VPN gateway

[oracle2000]

Sveiki,

 

 

Esošā situācija ir tāda, ka attālinātu lietotāju pieslēgšanai un darba nodrošināšanai tiek izmantots vecs CISCO vpn concentrator 3000 modelis, kuru vajadzētu nomainīt. Vai kāds varētu ieteiktu uz ko skatīties? Vienlaicīgo lietotāju skaits vaētu būt robežās 20~30, nav vajadzības pēc site-to-site VPN, bet tikai kā gateway.

 

Uz doto mirkli esmu testējis Fortigate 90D modeli, kas strādāja un pildīja vajadzīgās funkcijas, bet gribas arī papētīt citus ražotājus! Varbūt kās kaut ko var ieteikt?

 

Paldies,

Aigars

 

[Ronalds]

Takš mikrotiks piem šis http://router.lv/product/54/lv/RB750-KIT/ lieliski pildīs arī vpn gateway funkciju. 

[hero]

Es pieļauju, ka tu šobrīd izmanto arī IPSEC. Jāskatās protams konkrētā implementācija (un ja paveicas); Veco cisku var seemlessly nomainīt pret jauno dzelzi pat klientu pusē neko nemainot.

Cisco ASA pats mazākais 5505 (ar security+ licenci līdz 25 ipsec / ssl konekcijām ) vai 5510  (250 konekcijas)
Nekā pa vidu nav.
Un tad no VPNiem, ja izvēlies IPSEC - nekādas papildus izmaksas nav, vari lietot to pašu ciscy ez vpn ipsec klientu.
Ja izvēlies ssl any connect - tad vajag klāt ssl licences pirkt, jo defaultā tikai divas nāk.




Fortigate ir labs produkts (pamatā ir visas tieši tādas pašas firewall fīčas kā cisco), bet papildus viņam ir iespēja piepirkt UTM labumus.


Ja jautā man: tīri terminēt vpn lietotājus un izmantot kā vpn gateway, piekļūstot LANam - go cisco.
Ja gribi papildus kontrolēt "per user" politikas/utm politikas/endpoint protection ar forticlient - go fortinet. Cisco daļu no tā arī prot, bet Fortinet ir tāds vairāk "user friendly" tieši konfigurācijas ziņā.

Ja var pacelt cisco un nav kādas  papildus specifiskas prasības - es neredzu iemeslu rerollēt uz kaut ko citu.

 

 

PS: esi gatavs ka tūlīt saskries un nories par to kas tev tagad tur ir un liks sarkt, ka nelieto openvpn un mikrotikus 

 

 

 

EDIT:

Nu re, es taču teicu .

ronalds_ MT ir ok, tikai modeli jāņem resnāku - bez HW kriptēšanas RB750 nolieksies.

Labots Augusts 28, 2014 - hero

[oracle2000]

Ha, ha ... es jau to zināju par to riešanu.  Mikrotiks vienkārši netiek izskatīts, kā opcija! Jā, mums ir IPSec, bet pieļauju arī, ka varam pāriet uz SSL VPN.

 

Principā mums ir zvēru dārzs un katrā pasaules malā tiek izmantots savs dzelzis, kā arī Juniper SA-700 SSL , Cisco ISR 2821 u.t.t.. Esmu testējis Juniper SRX240 dynamic vpn, bet pēc ziņām , ka tiek pārdots Junos pulse un vēl licenzes ir dārgas ...neredzu jēgu tam.

 

Kādas ir aptuvenās cenas Cisco? Man jau nekas nav pretī Fortigate savas funkcijas viņš pildīja godam.

[Net]

Fortinet un Juniper.Šiem abiem būs laba kvalitāte un galvenais stabīla darbība.Mēģinātas ir abu ražotāju iekārtas un varu teikt, ka lieliski uztur konekcijas un ''negļuko''. No Juniper vari apskatīt šādu modelīti http://www.tera.lv/LV/datortehnika/tikla_produkti/ruteri_adapteri_bezvadu_ierices/juniper&good=9TER482875

Principā, cik ir bijusi darīšana ar šiem brendiem,nekādu problēmu:)

[Ronalds]

Nu 20 useri jau neko neizsaka - te jāskatās kādu vpn šifrēšanas ātrumu tas dzelzis spēj nodrošināt. Maziem mikrotik ap 10 mb/s spēj nodrošināt. 

Ja vajag ko niknāku, tad lētākais ir http://router.lv/product/210/lv/CCR1009-8G-1S-1Splus/

 

No http://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Hardware_encryption

 

Hardware encryption

Hardware encryption allows to do faster encryption process by using built-in encryption engine inside CPU. AES is the only algorithm that will be accelerated in hardware.

