[Aiuto / Informazioni] su SERVER PROXY, VPN, failover di linea ecc.

[acco.tn]

Salve a tutti, allora prima di tutto vi illustro brevemente la situazione attuale delle reti degli uffici in cui lavoro (e poi cosa voglio fare e le domandine x voi!... ):

Allo stato attuale abbiamo 2 uffici, in 2 città diverse (uno a Trento e uno a Bolzano).

Nell'ufficio di Trento la rete è di tipo dominio, gestito da un server Windows 2003 Standard Edition, e tutti i client sono Win XP Pro o Win 2000. L'ufficio è servito da una ADSL con router CISCO configurato e chiuso (con un firewall che mi fa bestemmiare tanto è chiuso, ma questo è un'altro paio di maniche!... ). Inoltra è stata attivata una seconda linea, una HDSL, per ora non sfruttata da nessun computer in rete (tranne che da me ). Il server funge, oltre che da controller di dominio, da file-server, server DNS e server DHCP, facendo un relay sul CISCO.

A bolzano invece la rete è di tipo "workgroup" senza alcun server con una linea ADSL gemella a quella presente a Trento. Pure a Bolzano è in fase di attivazione una line gemella della HDSL.

Adesso, il mio progetto è quello di riunire il tutto sotto un'unica rete e gestione centralizzata con altre "automazioni".

• creare una VPN tra le 2 sedi
• contralizzare l'autentificazione degli utenti con il server di Trento
• creare un sistema con mi permetta di gestire, a poco costo!!, il failover di una delle 2 linee

Per la creazione e gestione del tunnel VPN userò le 2 HDSL (anke xkè le 2 ADSL, o meglio i 2 router, non sono direttamente gestibili da me).
Acquisterei un computer che chiamerò, abbastanza impropriamente, server per l'ufficio di Bolzano.
Doterei i 2 server (il 2003 di Trento e l'XP di Bolzano) con 3 schede di rete ognuno, così piazzerei il server tra i router delle 2 linee e lo switch così facendo sarebbe il server stesso a gestire le connessioni da e verso l'esterno.

I dubbi si formano sull'uso del server come "gestore": usando un programma che faccia da server proxy dovrei poter gestire il failover di una delle 2 linee di ogni ufficio (ho visto che ci sono programmi come WinGate e l'ISA server di microsoft che farebbero al caso mio, se ne conoscete altri è il momento di dirmelo!! ).
Ma come posso gestire in contemporanea pure il tunnel VPN attraverso un server proxy affinchè gli utenti dell'ufficio di Bolzano possano autentificarsi sul server di Trento, vedere i computer dei rispettivi uffici?
E' possibile reindirizzare, o via proxy o via non lo so, che per le chiamate internet, posta e simili venga usata una connessione mentre per richieste di login, sfoglio delle risorse con l'altra linea??

Spero di essere stato il + chiaro possibile e che qualcuno tra voi ci sia qualcuno sia in grado di aiutarmi!

Grazie.

[hmetal]

ellamadonna! e chiedi poco?!

Un progetto del genere come minimo 1 sistemista per un giorno, costo totale piu o meno 1000 eurini.

Oppure abbi fede che andiamo a step. Meglio evitare casini. Ci sono alcune cose su cui discutere secondo me a livello piu generico di progetto; se vuoi, oppure, cerchiamo di fare pari pari quello che vuoi tu.

Ribadisco che fare una cosa del genere senza un analisi della tua rete e della tua struttura non è proprio semplice. Comunque vedi tu.

Questo è quello che ti volevo dire come premessa.

Andiamo avanti domani che stasera sono un po in coma.

Ciao!

[Stev-O]

Quote:

Originariamente inviato da hmetal

ellamadonna! e chiedi poco?!

Un progetto del genere come minimo 1 sistemista per un giorno, costo totale piu o meno 1000 eurini.

sempre che in giornata finisci....
perchè le disavventure sono sempre dietro l'angolo.....

e soprattutto: fatti pagare prima.....

