|
VPN. Ширина канала для стабильной работы 1C. | ☑ | ||
---|---|---|---|---|
0
Ockoprav
20.05.16
✎
09:29
|
Привет, гуру 1С.
Подскажите, кто обслуживал такую систему. Есть 4 филиала, удаленность ~10км друг от друга. Задача в следующем: объединить 4 локальных сети, будет организованно всё это дело через впн-канал с помощью АПКШ. Так вот вопрос: какова ширина канала потребуется для стабильной работы? Точно будет документооборот, упп. Ориентироваться надо на 300-400 пользователей. Хотя удобнее знать, сколько требуется на одного пользователя. Желательно с ссылкой на оф. ресурсы 1С или чьи-нибудь замеры. Заранее спасибо. |
|||
1
golem14
20.05.16
✎
09:34
|
а АПКШ это такая железка для vpn с шифрованием?
|
|||
2
Ockoprav
20.05.16
✎
09:36
|
||||
3
golem14
20.05.16
✎
09:37
|
и все 400 пользователей в одной УПП?
|
|||
4
Ockoprav
20.05.16
✎
09:39
|
(3) Вряд ли все 400. Сказали ориентироваться на такую цифру.
Хотя реально в этом году не больше 100. |
|||
5
Иду
20.05.16
✎
09:41
|
(4) И все по-сети работать будут? Без терминала?
|
|||
6
golem14
20.05.16
✎
09:43
|
(5) +
|
|||
7
cdiamond
20.05.16
✎
10:00
|
Есть VPN на 4 мегабита для работы из дома. УПП напрямую ну ооооооочень фигово, только через терминал
|
|||
8
gorakh
20.05.16
✎
10:04
|
Около 100 пользователей. Терминальный режим, кассовые, сканеры штрихкодов. В 4 филиалах. На центральный узел 10 Мбит, на филиалы 5 Мбит. + еще несколько подключений от небольших удаленных подразделений(некритичных) через локальных интернет провайдеров. Мнет в подразделениях идет по локальным провайдерам. Сетевое оборудование "Микротик". Для кассовых важна задержка не более 20 мс. Каналы обеспечивает один из национальных мобильных операторов. Дорого, но простои стоят дороже.
|
|||
9
Bigbro
20.05.16
✎
10:04
|
ссылок нет, насколько помню 2 Мбит это самый минимум, от 20 Мбит более менее комфортно. но такое количество клиентов на сеть переводить - готовьтесь к серьезным нагрузкам на оборудование. у нас не так давно от терминалов отказались по лицензионным соображениям, сейчас каналы связи периодически перегружены. нагрузка скачкообразно выросла.
|
|||
10
Ranger_83
20.05.16
✎
10:05
|
(0) 10 ставь
|
|||
11
Bigbro
20.05.16
✎
10:06
|
хотя если большинство будут на тонких или веб клиентах, может и норм.
|
|||
12
Ranger_83
20.05.16
✎
10:06
|
Тонкий клиент можно напрямую цеплять к серверу приложений,для УПП лучше сделать проброс приложения через rdp/
|
|||
13
ДенисЧ
20.05.16
✎
10:07
|
В терминал всех гони. Надёжней будет
|
|||
14
antistaks
20.05.16
✎
10:07
|
Здесь суть не в ширине канала, а дело в доступе к базе.
Я бы конечно посмотрел как будут работать 100users на одном терминале, здесь как минимум RDgate нужен(фермасерверов), а ширина катала и скорость интернета это уже второстепенное. Из опыта, 10мб, вполне достаточно, для работы по VPN на терминальных серверах в количестве 50 юзеров |
|||
15
gorakh
20.05.16
✎
10:08
|
(12) rdp в открытый доступ через инет - самоубийцы.
|
|||
16
Ranger_83
20.05.16
✎
10:09
|
(15) VPN у них
|
|||
17
cdiamond
20.05.16
✎
10:09
|
Дешевле будет отказаться от УПП или допилить его, чтобы только тонкими клинетами работали в филиалах. Толстыми пусть в центральном офисе работают.
|
|||
18
gorakh
20.05.16
✎
10:10
|
(14) 24 ядра 64 Гб опративки -работают
|
|||
19
kofeinik
20.05.16
✎
10:11
|
(15) это еще почему?
|
|||
20
gorakh
20.05.16
✎
10:12
|
(19) По опыту, ломают из спортивного интереса.
