Для организации vpn между офисом (1 штук) и удаленными отделами (6 штук) требуется недорогой 2-3 т.р. роутер с возможностью подключения 4G-LTE модемов и установки OpenVPN (ну или всепроникающего аналога типа QuickTun).
WAN (с PPPoE) и 4 LAN также нужны.

Посоветуйте подходящие модельки.
Т.е. хочется стандартизировать оборудование и его настройки, если что просто меняем железку на запасную (с минимумом настроек).

Понятно что нужен роутер с установкой альтернативной прошивки (OpenWRT, DD-WRT и т.д.)

на каком-нибудь отдамдаром комп уровня пентиум-3 с 256 памяти и юсб. ну и 4ж свисток

(1) А вдруг офис крохотный?

http://market.yandex.ru/model.xml?modelid=10493161&hid=723087&clid=698

(1) не никак, нужен именно роутер компактный
(2) +1

дык в отделах-магазинах-салонах-бутиках все занято везде дизайнерский ремонт и места просто нет нигде, только под кассой за моник на стенку

(3) инфа по установке openvpn? а так думал про такие с 4G-LTE пашут ок

Любой современный бюджетный роутер на который встанет DD-WRT и будет USB

(6) список? протестированных? с flash чтобы место для openvpn хватило (без возни с внешней усб флешкой)

т.е. открыть список поддерживаемых dd-wrt или openwrt и сравнить с прайсом магазина могу и сам, но это не совсем то будет

а брать модельку на 2 недели на тесты чтобы потом вернуть - время жалко

(7)+ просто вдруг кто уже решал подобную задачу на роутерах

http://www.eurodk.ru/ru/products/routers/routerboard-750up

(9) + 1
имею доступ в инет через Йоту - на 8-метровой мачте стоит антенна LTE MIMO  http://bester-ltd.ru/product/sistema_bdm_lte_mimo/
в боксе при антенне RouterBoard 750UP с пристыкованным модемом Йоты. Скорость 10 Мбит

(9)(10) не катит - с учетом цены дополнительно адаптера (блока питания) вылезаем далеко за 3 т.р.

(11) блок питания = 150 руб, щас может 250

(12) 3200 минимум нашел сам роутер (походу еще старые цены) и не раскрыта тема работы с usb модемами, какие модели понимает

+ сложность приобретения, нужно что то из "бытовых" в смысле продающихся почти везде

Сделал на зухел кинетик гига, работало в агрессивных условиях 1,5 года, потом ВНЕЗАПНО перестали с вай-фая ТСД через опенвпн проходить. Ноут через вай-фай и опенвпн проходит, офис и принтеры живут, а с ТСД - ну никак, сниффер показывает, что rdp пакеты после определенной фазы обмена на старте вдруг рассогласуются и рвут соединение. Шайтан какой-то. Сейчас ТСД ходят бех опенвпн, а остальное через опенвпн. 2 года полет.

Дешевле уже неуда
http://market.yandex.ru/model.xml?modelid=8430887&hid=723087

(14) метода установки OpenVPN? прошивка родная?

(14) Такое бывает, когда несколько юзеров с одной учеткой пытаются на сервер впн ломится, а на сервер запрещено одновременно несколько соединений с одной учетной.

(15) huawei hilink модемы пашут?

(18) + как openvpn сервер/клиент на нем настроить?

(16) Метода установки согласно инструкции на неофициальном форуме (там мордер продвинутый что-то заделывает для линукс инсайд).
(17) у меня на каждый ТСД разные учетки, сервант перегружал, сломалось в один прекрасный миг, обновлений не приходило и журнал установок пуст.

ок спс за модельки (14) и (15), кинетик тока extra есть в наличии, тп-линк возьму поюзать

(10)Роутерборды хорошие штуки, но опенвпн у них не лучшим образом реализован.

(5) есть в нете, без перепрошивки, но настраиваться надо

(23) оппа обманули меня насчет "без перепрошивки"

все нынешние кинетики идут с прошей V2 а все "есть в нете" инструкции для проши V1

т.е. сначала перепрошивка-откат на V1 и только потом ставим opkg и openvpn

ЗЫ
но будут ли работать новые модемы 4G-LTE на V1 ?