[acco.tn]

Quote:

Originariamente inviato da hmetal

ellamadonna! e chiedi poco?!

Un progetto del genere come minimo 1 sistemista per un giorno, costo totale piu o meno 1000 eurini.

Oppure abbi fede che andiamo a step. Meglio evitare casini. Ci sono alcune cose su cui discutere secondo me a livello piu generico di progetto; se vuoi, oppure, cerchiamo di fare pari pari quello che vuoi tu.

Ribadisco che fare una cosa del genere senza un analisi della tua rete e della tua struttura non è proprio semplice. Comunque vedi tu.

Questo è quello che ti volevo dire come premessa.

Andiamo avanti domani che stasera sono un po in coma.

Ciao!

Ciao, grazie x la risposta. Allora chiarisco subito un paio di punti. Il sistemista qui sono io, sono un informatico (con 1 esame dalla laurea... :P ) e quindi faccio tutto io. Ho già creato vpn punto-punto, attraverso router. Solo volevo sapere se c'era qualcuno che avesse già fatto qualcosa di simile. I punti che proprio non so come funziona è il gestire con un proxy (cosa che bene o male non ho mai approntato) con 2 linee distinte, metterle in bridge affinchè all'interno x i computer sia trasparente. ma allo stesso tempo c'è un tunnel vpn di mezzo....

Se hai + suggerimenti sono tutt'orecchi!

[hmetal]

Quote:

Il sistemista qui sono io

allora il problema non sussiste

Quote:

punti che proprio non so come funziona è il gestire con un proxy (cosa che bene o male non ho mai approntato) con 2 linee distinte, metterle in bridge affinchè all'interno x i computer sia trasparente. ma allo stesso tempo c'è un tunnel vpn di mezzo....

qui non è questione di proxy ma è questione di routing, siamo daccordo su questo?

I proxy non gestiscono il routing ma sono delle applicazioni che applicano dei filtri e danno la possibilità di eseguire un monitoraggio solo ed esclusivamente legato al browsing di internet, ma intendo browsing di pagine web non traffico internet in toto.

Ti propongo una soluzione secondo le tue esigenze speifiche, poi ti espongo i miei dubbi.

A LIVELLO GENERICO

La questione fondamentale è che utilizzando questo tipo di struttura, e dovendo creare una rotta di backup, sei costretto per forza ad usare le metriche. Tra l'altro qualche settimana fa un altro utente aveva lo stesso identico problema, e lo abbiamo risolto utilizzando metriche diverse sulle rotte di backup.

Il problema è essenzialmente la vpn.

La vpn, come tu ben sai, quando è a posto e funzionante, la consideri come un link tra 2 apparati direttamente collegati. Come uno switch con un altro switch.

Avendo un link unico e non potendo distinguere il traffico diretto ad una rete o ad un altra, perche fisicamente sul router hai una porta sola, potrai gestire si il fail di un o di un altro router, ma le rotte le dovrai gestire all'infuori di questi router, cioè sul communication server, dove gestirai anche le rotte di backup, ma non potrai far uscire il traffico internet dalle 2 lan, ma solo metterle in comunicazione tra di loro. Ti serve essenzialmente un altro modem/router, che puoi mettere in una solo delle 2 reti come rotta verso internet; da qui non ci scappi ed è il punto focale di tutta la faccenda.

DUBBI E PERPLESSITA

Essenzialemente è che, con questo tipo di struttura, hai un numero considerevole di spof (single point of failures), non legato alla linea, perche hai la linea di backup, ma legato al communication server che, essendo poi un pc e magari non con hardware da server, puo molto facilmente avere dei problemi.