List of RouterBoards with enabled hardware support:

• RB1000
• RB1100AHx2
• All CloudCoureRouter series boards

For comparison RB1000 with enabled HW support can forward up to 550Mbps encrypted traffic. When HW support is disabled it can forward only 150Mbps encrypted traffic in AES-128 mode.

 

 

Ha, ha ... es jau to zināju par to riešanu.  Mikrotiks vienkārši netiek izskatīts, kā opcija!

 

Un nez kāpēc gan? Nez ar ko Fortinet un Juniper ir labāki par mikrotik? Ar to ka krietni dārgāki? 

Un par CISCO es labāk neizteikšos - pamatīgi overpaisoti dzelži - jāmaksā tikai par vārdu......  

[Net]

Ar ko labāks par Mikrotik? Mikrotik -am protams nav ne vainas,advencēts utt.,būvē pats kādas vien rulles vēlies, cena vispār pārējos reāli konkurē laukā. Droši vien pats softs ir iemesls...

[hero]

ieleja es redzu, ka tev sāp , bet teikšu to pašu ko kaut kad senāk - FG 20,40,60 (varbūt pat 80) - konstantiem memory leaki noveda pie conserve modes un nepieciešamības restartēt.

Divciparu Fortigeitus vispār vajadzētu aizliegt likt "enterprise"vidē, kur ir vairāk par 10 lietotājiem vienas problēmas.

Sakarīgie liekas, ka vienīgais 90D. Tad jau 100D ir :hell-yea: .

 

 

 

Kādas ir aptuvenās cenas Cisco?

 

 

 

pa minimumu.

jauns asa5505 ar 50 ipsec useriem - GPL $ 845.00 (US dollars)

Normāli pērkot - parasti vajag arī supportu (tas nāk +$ / gadā)

 

Ja pērk refubrished iekārtu - cena var būt pat 50% zemāka.

Ja  pērk caur partneriem, arī var dabūt lētāk.

 

Neesmu sales, par precīziem cipariem un trikiem kā samazināt cenu jārunā ar pārdevējiem.

 

 

 

 

edit:

publisku pricelistu ciskai nav, bet teiksim www.senetic.lv  cenas ir orientējoši pa kādām tās iekārtas var dabūt Cisco partneri.

Tas, kas tev vajadzīgs priekš 50 useru IPsec (ja neņem vērā pagaidām cik tu trafika caur to greizīsi)

1) http://www.senetic.lv/product/ASA5505-50-BUN-K9

2) + supports un  garantija

Labots Augusts 28, 2014 - hero

[Ronalds]

Mikrotiks - stabilitāte - nav gadījies novērot ka kaut kas uzkārtos citu iemeslu dēļ kā barošanas raustīšanās. Arī lētā gala dzelžos.

Fīčas - nu ir viss ko vien vajag - vismaz es neesmu saskāries ka man kaut kā trūktu.

Konfigurācija - ir viss gan cisco līdzīga komandrinda, gan ērts web interfeis, gan ļoti ērta konfigurācijas programma winbox.

Cena - jā neviens nepiedāvā labāku! (Hero minēja konkurentu cenas, http://router.lv/product/210/lv/CCR1009-8G-1S-1Splus/ - 310 eur ar nelimitētām konekcijām)

Un tas ir mūsu vietējais kantoris, vismaz savā laikā ražoja savas iekārtas Ogrē. Nezinu gan kā ir tagad, bet izstrāde LV notiekas.

[maize]

Ar MT CCRiem un 6.x softu pagaidām vairāk galvassāpju kā prieka.

[MIGs]

Nu nevajag arī paŗspīlēt - man mājā ir MT kuru gribas pret sienu mest. Ir bijis garantijās, šūti softi utt - tāpat regulāri jāpārstartē.

 

Citi identiski modeļi strādā vispār bez bēdu.

Neviens nav ideāls.

Bet savu žulti par Juniperiem es te jau vienreiz klāstīju.

[oracle2000]

Paldies par viedokļiem un informāciju.

 

Nav jau tik vienkārši, ka atbalstīsim vietējo un tik ņemsim MT. Risinājumam jāspēj atbalstīt Windows, OS X, kā arī mobilie klienti iPhone, Android.

Un kas ir ļoti būtiski tam jābūt maksimāli vienkāršam priekš gala lietotāja(bez kaut kāda nenormāla manuāļa, kā pareizi uzlikt VPN klientu)!

