két telephely 60 felhasználóval távmunkára is

Sziasztok!

 

Összeraktam egy infrastruktúra frissítési tervet, kíváncsi vagyok mit szóltok hozzá, esetleg mivel lehetne javítani rajt.
Két telephely van 70-30% munkaállomás megoszlással, jelenleg SOHO eszközökből megoldva, internet szimmetrikus 250Mb.

Amit szeretnék hogy az új rendszer tudna:

-távmunka lehetőség vpn-nel összes felhasználóra
-központi fájlmegosztás telephelyenként külön NAS-sal
-később legyen rá tartalék: belső levelező létrehozására, intranetes weboldal, csoportmunka
-egyszerűen konfigurálható hálózat, központi menedzsmenttel, vendég Wi-Fi-vel

 

Telephely 1:
-Synology DS920+ 2db x4TB Seagate IronWolf 3.5 4TB 5900rpm 64MB SATA3 (ST4000VN008)
-4TB külső hdd mentésre
-Ubiquiti UDM-PRO Router
-Ubiquiti UniFi UAP-AC-LITE 2db

Telephely 2:
-Synology DS220+ 2x4TB Seagate IronWolf 3.5 4TB 5900rpm 64MB SATA3 (ST4000VN008)
-4TB külső hdd mentésre
-Ubiquiti UniFi USG Router
-Ubiquiti UniFi UAP-AC-LITE

Két telephelyet VPN-nel összekötném, két NAS mindenkinek fel lenne csatolva, akinek szüksége van rá. Biztonsági mentésnek a NAS-ok egymásra mentenének a beépített mentő programjukkal éjszaka.

Központi azonosításnak  egy LDAP szervert állítanék be. Doaminen gondolkozom, de inkább nem, mint igen, mivel azt is a NAS-ok látnák el. Win10-ek frissülnek maguktól.

A tűzfalon gondolkodtam elég sokat, hogy mi legyen MikroTik-eket néztem még, de az egyszerűbb kezelés, és az UISP miatt végül a fenti összeállítás mellett tettem le a voksomat. EdgeMAX routereken is gondolkodtam, de illetve az USG-Pron, de végül jövőtállóbnak láttam az UDM-PRO-t. https://evanmccann.net/blog/ubiquiti/unifi-comparison-charts
openSense-et néztem még, de drága hozzá a rendes HW.

Synology mellett gondolkodtam még QNAP-on is, azzal kevés tapasztalatom van, de nem zárkózom el tőle, ha hasonló kategóriában erre a feladatra jobbat kapok.

Kérdések összefoglalva:
-NAS-sal még nem használtam domaint, van értelme ebben a környezetben? (Feleslegesen nem akarom a felhasználókat nagyon korlátozni, illetve otthoni bejelentkezést sem szeretném megnehezíteni)
-Legyen-e titkosítva a NAS-on az adatok, teljesítményt mennyire fogja vissza? Lehet miatta extra komplikáció ami esetleg másnál előjött és nem számított rá?
-Tűzfal mellett használnám az UI IPS megoldását, milyen tapasztalataitok vannak vele?
-Két telephelyre a routereket picit overkillnek érzem, elég lenne sima USG?
 

Megköszönök minden építő jellegű kritikát észrevételt.

Hozzászólások

Az irány jó, de szerintem a domain és az erős vírusvédelem (malware) a klienseken nem úszható meg. A lentiek még fontosak lehetnek?

- Milyen nagyságrendű felhasználó lenne a két helyen?

- Aki belép a VPN-re az saját eszközről megteheti-e vagy csak a céges gépről?

- A csoportmunka és társait már most ki kéne találni, mert erre egy NAS egyáltalán nem biztos, hogy megfelelő lesz.

Diszkekből én a pro verzióra szavaznék, ekkora léptéknél ne legyen probléma a minimális extra költség. Amire még kéne figyelni, hogy valamilyen külső, és egyben inkrementális mentésre költeni. A Win szerver költsége szintén nem lehet probléma, vagy ha az, akkor a dolgozók bérköltsége miből jön ki majd?