Io gestirei la cosa con router che hanno piu interfaccia su linee di tipo completamente diverso, tipo adsl/isdn e gestirei tutto da di la.

ciao

[stepvr]

Ti sconsiglio vivamente di usare un unico server di autenticazione. Dipende da cosa dovra' girare su quella linea HDSL ma la soluzione piu' corretta e' installare a BZ un secondo server di dominio sincrono con il primo in modo che la zona sia autonoma anche in caso di caduta del collegamento. Se hai servizi o programmi che usano database server in configurazione client/server ti consiglio di pensare a una soluzione tipo Terminal server o Citrix. Il traffico sarebbe troppo elevato anche per una HDSL. Per il failover su cisco si gestisce con EIGRP ma lascio l'argomento a piu' esperti di me.

[hmetal]

Quote:

Dipende da cosa dovra' girare su quella linea HDSL ma la soluzione piu' corretta e' installare a BZ un secondo server di dominio sincrono con il primo in modo che la zona sia autonoma anche in caso di caduta del collegamento.

si era una delle mie perplessita. Ma credo che abbia dei problemi a mettere su un altro server di dominio o un backup dc. Non che non sia in grado di farlo, ma credo che vorrebbe evitarlo per avere semplicemente un altro server.

Per la sola e semplice autenticazione va comunque benissimo un pdc e basta tanto piu che hai una linea di backup. Stessa cosa vale per i database; il traffico è esiguo per un hdsl.

E' ovvio che devi avere file server distinti e separati, è poco consigliabile avere dati condivisi solo in una delle 2 reti. Comunque funzionera lo stesso.

Quote:

Se hai servizi o programmi che usano database server in configurazione client/server ti consiglio di pensare a una soluzione tipo Terminal server o Citrix.

Potrebbe essere una soluzione interessante, cosi hai il traffico grosso solo su una lan. Il traffico sulla vpn è solo di connessione ed è molto molto bassa. Ma citrix costa.

Quote:

Per il failover su cisco si gestisce con EIGRP ma lascio l'argomento a piu' esperti di me.

Lo puoi gestire anche con altri protocolli di routing. Se usi Cisco, dall'ios 11.1 mi pare in poi, esiste solo EIGRP. Tuttavia EIGRP funziona solo con i cisco anche se è compatibile, cioè riesce a installare le rotte provenienti da altri protocolli di routing.

ciao

[stepvr]

Che funzioni anche senza un secondo DC e' certo. Per esperienza personale una volta che hai in piedi una connessione inter-sede, su quella linea girera' di tutto e il traffico diventera' insostenibile. L'autenticazione avviene di continuo a ogni click sulle risorse di rete da parte dei client. Se in piu' ci metti query a WINS/DNS/DHCP per la risoluzione dell'instradamenti, alla lunga avrai tempi di risposta inaccettabili. Citrix e' un'ipotesi e il Terminal server di W2003 e' piuttosto efficente. Pero' stiamo facendo supposizioni senza sapere quanto persone ci sono nella sede di BZ, quali applicativi verranno usati, piu tutta una serie di ma e se. E' difficile trattare in un forum un progetto che bisognerebbe valutare in tutti i dettagli.

[acco.tn]

Ah bene, mi piace vedere che ho ottenuto risposte al problema!

Cmq, il server rimarrà a trento e basta, senza un server mirror a bolzano (non ho necessita! attualmente lavora tutto in workgroup!!), alla fine, in caso di mancanza di comunicazione col server (cosa che al massimo sarebbe limitata a poche ore!) i client sono in grado, nel 95% dei casi, di fare ugualmente il login.
Di fatto a trento la gestione degli utenti è + complessa, nel senso che i profili degli utenti sono sul server e con esso sincronnizzati attraverso le policy delle unità organizzative. a bolzano mi sarebbe sufficente il solo e puro login senza sincronizzazione dei profili.
Ovviamente i file server sarebbero distinti, al massimo massimo via vpn si spostano uno o 2 documenti tra i computer delle 2 sedi, ma senza prevedere un traffico come in una a LAN a gigabit!!!

