NordVPN + pfsense - оптимальная связка для предприятия.

В свете последних событий в стране возникла рабочая необходимость в использовании VPN-сервиса.

Путем перебора остановились на NordVPN. Не реклама.
Плюсы:

• скорость, пинги
• выбор сервера с десктопа "на лету"
• отличная документированность
• готовые конфиги и великолепное приложение для Win / Mac
• хорошая техподдержка

Из общих минусов почти всех сервисов:

• PPTP как устаревший и небезопасный протокол снимается с поддержки
• L2TP поддерживается также не всеми сервисами и не везде

То есть, с Микротиком будут, скорее всего, поблемы. А вот с pfsense их нет, при условии использования OpenVPN.

VPN для предприятия.

Используем NordVPN как провайдера и pfsense как шлюз.

Сначала покупаем подписку на NordVPN. Указываем адрес электронной почты и пароль, этого достаточно для регистрации. Почта и пароль подойдут любые живые.

Будьте внимательны, эти данные вам потом понадобятся как логин-пароль для самого VPN-сервиса.

https://join.nordvpn.com/ru/order/

Если у вас еще нет pfsense, берем отсюда, устанавливаем и настраиваем. Я использовал ProxMox, но можно на любую физическую или виртуальную машину.

Далее действуем вот по этому мануалу, тут все подробно описано.

Настройка занимает до часа, в зависимости от производительности шлюза.

Следует помнить, что VPN - это шифрованное соединение. Если в канал у вас пойдут много пользователей, то он ляжет. В данном случае целесообразно:

• заворачивать некритичный трафик в не-VPN сеть

• использовать несколько аккаунтов плюс VLAN'ы

• все вместе

Также NordVPN-ом заявлена поддержка аппаратных шлюзов и OpenWRT.

Немного о итогах года +

Подитоги 2016 года.

По результатам полной замены ИТ-инфраструктуры на работе, имею честь доложить: решение ставить ProxMox вместо eSXI оказалось стратегически верным, с учетом реализованного "из коробки" функционала.
Описание установки и развертывания standalone и кластера из двух нод - в отдельном посте.

Наработалась рекомендованная связка из свободного ПО для маленьких и средних организаций:

ProxMox VE как гипервизор.
Основное его преимущество перед eSXI (напомню, мы сравниваем бесплатные продукты) в том, что "из коробки" доступны автоматические бэкапы и нормальная кластеризация, если надо.
Ну и, конечно же, это нормальный Debian-based, старательно собранный трудолюбивыми немцами.
Отлично документирован.


pfsense как шлюз, DHCP и VPN.
Нет, Mikrotik хорош, слов нет, но очень плохо и муторно умеет в OpenVPN. Особенно, когда надо связать филиалы.
Все-таки он надежнее всех, легче всех и богаче всех по оснащению.
Администрировать несложно, очень хорошо документирован.
Technical english required.




OpenMediaVault как сетевое хранилище пользовательских данных и бэкапов.
Самое удобное и нетребовательное к железу решение.
Была идея ставить Nexentastor Community, но оказалась требовательна к памяти в зависимости от количества хранимых данных, не пошло - не хватило аппаратных мощностей.

1С-Предприятие, куда же без него.
В случае, если у вас единственный сервер 1С, имеет смысл развёртывать в связке Windows 7 Pro / Windows Server 2008 или 2012 + Misrosoft SQL Express.

Postgres хорош, но бэкапы его на Windows средствами SQL - это ну очень долго и нудно.
Любителям Postgres имеет смысл посмотреть на Эффектор.Сейвер. Великолепная вещь, очень упрощает жизнь даже в бесплатной версии.

1С на Linux - работает отлично, но проблема с USB-ключами перечеркивает все плюсы.
Аппаратные ключи защиты на Linux отваливаются. Периодически и бессистемно.
Про костыли знаю, не помогают.
Либо работайте с программным ключом, либо переезжайте на Windows - повторюсь, это касается аппаратного ключа.
В случае, если SQL для 1С у вас отдельный сервер - имеет прямой смысл развернуть его на Linux и наслаждаться жизнью и бэкапами.

При недостатке средств на покупку Microsoft Server любителям работать в 1С через RDP поможет RDP Wrapper.
Важный момент - при использовании RDP wrapper обновляйтесь вручную, обновление Windows его затирает.

Позже добавлю про установку и запуск в работу всего перечисленного.

Если творятся мистические вещи в сети и на виртуалке *NIX,

проверьте:

• свободное место на диске;
• сам физический диск хоста на работоспособность и исправность.

Предыстория.

Позавчера и вчера шлюз на pfsense сошел с ума и все заверте...
Буквально.
Начали "мерцать" в сети виртуалки с 1С.
Начал бессистемно отваливаться OpenVPN.
Пропадал инет, при этом линк был на месте и пинги ходили.

Проверил свободное место на шлюзе и серверах - полно его. Подмонтированные шары также никуда не делись.
Место в хранилище на виртуальном хосте было с запасом.

Вот оно чо, Петрович...

Оказывается, сам "т.н. основной" физический диск на виртуальном хосте ESXI, оказывается, начал чудить.

Поскольку эта SSD-шка бывшим коллегой была включена в standalone (!),  пришлось мигрировать виртуалки на основной RAID-массив. Т.е. с datastore, допустим, 1 в datastore, допустим, 2.
Вот после этого все стало хорошо.
При анализе - в первом приближении - грешу пока на контроллер SSD HDD. Ошибки чтения/записи, задержки конские.
Вскрытие покажет.

Итог.

НИКОГДА не ставьте жесткие диски на виртуальный хост не в RAID. И друзьям запретите.
Конечно, СХД, кластер, миграция, бла-бла-бла... если есть бюджет. Сам знаю.
Но детских ошибок совершать не надо.