-klienseken van, továbbra is lesz végpont védelem, központi menedzsmentet még tervezek hozzá
-40/20 felhasználó kb
-csak saját laptopra lenne telepítve a VPN, azon még nem gondolkoztam hogy eszközhöz hogy lehetne kötni, UDM-en vagy NAS-on lenne érdemesebb használni a VPN szervert?
-SynologyOffice-t használnánk a közös munkára a indokolt esetekben, de alapvetően MSOffice lenne az elsődleges szerkesztő, mellette a SynologyChat, Synology Contacts, (jelenleg mindenki a saját dokumentumait szerkeszti, szeretném előrelendíteni a dolgokat) Milyen megoldást javasolnál?
-Éves fejlesztési célok vannak, Windows Szerverre egy év múlva sor kerülhet, de csak a licence költségben számítok ekkora beruházásra, mint a teljes mostani fejlesztés, mire használnád a Windows szervert? Biztonság szintjén a vírusirtó kezeli a frissítéseket is központilag. Frissítések megosztása, ütemezése is jól megy a Win10-nek.
Számomra a progik központi frissítésére lenne érdemes használnom, de arra ez lehet egyszerűbb és olcsóbb megoldás: https://ninite.com/pro
-Pro HDD jó ötlet, köszi

Az a baj, hogy egy év múlva már jóval több felhasználód lesz, hiszen majd nem bírnak magukkal és növekszik a cég. Akkor egy domain bevezetés vagy bármi sokszorosa probléma lesz, mint eleve úgy nekiindulni. A Winszerver eleve nem winszerverként, hanem virtualizációs platformként üzemel már manapság. Eleve 2 VM-et tudsz egy standard licenszen futtatni, az egyik AD lesz (jó oké, abból azért kéne kettő, szal kéne mégegy szerver), a másik fileszerver vagy bármi, például valamilyen csodálatos szoftver, amit megvesznek majd a fejed felett. A Win domain már csak a group policy miatt sem lenne utolsó, pláne 60 emberre. Ha meg mondjuk a fileszervert winre tennéd és virtuálisan, akkor egy Veeam backup az csodákra képes a visszaállításkor.

A két (vagy ha jól értem három) Syno önmagában 600e körüli, és még nincs bennük diszk, egy win szerver nem ilyen extrém sztori azért licenszben.

Arról beszélünk, hogy van 60 ember, akiknek a bérköltsége jövöre minimum 15 millió forint lesz havonta. Ha alkami munkavállaló, meg 4 órás, meg a jóég tudja mi, akkor sem lesz sokkal kevesebb, hogy ne álljanak a gépek üresjáratban. Ne legyél abban partner, hogy egy ilyen anyagi ráfordítás esetén mindent is kispóroljanak, amivel utána te fogsz szívni, és te fogod kapni az ívet, hogy "dehát most az átállás az miért ilyen", vagy bármi hasonló. Még egy 5-6-7 millió forintos IT beruházás is kutyafüle a 6 havi bérhez képest, és akkor nem beszéltünk a könyvelésről, bérszámfejtésről, banki költségekről, esetleg véletlenül lesz majd 1-2 céges autó, mert arra van pénz... Az a baj, hogy céges autó nélkül, meg 5-tel kevesebb juzerrel vígan el fog a cég működni, de normális IT háttér nélkül minimum problémás lesz, és ha esetleg 1-2-3 napra megáll, akkor főleg lesz tajtékzás. Igen, esetleg, mert ez egészen az első nagy pofonig a "miért kerül ennyibe, dehát eddig is működött" mondatokat fogja generálni, esetleg a mindezt vmi erősen luxusautó volánja mögül.

Nem ismerem az Ubiquiti routereket, de két különböző típusban ebben sem és a NAS-oknál sem gondolkoznék. 
Annyira kicsi a projekt, hogy nem éri meg a homogenitást feladni pár ezer Ft-ért. 