Altro punto da chiarire i 2 cisco presenti, che sono i router delle 2 ADSL, sono x me off-limits, x fargli delle modifiche devo fare i salti mortali e cercare una persona specifica a milano, insomma gestire il failover con i cisco non la vedo la via praticabile.

giustamente tu mi dici che i server proxy fanno un lavoro solo su lacuni protocolli legati ad internet e basta.

Ma allora le rotte per gestirle mi serve cmq un pezzo hardware a se (credo di aver già visto degli apparati simili, ma con costi non indifferenti!).

Se ho capito bene, se volessi solo la vpn, mi basterebbe crearla tra i 2 router alcatel e fare un bridge di rete.....ammetto di avere un certa confusione in mente.....

[acco.tn]

Quote:

Originariamente inviato da stepvr

Che funzioni anche senza un secondo DC e' certo. Per esperienza personale una volta che hai in piedi una connessione inter-sede, su quella linea girera' di tutto e il traffico diventera' insostenibile. L'autenticazione avviene di continuo a ogni click sulle risorse di rete da parte dei client. Se in piu' ci metti query a WINS/DNS/DHCP per la risoluzione dell'instradamenti, alla lunga avrai tempi di risposta inaccettabili. Citrix e' un'ipotesi e il Terminal server di W2003 e' piuttosto efficente. Pero' stiamo facendo supposizioni senza sapere quanto persone ci sono nella sede di BZ, quali applicativi verranno usati, piu tutta una serie di ma e se. E' difficile trattare in un forum un progetto che bisognerebbe valutare in tutti i dettagli.

Allora il terminal server lo conosco solo a livello teorico, niente di +. Quello che dici è corretto, nel senso che ci sarebbero tutte le query DNS, DHCP i(anke se una tantum, i lease glieli imposto abb lunghi), WINS (anke se in forma molto ridotta, visto che all'inizio non avevo neppure installato il server WINS sul DC!). Però va detto anke che in quell'ufficio ci lavorano 3 persone mediamente (con picchi di 5!), quindi non credo che le query generate mi vadano ad intasare o quantomeno a rallentare lo scambio di dati via VPN sulla HDSL (ok c'è pure da tenere conto i vari passaggi di crittazione e decrittazione a seconda del protocollo di sicurezza usato), ma contiuno a credere che x i numeri modesti sopracitati dovrei essere apposto!

Poi tieni conto che i 2 uffici in questione sono delle agenzie di assicurazioni e i vari dipendenti lavorano o semplicemente con word,excel e compagnia bella (quindi senza generare traffico tra le sedi) e poi con, ahimè, Internet Explorer, visto che il programma della compagnia x preventivi, polizze ecc si basa su un'applicazione web!
Ripeto poi che lo scambio di dati tra computer delle 2 sedi sarà bassissimo.

[hmetal]

Quote:

Ripeto poi che lo scambio di dati tra computer delle 2 sedi sarà bassissimo.

e allora il problema non sussiste.

Quote:

Altro punto da chiarire i 2 cisco presenti, che sono i router delle 2 ADSL, sono x me off-limits, x fargli delle modifiche devo fare i salti mortali e cercare una persona specifica a milano, insomma gestire il failover con i cisco non la vedo la via praticabile.

Quello non sarebbe un grosso problema, visto che lavoro solo e praticamente con cisco. Tuttavia se i cisco hanno solo 1 interfaccia wan non ci fai un tubo se vuoi le rotte di backup.

Quote:

Ma allora le rotte per gestirle mi serve cmq un pezzo hardware a se (credo di aver già visto degli apparati simili, ma con costi non indifferenti!).

No. Windows ti fara da router. Puoi utilizzare win per gestire delle route statiche. Con il discorso delle metriche puoi gestire la rotta di backup.
Sinceramente era una cosa che non avevo mai fatto, ma sono riuscito a farla funzionare per un utente del forum (da qualche parte c'è la discussione se vuoi la riesumiamo), che aveva il tuo stesso problema delle rotte di backup.