|
|||
21
antistaks
20.05.16
✎
10:13
|
(14)до поры до времени все работает. На такое количество пользователей надо ферму поднимать, одной железкой не обойдешься
|
|||
22
gorakh
20.05.16
✎
10:17
|
(21) ДЭнга дай.:) SQL и 1с сервер на другом аналогичном сервере. Ну, понятно, везде рэйдмассивы.
|
|||
23
kofeinik
20.05.16
✎
10:19
|
(20) Ломают - это как? Подбирают пароль по словарю типа 12345?
|
|||
24
13_Mult
20.05.16
✎
10:29
|
(0) 1С клиент какой?
|
|||
25
MM
20.05.16
✎
10:29
|
(20) Интересно, как можно сломать, если все пароли соответствуют политике по умолчанию для вин-серверов? (8 символов минимум, буквы в разных регистрах с цифрами и т.д.)
Или речь о багах в протоколе RDP? |
|||
26
Bigbro
20.05.16
✎
10:35
|
а потом эти пароли пишут в вордовский файлик и пересылают его коллегам с почтового ящика на майл ру с паролем 12345...
проходили и такое.. |
|||
27
gorakh
20.05.16
✎
10:41
|
(25) Лег сетевой интерфейс 2003 MS сервера. Намертво. ИМХО ошибки в протоколе. Все остальное осталось нетронутым. Пришлось переустанавливать.
|
|||
28
Иду
20.05.16
✎
10:52
|
(27) На брэндмаэуре рдп порт открой только для избранных остальным закрой, не забыв его со стандартного 3389 на другой изменить. И пробуй поломать. А так то да, если открыт в свободном доступе лезут все кому не лень было бота-взломщика написать или скачать.
|
|||
29
MM
20.05.16
✎
10:53
|
(26) Так через этот почтовик и ДТ-шник базы переслать могут )
(27) Так надо было Windows NT ставить, там точно никто дыр не помнит. |
|||
30
cdiamond
20.05.16
✎
10:55
|
(25) 5 минут назад в другой теме рассказали как: чувак нашел по соцсетям сотрудников, нашел у некоторых телефоны, начал обзванивать, представившись саппортом и уже у 3-го выудил логин и пароль.
|
|||
31
gorakh
20.05.16
✎
11:05
|
(28) Годится, если у Вас по политике, нет "удаленных мобильных сотрудников". У Нас есть, и часть из них "ходит" с провайдеров, которые не предоставляют фикс ИП. И как быть?
|
|||
32
Иду
20.05.16
✎
11:12
|
(31) Можно ограничить, открыв провайдерский пул ИП, а можно и отпаранойить с халявным http://www.noip.com, открыв доступ по именам.
|
|||
33
gorakh
20.05.16
✎
11:19
|
(32) = Поднять VPN
|
|||
34
Иду
20.05.16
✎
11:23
|
(33) И это не помешает. Поможет, но до тех пор, пока сам на сервер, что-то "полезное" не поставишь. И никуда не денешься, от браузерных дыр, меня только СпайХантер4 спасает. Да и то, в виде чистки уже полученного.
|
|||
35
antistaks
20.05.16
✎
11:45
|
А кто там терминал в открытый доступ выкладывает.
Ip в студию... |
|||
36
DomovoiVShoke
20.05.16
✎
12:03
|
Керио + рдп уже не канают? Как можно на 1с по сети работать?
|
|||
37
Mihenius
20.05.16
✎
13:16
|
VPN без сертификатов на винде настроить минут 10
Ну если еще статью прочитать то минут 15 На текущий момент сломан протокол шифрования CHAP 1, но он и не используется, у всех стоит MS CHAP 2, хотя на каком-нибудь древнем железе может и 1-й еще быть. Сломан VPN PPTP, вот с этим проблемы. Где-то читал что 2/3 VPN как раз используют PPTP. При этом уязвимость существует, только если будет перехват транзитных пакетов, например на уровне провайдера. Просто так не взломать. Ставим L2TP, можно еще IPSec добавить На счет открытого доступа по rdp - есть несколько уязвимостей. По идее если они закрыты, включена политика ограничения подбора паролей, пароли сложные и меняются, настроен брандмауэр, то должно быть более менее безопасно ) Да, и еще нужно сменить имена стандартных учеток. Ибо, не зная имени учетки, и пароль не подобрать ) На Hetzner-е есть несколько wps-ок с виндой, в логах постоянно с Китая долбятся ) Пытаются подобрать пароли, сканируют порты и т.д. |
Форум | Правила | Описание | Объявления | Секции | Поиск | Книга знаний | Вики-миста |