Ha egyforma mindenütt minden akkor későbbiekben egy hibakeresést is megkönnyíthetsz magadnak. Pl. táp hiba esetén le tudod tesztelni a másik tápjával, vagy HW-t tudsz tesztelni stb...
Ha pedig garanciás javításon lesz valami akkor úgyis azonnal kell másik amit használtok, így ami visszaérkezik 1-2 hónap múlva, az polcra kerül tartaléknak.

Nem azért kell venni egyik vagy másik terméket, mert olcsóbb vagy drágább. Hanem azért kell egy adott típus, mert az kell műszakilag. Az árat utána nézzük meg.
Tipikus rossz választás, hogy fő telephelyen legyen már a drágább, később kiderül hogy ott csak szántanak meg vetnek egész nap a facebookon, a másik meg kiszolgálja a fél világot.
NAS, Router, AP, minden eszköznél meg kell vizsgálni tudja-e majd amire neked kell. Pl. az hogy VPN-el összekötni a két telephelyet, milyen VPN kapcsolattal az első kérdés. A következő, hogy ezt hogy bírja a router, hogy lehet beállítani a dolgokat rajta.

Szerkesztve: 2021. 11. 27., szo – 20:54

Pár gondolat:

- ha két telephelyed van, akkor talán érdemesebb mindenből egyformát venni. Nem ismerem sem a Synology sem az Ubi lelkivilágát, nem tudom mennyire jellemző (ha egyáltalán) hogy egyes fw/OS verziók mennyire függnek a hardvertől. Kellemetlen lenne, ha belefutnál egy olyanba, hogy az egyik NAS/router támogat valamilyen funkciót, amit az ellenoldali párja meg nem, vagy nem olyan gyorsan. 

- mikrotik routerekről beszélnénk, akkor ott lehetne az EoIP, ami pont ilyen összekötögetésre van kitalálva természetesen van overhead-je rendesen, de a nálam jobban hozzáértők biztosan meg tudják válaszolni, hogyan kell konfigurálni hogy minél kevesebb legyen a sávszéligény

- mikrotikon is van VPN támogatás a routerben, ha az EoIP rendesen be van állítva, akkor ezzel jelentős probléma kerülhet le a válladról. 

- NAS adat titkosítás: ez annak a kérdése, hogy mennyire érzéken adatokkal dolgozol és mennyire várható az, hogy valaki fizikailag is szeretné elvinni a lemezeket. 

 

Felig off: nem tudom mennyi idore kell megoldani a fenti helyzetet, de ha hosszabb ideig, akkor a sikeres beallitas (egyforma nas-ok) utan egy hettel vennek az eszkozokbol tartalekot: +1 nas, +2-3 hdd.

Nas-okat be is allitanam, gyorsan lehessen cserelni. Es most meg lehet ilyeneket kapni. A koltsegekbe tervezd bele. 

Szerkesztve: 2021. 11. 27., szo – 23:11

Hát ha MS Office 365, akkor megvenni a business licensz-t, levelezés outlook-on, fájlok a felhőben, VPN meg nem is kell, csak a két ubiquity router.

azért én ezektől a Synology dolgoktól félnék, mmint nem a hardveres részétől (persze, legyen helyi backup), hanem csoportmunka eszközként.

Nem szeretnem kinyitni Pandora szelencejet, mert ugye mindenre lehet erveket es ellenerveket hozni... Csak csendben kerdeznem meg, hogy egy erosebb gepben nem gondolkoztal esetleg?

A NAS-ok eseteben ugye mindig meglesz a gyartotol valo fuggoseg. Eppen most olvastam egy masik szalban, hogy valaki kisse elegedetlen volt a a Synology 7-es szoftverevel...

Mint fentebb is elhangzott, nem annyira a penz es a szin alapjan valogatna a hozzaszlo, hanem inkabb a funkcionalitas. Szamomra egy szabadon alakithato rendszer funkciogazdagsaga eleg nagy erteket kepvisel.