Se fai un buon progetto, le metriche fanno il resto. Devo dire che è anche abbastanza semplice.

Il problema è la vpn. Ora credo che la vpn sia gestita da uno dei router direttamente. Questo è il nodo della questione. Dovendo avere una rotta di backup con la vpn, e non avendo un router con piu interfacce wan, sei costretto a spostare la gestione della vpn da un altra parte, cioe sul communication server. I router avranno solo il compito di tenere su la connessione con internet.

Problema 2, che mi pare tu non abbia fatto caso o dato importanza. Ti servono 5 router:

2 router per la vpn
2 router per la vpn di backup
1 router per la connessione verso internet.

l tutto gestito da uno o piu communication server.

Forse credo che questo non ti sia chiaro.

Ciao

[stepvr]

Quote:

Originariamente inviato da acco.tn

Poi tieni conto che i 2 uffici in questione sono delle agenzie di assicurazioni e i vari dipendenti lavorano o semplicemente con word,excel e compagnia bella (quindi senza generare traffico tra le sedi) e poi con, ahimè, Internet Explorer, visto che il programma della compagnia x preventivi, polizze ecc si basa su un'applicazione web!
Ripeto poi che lo scambio di dati tra computer delle 2 sedi sarà bassissimo.

Se rispetti questi termini e' fattibile. Resto della mia idea che comunque avendo bisogno del file server ti conviene promuoverlo a DC secondario. Le policies le puoi discriminare tranquillamente per zona. Ti risparmi una montagna di problemi e problemucci.

Quote:

Originariamente inviato da hmetal

Il problema è la vpn. Ora credo che la vpn sia gestita da uno dei router direttamente. Questo è il nodo della questione. Dovendo avere una rotta di backup con la vpn, e non avendo un router con piu interfacce wan, sei costretto a spostare la gestione della vpn da un altra parte, cioe sul communication server. I router avranno solo il compito di tenere su la connessione con internet.

Uhm, non mi sembra un buon approccio. Cisco puo' fare delle meraviglie compresa una funzionalita' di cluster. Se il router primario si accorge di non poter raggiungere destinazione automaticamente commuta tutto sul router di backup (1 sec circa). Quindi la VPN andrebbe fatta sul cisco con tutti gli instadamenti (2 per la verita'). Delegare Windows per costruire la VPN avendo 2 gateway e un po' dura. Windows puo' fare bene da routing non il router. Comunque lascio la parola a hmetal che sa il fatto suo.
Un'ultima osservazione: se le 2 ADSL sono delle 2048/512 avrai una VPN inter-sede da 512Mbps (uguale alle velocita' di upload). Ovvio, penso.

[acco.tn]

Ah un'altro cisco-ista (non io che io lo sia, magari! il networking è tra gli argomenti che + mi prendono in informatica!!).

Si, sarei proprio curioso di vedere cosa hai proposto all'altro utente col prob simile al mio! Ma cmq x gestire le rotte via win devo avere 3 interfacce di rete oppure no? Ammetto che conosco bene fin a un certo punto e poi, non avendo mai messo mano di mio, ci metto un attimo a capire il funzionamento!

Mentre credo di aver capito il xkè tu mi parli di 5 router: xkè l'ufficio secondario non andrebbe in internet direttamente, ma bensi via vpn sfrutterebbe il router "dedicato" ad internet dell'ufficio (diciamo principale!), giusto? Ma, sempre che sia giusto come l'ho esposto, la vpn, sia essa "pincipale" o di backup, verrebbe gestita dal server, windows 2003, di trento e il pseudo-server di bolzano e attraverso la metrica si verificherebbe se una delle linee "cade" spostando il tutto sulla connessione di backup. Quindi in se i tunnel vpn sarebbereo creati entrambi subito e sfruttati a seconda delle necessità.

