях удобства и упрощения конфигов на них, не из-за того, что сильно напрягаются. Это те самые ЦЦР курильщика, кто был на курсах — помнят )
Алексей
целый зоопарк разных осей, вопрос только в том как их всех блин сразу же подключить...
Denis
и опять же у вас появится гибкость в управлении трафиком
Denis
у меня dude загрузил курильщика на 10% )))
Алексей
и опять же у вас появится гибкость в управлении трафиком
а на crs125 можно отмутить такое? человек 80 потянет клиентов?
Denis
95% осей поддерживают l2tp и pptp нативно
Владимир
Порткнок на открытие порта рдп порта спасут от кулхацкеров... Так же ссш тунели хорошая вещь... Но какая бы защита не стояла - возможно сломать всё... Было бы желание
Denis
crs - это свитч. шифрование будет тянуть с диким скрипом
Denis
Владимир
Естессн нестандартный
Алексей
а 2011-й вытянет?
Denis
из моей практики не всем ))))
Denis
много сессий - нет
Алексей
у меня прост куплена 125сиэрэска взамен 2011-му...
Алексей
шилона мыло в итоге
Denis
нет
Denis
это разные железки с разным назначением
Алексей
может их как-то вместе юзать... разделегировать
Denis
маршрутизатор и концентратор
Владимир
У меня 750ый тянул 40впнов, и 30-40 разъездных сотрудников.... В итоге в рдп одновременно ходило около 200 человек одновременно... И все было ок
Denis
да
Denis
а сколько из них шифровалось?
Denis
просто l2tp 2011 тоже будет тянуть
Владимир
По впнам ходили по рдп из филиалов
Denis
просто пока обсуждается l2tp с ipsec
Denis
если откинуть ipsec, то 2011 вполне справится
Владимир
Резюмирую... Если захотят сломать что либо... То сломают в любом случае... В конце концов сами сотрудники сольют все доступы
Алексей
почитать бы где про такую связку...
Denis
про какую?
Алексей
чтобы прям годная статья
Denis
Резюмирую... Если захотят сломать что либо... То сломают в любом случае... В конце концов сами сотрудники сольют все доступы
угу, а еще есть тонкая грань между безопасностью и удобством работы. и подтверждаю, что 90% взлома простых контор - через персонал
Алексей
угу, а еще есть тонкая грань между безопасностью и удобством работы. и подтверждаю, что 90% взлома простых контор - через персонал
ну это значит нужно совсем урезать всё что можно...
Moneron 🇷🇺
Все железки на мипс-бе плюс-минус одинаковы. Шифруют они процессором, и позволяют получить 15-30 мбит ипсека всего. Размажьте эту цифру на количество ваших туннелей.
Алексей
Denis
а как же нативная поддержка железом шифрования в hex
Denis
mt обещают 470 мегабит ipsec
Moneron 🇷🇺
Другая аппаратная платформа, с hw-accelerated шифрованием и сторейджем.