Szoval... Javasolnek egy hasznalt Xeonos munkaallomast (akar dual) 32-64G RAM-al es 4x 2TB disk, plusz 2 kicsi SSD. Ezek arban ott vannak ahova te lottel. Proxmox raidz2. A diszk alrendszer redundanciaja es rugalmassaga messze veri a NAS raid1-et. OPNSense siman elfut virtualban. Van benne VPN meg amit meg akarsz. Mas virtual gepeken meg Sambazhatsz (LDAP AD...) Nextcloudozhatsz (Collabora), Seafile-ozhatsz, SyncThing, Guacamole... Soroljam meg?

Az egeszet ossze lehet pattintani egy nap alatt (Annyit a NAS feluleten is elkattogsz majd!) Tovabb tart a telephelyre kivinni a masodik gepet, mint feltelepiteni a cuccost.

Igen, igen... Fuuuu... Hasznalt... Nekem semmi bajom veluk! Hasitanak, semmi gond nincs veluk. Volt ahol nem akartak hasznaltat, lett egy erosebb, uj PC... Igen, igen... AZ nem szerver... Ja de kerem ezek a NAS-ok se Industry quality... ;-)

Viccet felreteve. Jobb szeretem, ha teljesen ura vagyok a rendszernek, de elfogadom a Mikrotikesek Synologisok QNaposok erveit is!! Mindet!! :-) Lasd az elso mondatom.

A használttal nagyon észnél kell lenni. Ha használt szerver! (ezt a munkaállomás dolgot hanyagoljuk), akkor ahhoz legyen minimum 2-3 év garancia, és lehetőleg ne egy olyan típust válasszanak, amihez már most is nagyítóval kell alkatrészt keresgélni.

A NAS-sal együtt munkaidőt veszel, mert készvan és használható, klikkelős. Mentéshez és egyszerűbb fileszerver feladatokhoz kiváló.

Hasonló alacsony költségvetésű projektként normál asztali gép (jobbfajta alkatrészekből összepakolva), jó minőségű táppal, WD Red és Gold diszkekkel -- raid és lvm --, Zentyal szerver oprendszerrel (Ubuntu szerver alap és Samba), Windowsokat tartományba léptetve évek óta probléma nélkül (lekopogom) üzemel. Sokkal erősebb mint bármelyik két/négy lemezes NAS, és sokkal több tartalék is van benne. A Win-ek észre sem vették, hogy nem Windos szerverre csatlakoznak, még a csoportházirend is használva van. Alapból kapsz vele tűzfalat, VPN-t, fájlmegosztást, felhasználókezelést, meg egy csomó finomságot, és a beállításokat nagyon gyorsan össze lehet kattintgatni egy webes felületen.

A felhasználóknak meg ne engedj többet, mint ami a munkájukhoz feltétlenül szükséges, mert szét fognak túrni mindent (sajnos tapasztalat).

Najó, de ezt jelezni kell fentebbre (mármint a topiknyitó megbízója, vagy munkáltatója felé), hogy mi az a minimum, ami tényleg az, és nem egy rommá spórolt valami. Ha "nincs" rá pénz, akkor pedig írásban jelezni a problémákat, és hogy ha mégis így akarják, akkor hajrá, de később oda lehet pakolni, hogy hátkisbarátom spóroltál, és az most bazira sokba fog kerülni. Arról sincsen szó, hogy kössük rá a bankszámlát a helyi tűzcsapra és locsoljunk IT büdzsére minden baromságra, de 60 főnél azért a minimum az jellemzően feljebb kéne legyen.

Látok én is hasonlót, és van futó projekt kollégákkal, ahol hasonló minimumok miatt szívunk, bár az soksok éve volt kialakítva. Az az óriási pozitívum, hogy a megbízók részéről a jól indokolt beruházásokra, fejlesztésekre abszolút nyitotság van, tehát lehet értelmes keretek között dolgozni, nem kell izgulni, hogy épp milyen nyögvenyelős spórolásba kell belemászni. El kell oda jutni, hogy ahol nincs meg ez a hozzállás, ott sajnos nem lehet segíteni, azaz vállalni a melót.

