оборудование для построения филиальной сети

[c-out]

Уважаемые знатоки! Помогите пожалуйста советом в подборе оборудования для следующей задачи:

Требуется объединить Центральные офисы (ЦО1 и ЦО2) и филиалы (Ф) в сеть по VPN.
Имеется:
ЦО1:
120 пользователей. 3-4 сервера (контроллер домена(fsmo), файловый сервер(DFS), веб-сервер).
Провайдер1: 30-60Мбит. ВОЛС.
Провайдер2: 15Мбит. ВОЛС.
Шлюз: КериоКонтрол.
Одна локальная подсеть (192.168.0.ххх).

ЦО2:
120 пользователей. 3-4 сервера (контроллер домена, файловый сервер(DFS), сервер терминалов).
Провайдер1: 30-60Мбит. ВОЛС.
Провайдер2: 15Мбит. ВОЛС.
Имеется свой локальный канал ВОЛС в соседнее здание где расположен сервер БД (172.10.10.ххх).
Шлюз: КериоКонтрол.
Одна локальная подсеть (192.168.50.ххх).

ЦО1 и ЦО2 соединены по VPN КериоКонтрол:
- пользователи из ЦО1 подключаются по RDP к ЦО2 к серверу терминалов.
- из ЦО2 доступен веб-сервер с внутренним веб-порталом.
- репликация AD, DFS...

Филиалы:
Филиалы разные по кол-ву пользователей, от 3 до 60 пользователей. На первом этапе планируется подключить 3 более-менее крупных филиала, с кол-вом пользователей 20-60. В случае успеха подключать поэтапно оставшиеся мелкие филиалы (3-15 пользователей).
Серверов нет. Шлюзов нет. Админов нет. Хаос.
Провайдер2: 2-5 Мбит. ADSL.
Одна локальная подсеть.
Предполагается разместить в крупных (от 20 пользователей) филиалах сервер с контроллером домена (репликация с ЦО).
Филиалы должны иметь доступ на сервер терминалов, общее кол-во одновременных подключений пользователей (в пик) на первом этапе будет около 60, на дальнейших этапах около 100.

Задача унифицировать всю сеть, используя оборудование микротик.
Объединить филиалы с ЦО, предоставить филиалам доступ к серверу терминалов, ввести в домен, предоставить доступ к файловым ресурсам.
В тоже время хочется заменить Керио на микротик (возможно ли?). Таким образом от микротика требуется держать VPN и выполнять локальные функции (выход в интернет пользователей, т.е. nat, proxy, портмапинг, фильтры, статистика, журналы посещений, шейпинг и т.д.).
VPN хочется конечно с ipsec.
Почитав форумы, пришел к выводу, что для решения этой задачи необходимо будет как минимум напр.CCR1009-8G-1S в каждом ЦО.
В филиалы: по крупнее RB2011IL-IN, в мелкие филиалы RB750GL.
в качестве резервирования наверное будем брать по две штуки, как бы coldbackup. Можно наверное подумать и про VRRP...

Возникают вопросы и терзают сомнения...
- справится ли оборудование в ЦО с локальными задачами и VPN?
- или лучше разнести задачи VPN и локальные на разные железки?
- справятся ли данные модели в филиалах?
Уважаемые знатоки, помогите определиться какое оборудование поставить в центральные офисы, и в филиалы.
Буду очень благодарен любому совету и критике!

[gmx]

В целом вы правильно все выбрали.

Разве что 750 уже нет смысла брать. Старый он уже.

А так заранее никто вам точно не скажет. Задачи и их характер постоянно меняются. Одно дело по vpn почту получать с корпоративного сервера, а и совсем другое - 1с в режиме файл-сервер гонять.

[podarok66]

На первый взгляд, почти всё осуществимо. За исключением журналов посещений, тут Вам силами одной RouterOs этого никак не сделать. Придется поднимать сервер и всё контролировать через программное обеспечение на нем... А уж Керио там это будет или еще что-то - решать Вам...