Nav mazsvarīgi arī tā dzelža menedzēšanas vieglums.

 

 

P.S. Problēmas ir visiem ražotājiem un tāpēc vienmēr "enterprise" līmenī supports ir obligāts.

[kazarma]

Es nezinu, man pret MT nav neviena slikta vārda ko pateikt ar noteikumu, ka ņem atteicīgo MT sēriju attiecīgām vajadzībām. Ja ņem priekš biroja MT pa 30 € un pēc tam bļauj cik viss ir slikti, tad man ir jautājums ko tu gaidīji?

 

Ņem šādu ar pietiekamu jaudu un 2x barokļiem. 

 

http://router.lv/product/147/lv/CCR1016-12G/

 

Visi plašāk izplatītie VPN tiek atbalstīti - kad pierodi konfigurācijas tā ir vienkārša, ir arī pieejams "Safe Mode", ja tevi atslēdz no rūtera, kad veic kaut kādas izmaiņas, tad visi iestatījumi atlec atpakaļ utt.

IPSec darbojas gan ar Cisco iekārtām gan ar CheckPoint iekārtām ar citiem ražotājiem gan jau arī.

 

Man personīgi ir tā, ja tas ir nopietns bizness, kuram SLA ir 99%+ uptime gadā, tad ņemu cisco.

 

Visos citos gadījumos ņemu MT. Ņemu uzreiz 2x vienādus (tā pat sanāk lētāk kā cisco), ir backups, kuru elementāri pārnest uz otru iekārtu, ja tā noklājas. Klients ir apmācīts kā pārspraust vadus (rackā viens virs otra abi ir ieskrūvēti) jebkurš pat blondīne pārsprauž 1 pret 1 vadus uz zemāko backup iekārtu un viss ir atjaunots.

Pa visiem gadiem ~5 kopš lietoju MT šo procedūru reāli ir nācies izmantot precīzi 1 reizi atskaitot testu un demonstrāciju.....

 

Tiesa jāatdzīst, ka nelietoju MT zema līmeņa konfigam, kur parādās daudz dažādas nianses, BET nevienam uzņēmumam pat tādiem, kur ir 200+ PC vēl nav nācies sastapt problēmu, ko nav bijis  iespējams atrisināt at MT iekārtu....

 

Pie tam router.lv MT sniedz normālu supportu par 40 € stundā, ja nu galīgi netiec ar kaut ko galā....

 

P.S. Es tikai lietoju viņu produkciju un neesmu nekādā veidā ieinteresēts kādu pārliecināt, tikai izsaku savu pieredzi par šī ražotāja iekārtām.

Labots Augusts 29, 2014 - kazarma

[MIGs]

Kazarma - es uzklepoju uz MT lai nebūtu tas, ka visi tik dzied slavas dziesmas.

Gļukaini dzelži gadās visiem, gļukaini softi IR visiem.

Tas pats Cisco arī nav bez vainas.

 

Jā tehniski uz Mikrotik var panākt principā visu ko vajag.

It sevišķi ja runa ir par fīčām, nevis auditoru izdomājumiem kā tam būtu jābūt. Pats vienmēr esmu varējis uzkonfigurēt to ko man vajag.

 

Ps. ja cilvēks nemāk uzkonfigurēt MT, tad gar Cisco un Juniperu lai nemaz negrābstās.

[Pirkss]

Nezinu, kāpēc tik slimi jāfano par "vietējo ražotāju", kuram vietējais tirgus ir prioritāšu pēdējā vietā un kurš to pietiekami skaidri ir nodefinējis, ka viņu galvenais tirgus ir ārpus Latvijas.

[meeris]

Ņem šādu ar pietiekamu jaudu un 2x barokļiem. http://router.lv/pro...lv/CCR1016-12G/

slinkums lasīt, bet vai šādas iekārtas var arī failover klasterī saslēgt? Pēc tava posta/konfigurācijas noprotu ka nevar.

edit.

skatos ka ir kautkāds vrrp atbalsts, palasīšos pats.

Labots Augusts 29, 2014 - meeris

[kazarma]

@meeris

 

Es vienreiz biju uzlicis standarta skriptu, ka abas MT iekārtas pēta viena otru.

Ja gadījumā MT iekārta A neatsaucas, tad MT iekārta B praktiski paliek par GW.

 

Šis tika veikts 5 gadus atpakaļ ar skriptiem strādāt strādāja, bet cik labi nezinu, nebija ilglaicīga testa.

 

Pats mani ieinteresēji ar vrrp