Hm...

Egy 8G RAM-al megaldott NAS-on azert nem sok ertelmes kontener fut el szerintem...

Rendben, hogy tud mindenfele raid szeru valamiket, de a szal inditoban 2 db diszk van megjelolve NASonkent. Abbol nem lehet varazsolni. Raid1 pedig hotspare nelkul akarhogy is nezem orosz rulett.

Idot veszel? Elfogadom, hogy vannak dolgok amiket keszen kapsz. Bar a kattogosdi szerintem mindig idoigenyesebb szamomra.

Alkatresz? Milyen alkatreszrol beszelunk? Alaplapot nem fogsz benne cserelni az tuti, ahogy a NAS-ban sem. Egy ev jotalast meg adnak ra. Egyebkent meg mar nem is tudom mikor lattam utoljara olyat, hogy "gepet javitottak". Leginkabb csere.

De nem "ervelek"! Szerencsere, van aki hasonloan gondolkodik, csak mas eszkozokkel. A szal inditoja meg majd eldonti mit vallal be.

Azert meg az erdekes lehet, hogy 60 munkaallomast egy 5400-on porgo SATA 3-as diszk sebesseg hogyan fog lefedni. Szerintem siman belefullad amikor valaki elkezd nagyobb mennyisegu adatot mozgatni.

Szerkesztve: 2021. 11. 28., v – 16:53

Én korábban nem használtam NAS-t, de alapvetően ha csak egy fájlszerverre van szükség valami kisebb helyen, akkor meggondolnám, hogy használjam, pozitív csalódás volt. Pár hete nálam van egy QNAP NAS, az alapján amit eddig tapasztaltam tudom ajánlani, jó cucc:
https://youtube.com/playlist?list=PLuLiqZRQTKtRnjGIwjKOgfuXeo9uXsibi

Hamarosan érkezik majd egy 4 lemezes ZFS-t tudó cucc is, vállalati környezetbe én azt raknám inkább.

naja, de az nem a 30-60 klienst egyszerre kiszolgalo terheles amit otthon jatszottal vele :)

az a baj, h iopsban picsafust egy hdd es amint nem csak 1 dolgot csinalsz, halal. ahogyan desktopba sem veszunk 2021-ben HDD-t, ugy eles adatot kiszolgalni is megvesszuk az SSD-t ha nem akarunk szopni. HDD jo mentegetni (egy szintig), meg filmet nezni rola (ha nem tul combos a bitrata es nem a csalad osszes tagja nez szimultan 4k-t :D) esetleg a csaladi fotokat lementegetni.

Na de ki mondta, hogy HDD-t tegyen bele? Ezért is írtam, hogy inkább majd a 4 lemezes ajánlott céges környezetbe, viszont maga a rendszer a QTS az fasza. Nem konkrétan ezt a darabot ajánlottam, csak azt hogy a QNAP elég faxa, aztán vegyen nagyobbat természetesen. Vannak egész brutális cuccok is.

Na de ki mondta, hogy HDD-t tegyen bele?

innen indultam ki:

2x4TB Seagate IronWolf 3.5 4TB 5900rpm 64MB SATA3

viszont maga a rendszer a QTS az fasza

persze, felhasznalobarat a cucc

Vannak egész brutális cuccok is.

jaja, az aruk is az :) itt sincs ingyen ebed, sot!