Altro consiglio, navigando, oltre alle soluzioni da migliaia di dollari ho trovato qc di+ umano che credo faccia al caso mio:

http://www.xincom.com/twr503.html

o sbaglio?

cmq resto in attesa di leggere quell'altra discussione e capire meglio il funzionamento di un simile sistema!!

grazie ancora!

[stepvr]

Se ti riferisci a me, ho sempre destato cisco per la via della programmazione, ma per certi lavori e' insuperabile e prezioso.

[acco.tn]

Quote:

Originariamente inviato da stepvr

Se ti riferisci a me, ho sempre destato cisco per la via della programmazione, ma per certi lavori e' insuperabile e prezioso.

a dire il vero mi riferivo a HMETAL

Pure io cmq condivido il tuo pensiero verso CISCO. sono delle bombe, ma o ti fai le certificazioni, e quindi i veri corsi, smanettando anke a livello pratico con IOS e i vari dispositivi oppure è abbastanza complesso metterci mano!
Ricordo il primo tentativo di smanettare con un rouoter 827, sta di fatto che l'ho incartato di brutto e x "sbloccarlo" ho dovuto spendere 300€! Da allora ci penso su 2 volte prima di fare modifiche ai cisco!!

[hmetal]

Quote:

Si, sarei proprio curioso di vedere cosa hai proposto all'altro utente col prob simile al mio!

http://www.hwupgrade.it/forum/showthread.php?t=1188693

azz mi sono accorto adesso che la discussione stava continuando e non gli ho piu risposto azz.....sorry! Comunque il risultato della route di backup ha funzionato con le statiche di win

Quote:

a dire il vero mi riferivo a HMETAL

ri

Cisco sono macchine complessse e vengono sfruttate al massimo sui grandi-grrandissime reti (diciamo dai 10000 hosts in su). Sono difficili da configurare ma hai una potenza di gestione che nessuno ha. Tra l'altro i Cisco hanno un tot di protocolli proprietari (tipo l'EIGRP) che sono sviluppati e funzionano solo sui cisco.

Quote:

xkè l'ufficio secondario non andrebbe in internet direttamente,

esatto.

Quote:

Quindi in se i tunnel vpn sarebbereo creati entrambi subito e sfruttati a seconda delle necessità.

esatto questo e tutto quello scritto sopra (se no facevo un quote megagalattico)

Quote:

o sbaglio?

Se usi un communication server vai tranquillo usi quello per fare la vpn. Ci sono dei programmi free che ti vanno vpn tipo

http://www.securepoint.cc/products_download_en.html

E avresti bisogno di 3 schede di rete sul comm server.

Secondo me puoi gestire tranquillamente la faccenda con un comm server ben configurato senza spendere miliardi per apparecchiature che poi non sfrutti. Per 3 utenti...

ciao

[acco.tn]

beh mi rincuora di aver capito bene quello che intendevi!

allora "l'aggeggio" di cui ti ho postato il link costa sui 350€ ivato, comprandone 2 sarei sui 700 circa. calcolando che a bolzano dovrei acquistare cmq un computer nuovo per gestire le comunicazioni vpn, file-server ecc andrei a spendere di +.

Adesso cmq vado a leggere come funziona il routing fatto via windows!

[stepvr]

Secondo me 4 router cisco sono sufficienti, ma dato che vi vedo ben avviati per altre soluzioni mi ritiro in buon ordine. Buona fortuna.

[hmetal]

boh io per 3 utenti non ci spenderei cosi tanto...

un vecchio osso lo trovi a pochi soldi...

tanto piu che con quell'affare non riesci a fare tutto.

ciao

[hmetal]

Quote:

tanto piu che con quell'affare non riesci a fare tutto.

azz ho detto una cavolata.

Non avevo letto che avesse 2 porte wan. sorry.

Con questo aggeggio dovresti riuscire a fare tutto senza eccessivo sbattimento.

poi dimmi se funziona

ciao