[c-out]

gmx, podarok66 спасибо за ответы!
Согласен, задачи меняются, объемы растут, нагрузка увеличивается...
Конечно же, не предполагаем покупку оборудования на 5-7 лет, если 2-3 года отработает уже хорошо. При ценовом уровне микротика, можно и апргейдиться почаще)) Главное чтобы оборудование действительно "волокло"))
Ну а по поводу журналов, я так и примерно себе и представлял... возможно сливать логи с микротика куда нибудь на сервер(syslog к примеру) , и там уже парсить... придется конечно повозиться по сравнению с керио))

[-user-]

...

Хоть и в меньших объемах, но у меня стоИт похожая задача... пока купил домой для изучения тонкостей модель 951G-2HnD ей же можете и заменить ту которую Вы упоминали (RB750GL)... Wi-Fi отключается, проц гонится до 750 МГц (хоть немного выигрыш в производительности будет)


Судя по отзывам на других ресурсах, может оказаться, что CCR1009-8G-1S Вам будет не хватать...
почему может оказаться слабоватым (все пункты одинаково верны, думаю, у Вас будут как и для ЦО так и для филиалов):
1) ipsec
2) обязательно приоритезация / шейпинг по типу (чтобы отправка почты в филиале не забила бухгалтера работающего в 1C) и подобное... особенно актуально для проклятого богом АсинхронногоDSL
3) так как это корпаратив - то никуда не деться от L7, который жрет проц... чтобы закрывать дыры в безопасности сети... это и програмные - типо TeamViewer, это и игры, и просто какие-то сайты (соц.сети), не по IP же их банить.
4) опять же из-за корпаратива - много правил в фаерволе (более 25 с которыми любят проводить тесты Микротиковцы у себя на сайте)... так как думаю у Вас так же ОСНОВНОЕ правило - ВСЕ зарещено

Мои советы, как от неопытного Микротиковца :
1) однозначно иметь в запасе такую же железку, это Вы и сами писали: обязательно резервировать.
2) Уточните вопрос у служб юридических и безопасности, вроде для официального канала передачи персональных данных (а они летают однозначно) по "шифрованным" каналам, нужна какая-то сертификация что ли у железки, на сколько знаю МТ этим не заморачивается (если это для Вашей организации)
3) купите для начала 2 штуки CCR1009-8G-1S и две штуки 951G-2HnD и начните процесс... а там уже и поймете что Вам дальше докупать... как бы не пришлось CCR1009-8G-1S спускать на крупные филиалы.

Ну а в целом Микротиковская коробочка - просто великолепна, по сравнению с тем же KerioКонтролом (не понимаю как Вы им пользовались до сих пор, у него же лицензия стОит как крыло самолета, даже на Ваше количество юзеров ).

[vqd]

В филиалы: по крупнее RB2011IL-IN, в мелкие филиалы RB750GL.

Берите 951. 750 не стоит брать в принципе. Ну если у вас там только не 3 рабочих места с минимальной активностью, но учитывая IPsec оно я думаю очень быстро само по себе загнется

[c-out]

-user-
Спасибо за развернутый комментарий!
Полностью с вами солидарен по всем пунктам! п.3-4 точно про нашу контору!
По выбору оборудования на первый этап решили следующим образом:
В ЦО: MikroTik CCR1009-8G-1S-S+
В крупные филиалы: Mikrotik RB2011UiAS-RM
Попробуем настроить, посмотрим как всё "взлетит"))
А по поводу перс.данных... есть такой такой момент, и шифрование по ГОСТу это уже совсем другая задача... континенты, вип-неты и т.п.
Кстати, Керио лицензированный. Стоил он действительно немалых денег, но на тот момент почему то выбор пал именно на него.

vqd
Спасибо за комментарий!
Это я с 750 действительно промахнулся) в филиалы где 3-5 человек, нагрузка будет действительно не большая, и будем брать 951, не меньше)

[vqd]

Мы в аптеки ставили 750. Там 3 - 4 кассы и ПК администратора. Тоннели работали нормально но мы не применяли IPSec