jo dolgok ezek a NASok otthoni jatszosnak, mentesre, esetleg iscsi/nfs storenak, vagy ha nincs extrem igeny sambara. egy komolyabb peldany sok RAM-mal, SSD cache-sel, nem legalja ARM procival (ott is altalaban az I/O a SoC-on ami gyenge sajnos) mar szemmel lathato osszeg lesz, onnantol mar erdemes elgondolkozni kisebb szerverben es virtualizalgatni a megosztast, AD-t, stb. a NAS meg jo backup tarhelynek :) ahogy fentebb is irtak 60 fos cegnel ha csak 1 havi berkoltseggel szamolunk sem csak 2 koszos NAS jon ki tanyeros diszkekkel. persze keves az infonk, arra eleg is lehet, hogy 2 ember otthonrol 2 word doksit elszerkesztgessen, mint home office, de ha 60 embernek kell tarhely, VPN, stb. az mar nem NAS hanem SAN kategoria. szerintem :) mikor a szolgaltatok otthonra multi-gigabit interneteket osztogatnak nem biztos, hogy egy ceg IT infrajat egy-ket gigabites portos ARM cpus NAS-ra kellene tervezni HDD-ken, foleg nem par ev tavlataban.

Ezek mondjuk pont inteles NAS-ok (nem arm), illetve mind a kettő fogad a diskek mellett NVME cachet is. Valamint az OS (meg az app-jai) alapból (otthon) elmegy 2GB RAMon is, használhatóan (nem lassan). Szal a 8GB, amit bele lehet rakni, azért nem kicsi.

De a 2 lemezt én is kerülném, attól otthoni... Főleg, hogy a 920+ az 4 lemezes.

Amúgy meg a 60 munkaállomás sem mond sokat. Ha ez 60 bérkommentelő munkahely, akkor még ez az infra is sok. Ha 60 valódi groupware munkhely, akkor van az az állapot, hogy kevés. Egy szóval, amit leírt a poster, az nem elég info egy döntéshez. Arra jó, hogy "igen, elég lehet". Csak kérdés, hogy azzal mire megy...

tiszta sor, de nem ezen fogsz elkezdeni windows ADC-t virtualizalni, vagy ha igen, biztos szeretsz szopni, mert onnan ha valami keves lesz kikoltoztetni vagy tudod, vagy nem, de az biztos :) ehhez merten meg mar a 8G RAM...hatooo, nem sok.

forditva mindjart elhetobb, szerveren virtualizalhatod a *NAS OS-t, ha a gyarto lesz szives engedni, vagy eleve olyan NAS varianst valasztasz ami neked megfelel es elfut VM-kent. plusz virtualizalhatsz routerOS-t, pici penz a licensz, gyors is lesz, VPN/firewall is adott, akar AD auth-tal osszekotve.

ugyebar nem teljesen vilagos mit szeretne a kerdezo, szerintem sem o sem a megrendelo nem tudja, de feltetelezem van 60 MSwin laptop/workstation, ezeket kene managelgetni, kozos tarhely, stb. meg ugye kene VPN is.

Samba AD simán elmegy ennyi júzerrel 8 GB-al (amit fogok majd tesztelni, abba 16 GB is dugható, tehát marad bőven), virtualizálni se kell, mert tud konténert is, de egyébként tud AD is lenni maga a NAS is, legalábbis láttam ilyen beállítást, igaz nem teszteltem, de gondolom sima Samba AD az is.
 

A Synology-val mint termékkel nekem nincs semmi bajom. Viszont a support az tragédia-trágya.

Egy egyszerű Hyperbackup hibával kapcsolatban kerestem őket: túlírtam jelentősen a kvótát, ezzel a szituval nem tudott a rendszer mit kezdeni, erre kértek admin usert meg jelszót meg a tökömet... Náluk ez a módszer, én meg ezt itthonra se tolerálom.

Odáig jutottunk a balfaszkodásban hogy lemondtam a szolgáltatást és kerestem mást.

Szóval adott esetben egy Synology AD problémával tök egyedül tudsz maradni. 

Megfontolandó.

Gábriel Ákos

Pláne úgy, hogy 5900-as fordulaton csoszogó diszkeket szán bele... Az otthon, 3-4 gépnek kényelmesen elég filmet nézni meg hasonlókra, de a kisebbik site-on lévő kb 20 userre is kifejezetten kevés lehet. Persze az a kérdés, hogy milyen workload lesz rajta, mert ha csak office és napi néhánytucat fájl maszírozása, akkor egészen más a helyzet, mintha nagyobbacska xls-ek vagy épp Access vagy más adatbázisok, nagy mennyiségű dokumentáció, grafika, multimédia matatás vagy épp fejlesztés a cél, akkor már maga a tengelyes diszk is kérdéses, nem csak az, hogy hány darab legyen, illetve milyen fordulatszámon pörögjön.

