Подключение удаленных филиалов

[vovannovig]

Добрый день.
Есть желание реализовать следующую схему:
Центральный офис(WinServer AD + Zenoss + ...) и подключение районов с Zentyal на котором подняты службы проски, сети и пользователей.

Предполагается следующая работа:
-в центральном офисе все изменения вносятся в WinServer AD
-в районах Zentyal синхронизируется и позволяет или не позволяет выходить в интернет и автоматизировать рабочие места.
-реализовать общее хранилище в центральном офисе логов прокси-сервера и других служб Zentyal
-мониторить работу всего оборудования с помощью Zenoss

-VPN планируется или на отдельной железяке или поднять OpenVPN Client
-Прокси сервер должен быть прозрачным, реализовываться запреты(было бы очень удобно не только логи пересылать в центр но и настройки блокировки)


Собственно вопросы:
1)Если ли у кого-то опыт реализации данной схемы на zentyal community?
2)Корректно ли работает и как настроить синхронизацию схемы AD, а наверное лучше будет разбить на сайты и синхронизировать сайтами
3)Как реализовать пересылку логов в центральной офис и чем их лучше принимать и анализировать(подойдут статьи по теме, размышления и рекомендации)

Вот пока набирал, подумал что при такой постановке задачи будет более корректно настроить один дистрибутив в центе, а в филиалах импорт конфигурации с него ... но боюсь будут грабли с недоступностью,...

Или может не zentyal ... ( из всех его возможностей требуется лишь корректная работа сети, пользовательских служб и прозрачного прокси с реализацией централизованого конфигурирования и логирования что в общемто заложено в платную версию...)

В общем предлагаю начать полемику 

[corwin-mg]

Сам принцип я реализовывал такой на Zentyal 2.2. Думаю на 3 тоже будет работать нормально. В качестве платформы аппаратной использовалась виртуальная среда VMWare ESXi 5.0 (3.5,4.0.4.1). Тут три пути: либо на каждом сервере создать сервера OpenVPN для каждой всех филиалов, кто будет подключаться, либо ходить через какой-то централизованный концентратор, либо исходить от обстановки и использовать по возможности адреса, которые доступны. При реализации виртуальных машинок на ESXi, возникали проблемы, когда устанавливались "тулзы", то есть драйверы...тогда начинались проблемы. После удаления "тулзов" проблемы исчезали, которые касаются пропуска трафика непосредственно по OpenVPN.

Я сначала использовал концентратор с выделенным внешним адресом, так как все клиенты были за NAT. Они цеплялись к этому концентратору и через него сеть работала. Потом появились внешние адреса у всех и теперь кто как подключается зависит от того, кто админ или кому куда нужен доступ. В настоящее время в такой сети находится 9 филиалов. Сеть используется для администрирования, ну и там перекинуть чё-нить иногда или 1Сникам даём клиентиков, они там с базами копаются. Ну вот и всё, что касается самой "физики" сети.

Хранить централизованно учётные записи и выпускать в Интернет из одной точки мы не решаемся...так как у нас вся сеть построена поверх сети Интернет и делать такое смысла нет. Хотя иногда мысль возникает такая, но после каких-нибудь сбоев у провайдеров сразу быстро отпадывает : )

В общем, если инфа о нашем опыте поможет чем-нибудь, буду рад : )

[vovannovig]

Сам принцип я реализовывал такой на Zentyal 2.2. Думаю на 3 тоже будет работать нормально. В качестве платформы аппаратной использовалась виртуальная среда VMWare ESXi 5.0 (3.5,4.0.4.1). Тут три пути: либо на каждом сервере создать сервера OpenVPN для каждой всех филиалов, кто будет подключаться, либо ходить через какой-то централизованный концентратор, либо исходить от обстановки и использовать по возможности адреса, которые доступны. При реализации виртуальных машинок на ESXi, возникали проблемы, когда устанавливались "тулзы", то есть драйверы...тогда начинались проблемы. После удаления "тулзов" проблемы исчезали, которые касаются пропуска трафика непосредственно по OpenVPN.

Я сначала использовал концентратор с выделенным внешним адресом, так как все клиенты были за NAT. Они цеплялись к этому концентратору и через него сеть работала. Потом появились внешние адреса у всех и теперь кто как подключается зависит от того, кто админ или кому куда нужен доступ. В настоящее время в такой сети находится 9 филиалов. Сеть используется для администрирования, ну и там перекинуть чё-нить иногда или 1Сникам даём клиентиков, они там с базами копаются. Ну вот и всё, что касается самой "физики" сети.

Хранить централизованно учётные записи и выпускать в Интернет из одной точки мы не решаемся...так как у нас вся сеть построена поверх сети Интернет и делать такое смысла нет. Хотя иногда мысль возникает такая, но после каких-нибудь сбоев у провайдеров сразу быстро отпадывает : )

В общем, если инфа о нашем опыте поможет чем-нибудь, буду рад : )

Спасибо, но связывать через OpenVPN пробовали, и знаю, как работает давно. Есть вои грабли и в частности отсутствие тегированного vLan и вопрос приоритизации трафика,...

Вопрос больше относительно общей консоли, лог анализатора, общей реализации LDAP каталога... а бесплатной версии

Требуется реально работающий сервер каталогов и централизацией, работой по всем филиалам с минимальным кол. граблей))) а прокинуть VPN это уже не задача, это следствие;)

[corwin-mg]

А сеть у тебя поверх Интернет или выделенные каналы?

[vovannovig]

На сегоднешний день у всех простой интернет по ADSL - что накладывает свои ограничения в виду ассиметричности и не надежности...

Если бы были канал все упроситилось, только сделать маршрутизацию и корневой прокси сервер с NTLM аутентификацией,...  но пока что так...