Mikrotik RB751G-2HnD: http://www.wmd.ru/products/rb751g-2hnd.html

Статья про 4G на нём: http://микротик.рф/document/statii/mikrotik_i_4g/

(0)
http://dlink.ru/ru/products/5/1854_b.html

(10) А антенна к чему цепляется? К USB модему?

Подскажите как пробросить трафик пришедший на роутер по vpn(l2tp) во внутреннюю сеть (HOME)?

Не просто проброс конкретного порта на внутренний ip, а чтобы пакеты (адресованные) во внутреннюю сеть проходили из vpn сети...

(28)+ схема https://cloud.mail.ru/public/d2f0586093a1/Сеть%20VPN.png

проблема попасть из "комп офиса" на "комп отдела 1"

из сети отдела доступ в сеть офиса уже работает, т.е. с "комп отдела 1" пингуется "комп офиса" и прочие компы сети

(29) роутер отдела Zyxel Keenetic 4G II с родной прошивкой (настроен на нем L2TP клиент и маршрутизация в сеть офиса)

(29) Это делается через инструмент фаервола - netmap.
У меня так объединены 3 филлиала и центр. Я имею прямой доступ на любой ПК.
Допустим в филиале №1 внутренний ip компа 192.168.0.20
В филиале №2 тоже внутренний ip компа 192.168.0.20
От себя я их буду видеть как №1 10.10.1.20 и №2 10.10.2.20. И друг друга они тоже так же будут видеть (если разрешено конечно).

+ Тебе просто нужно указать на роутере офиса маршруты правильно.
Добавить маршрут 192.168.2.0/255.255.255.0 на 192.168.1.167

(31) да догадался хоть и с трудом что нужно файервол на зукселе настроить этом, по умолчанию он маршрутизацию блочит, но если сделать правила разрешать то начинает перекидывать пакеты с vpn во внутреннюю сеть (а не только из внутренней в vpn)

(32) ага и тоже файервол на роутере офиса настроить на "разрешать" иначе эта зараза внутри home пакеты не перенаправляет на vpn сервер, если только маршрут добавлен

(33)+ походу внутри у них конкретный iptables стоит ))

(33) У тебя и без netmap заработает, т.к. у тебя подсети разные. Просто нужно один маршрут прописать. Т.к. у тебя комп офиса отправляет пакеты на роутер, а роутер не знает где у него сеть 192.168.2.0/255.255.255.0
В филиале не надо ничего прописывать, т.к. там впн и роутер на одном устройстве, оно знает где сеть 192.168.1.0/255.255.255.0

(35) не нифига оно не знает, в филиалах тоже надо маршруты прописывать т.к. vpn-сеть свои ip имеет отличные от адресов сети офиса

ЗЫ сча другая проблема, модемы huawei в hilink режиме юзаю в филиалах и у них жестко зашит ip 192.168.1.1 (cdc-ether на роутере) - пересекается с сетью офиса (тестил то на другом старом 3g модеме и не не обнаружил траблу)

Каким то образом можно сделать частичную маршрутизацию?
Т.е. чтобы в филиалах (на роутерах) на 192.168.1.1 был модем, а если другие адреса из этой же подсетки (192.168.1.2-254) то уходил в l2tp-vpn соединение (на шлюз vpn) а не пытался через модем достучаться

(36) Думаю, тебе проще офис переделать на 192.168.0.1, например, и настроить банальную маршрутизацию. У тебя же в филиале не только роутер стоит, но и другие устройства, не так ли? Возникнет конфликт.

(36) Вдогонку. Либо делай адресацию на филиалах 192.168.1.10-19 - 1 филиал, 192.168.1.20-29 - 2 филиал, и т.д., а офису выдели диапазон 192.168.1.101-254, DHCP в офисе настрой на этот диапазон, а на  филиальных роутерах DHCP придётся отключить и все адреса на них прописывать ручками.

(36) Кстати, в (37) я не прав был, так работать не будет.

(37) чтобы переделать офис (и одну из касс заодно) на 192.168.0.X придется вызывать из банка товарищей чтобы эквайринговые терминалы перепрошили

ну или для этих терминалов мутить отдельную сеть