Привет, гуру 1С.
Подскажите, кто обслуживал такую систему.
Есть 4 филиала, удаленность ~10км друг от друга. Задача в следующем: объединить 4 локальных сети, будет организованно всё это дело через впн-канал с помощью АПКШ.
Так вот вопрос: какова ширина канала потребуется для стабильной работы? Точно будет документооборот, упп. Ориентироваться надо на 300-400 пользователей. Хотя удобнее знать, сколько требуется на одного пользователя. Желательно с ссылкой на оф. ресурсы 1С или чьи-нибудь замеры.
Заранее спасибо.

а АПКШ это такая железка для vpn с шифрованием?

Ага
http://www.securitycode.ru/products/apksh_kontinent/

и все 400 пользователей в одной УПП?

(3) Вряд ли все 400. Сказали ориентироваться на такую цифру.
Хотя реально в этом году не больше 100.

(4) И все по-сети работать будут? Без терминала?

(5) +

Есть VPN на 4 мегабита для работы из дома. УПП напрямую ну ооооооочень фигово, только через терминал

Около 100 пользователей. Терминальный режим, кассовые, сканеры штрихкодов. В 4 филиалах. На центральный узел 10 Мбит, на филиалы 5 Мбит. + еще несколько подключений от небольших удаленных подразделений(некритичных) через локальных интернет провайдеров. Мнет в подразделениях идет по локальным провайдерам. Сетевое оборудование "Микротик". Для кассовых важна задержка не более 20 мс. Каналы обеспечивает один из национальных мобильных операторов. Дорого, но простои стоят дороже.

ссылок нет, насколько помню 2 Мбит это самый минимум, от 20 Мбит более менее комфортно. но такое количество клиентов на сеть переводить - готовьтесь к серьезным нагрузкам на оборудование. у нас не так давно от терминалов отказались по лицензионным соображениям, сейчас каналы связи периодически перегружены. нагрузка скачкообразно выросла.

(0) 10 ставь

хотя если большинство будут на тонких или веб клиентах, может и норм.

Тонкий клиент можно напрямую цеплять к серверу приложений,для УПП лучше сделать проброс приложения через rdp/

В терминал всех гони. Надёжней будет

Здесь суть не в ширине канала, а дело в доступе к базе.
Я бы конечно посмотрел как будут работать 100users на одном терминале, здесь как минимум RDgate нужен(фермасерверов), а ширина катала и скорость интернета это уже второстепенное.
Из опыта, 10мб, вполне достаточно, для работы по VPN на терминальных серверах в количестве 50 юзеров

(12) rdp в открытый доступ через инет - самоубийцы.

(15) VPN у них

Дешевле будет отказаться от УПП или допилить его, чтобы только тонкими клинетами работали в филиалах. Толстыми пусть в центральном офисе работают.

(14) 24 ядра 64 Гб опративки -работают

(15) это еще почему?

(19) По опыту, ломают из спортивного интереса.

(14)до поры до времени все работает. На такое количество пользователей надо ферму поднимать, одной железкой не обойдешься

(21) ДЭнга дай.:) SQL и 1с сервер на другом аналогичном сервере. Ну, понятно, везде рэйдмассивы.

(20) Ломают - это как? Подбирают пароль по словарю типа 12345?

(0) 1С клиент какой?

(20) Интересно, как можно сломать, если все пароли соответствуют политике по умолчанию для вин-серверов? (8 символов минимум, буквы в разных регистрах с цифрами и т.д.)
Или речь о багах в протоколе RDP?

а потом эти пароли пишут в вордовский файлик и пересылают его коллегам с почтового ящика на майл ру с паролем 12345...
проходили и такое..

(25) Лег сетевой интерфейс 2003 MS сервера. Намертво. ИМХО ошибки в протоколе. Все остальное осталось нетронутым. Пришлось переустанавливать.

(27) На брэндмаэуре рдп порт открой только для избранных остальным закрой, не забыв его со стандартного 3389 на другой изменить. И пробуй поломать. А так то да, если открыт в свободном доступе лезут все кому не лень было бота-взломщика написать или скачать.

(26) Так через этот почтовик и ДТ-шник базы переслать могут )
(27) Так надо было Windows NT ставить, там точно никто дыр не помнит.

(25) 5 минут назад в другой теме рассказали как: чувак нашел по соцсетям сотрудников, нашел у некоторых телефоны, начал обзванивать, представившись саппортом и уже у 3-го выудил логин и пароль.

(28) Годится, если у Вас по политике, нет "удаленных мобильных сотрудников". У Нас есть, и часть из них "ходит" с провайдеров, которые не предоставляют фикс ИП. И как быть?

(31) Можно ограничить, открыв провайдерский пул ИП, а можно и отпаранойить с халявным http://www.noip.com, открыв доступ по именам.

(32) = Поднять VPN

(33) И это не помешает. Поможет, но до тех пор, пока сам на сервер, что-то "полезное" не поставишь. И никуда не денешься, от браузерных дыр, меня только СпайХантер4 спасает. Да и то, в виде чистки уже полученного.

А кто там терминал в открытый доступ выкладывает.
Ip в студию...

Керио + рдп уже не канают? Как можно на 1с по сети работать?

VPN без сертификатов на винде настроить минут 10
Ну если еще статью прочитать то минут 15

На текущий момент сломан протокол шифрования CHAP 1, но он и не используется, у всех стоит MS CHAP 2, хотя на каком-нибудь древнем железе может и 1-й еще быть.

Сломан VPN PPTP, вот с этим проблемы. Где-то читал что 2/3 VPN как раз используют PPTP. При этом уязвимость существует, только если будет перехват транзитных пакетов, например на уровне провайдера. Просто так не взломать.

Ставим L2TP, можно еще IPSec добавить

На счет открытого доступа по rdp - есть несколько уязвимостей.
По идее если они закрыты, включена политика ограничения подбора паролей, пароли сложные и меняются, настроен брандмауэр, то должно быть более менее безопасно )
Да, и еще нужно сменить имена стандартных учеток. Ибо, не зная имени учетки, и пароль не подобрать )

На Hetzner-е есть несколько wps-ок с виндой, в логах постоянно с Китая долбятся ) Пытаются подобрать пароли, сканируют порты и т.д.