Látszólag itt csak olyanok szólnak hozzá, akik még messziről se láttak Synology NAS-t. Nincs személyes tapasztalatom a 920+-szal, sem ilyen munkakörnyezettel (itthon 918+ van, nem ilyen loaddal). Viszont

  1. Valaki írja, hogy csak RAID1 van. Nem igaz.
  2. Valaki írja, hogy 8 GB RAM nem elég semmire. Nem értek ezzel egyet, viszont nem hivatalosan 20GB-ig bővíthető.
  3. Lassú lesz a HDD. Lehet, de az a HDD egy használt tákolt workstationben is ugyanolyan lassú lenne.
  4. Látszólag lövése sincs senkinek arról, hogy ebbe lehet SSD cache-t rakni, ami pont sok felhasználós munkakörnyezetben jelenthet sokat IOPS téren.
  5. Backup, egyéb szoftveres dolgok: látszólag ezt se ismerik a megszólalók. Persze, 1 nap alatt összerakja valaki nulláról azt, amint a Synology ad. Bizonyára.

Egy szó mint száz, én nem azt mondom, hogy a Synology jó döntés ebben a helyzetben, de amilyen ellenérveket hoznak itt egyesek, azok ezer sebből véreznek.

Várnék itt releváns tapasztalatot, meg valós ellenérveket, pl.:

  1. Csak gigabites portok.
  2. ECC RAM hiánya.
  3. Max 30 user VPN-en.
  4. Redundáns táp hiánya.
  5. Bármi egyéb valós tapasztalat akár teljesítmény, akár funkcionális szempontból.

Szerencsére nagyon közelről, sok helyen látok Synologykat. Amire kitalálták Synoék arra jó valóban.

Gigabites portok: Erre szerintem nem írtuk/ták, hogy probléma. Én írtam olyat, hogy adott helyen vehették volnaa DS220+-t, mert azon 2x1Gbit van, és valszin a nagy file-jaik miatt örültek volna a LACP-nak (ha nem adódik össze, akkor is két felhasználó függetlenül tud másolgatni).

ECC RAM: Ezzel az a baj, hogy úgy általában ez tényleg nem okoz gondot, de mivel ő csinálja bármelyik RAID szintet, ezért ha mégis van probléma esetleg, akkor érhetnek meglepetések. Volt olyanunk, hogy adott gépnél a nem-ECC RAM diszk hibában jelent meg, viszont a memtesten nem adott hibát a modul, és mikor már a gépházat is kicseréltük kínünkban, és mindíg rossz volt, akkor tudtunk egy tökmásféle alaplapot keríteni, amiben kijött a RAM hiba.

RAID 1: a topiknyitó 2-2 diszket írt, illetve nem egyértelműen. 2 diszkből tükörnél többet nehéz kihozni, illetve a a fentiekből a DS220+ az 2 diszkes eleve. Ezt épp a héten néztük egy helyre, de "drága" volt és a 218-asat vették meg, pedig nagy file-okkal dolgoznak, biztosan jól jött volna a 2x1Gbit és a több RAM, dehát ez van. A RAID ugyanakkor sebességi és folytonossági megoldás, nem mentés.

SSD Cache: A DS220+-ban nincs külön SSD foglalat ha jól emlékszem (két diszkesből a DS720+ olyan talán), a DS920+-ban emlékeim szerint van, és valóban egy jó update, hogy ha igénylik a felhasználás módja. Még az is lehet, hogy egy 5-6 diszkes RAID6-tal szaladó modell lenne a jó, olyan, amiben van NVMe SSD cache opció, és akkor lehet hasítani, ha másképp nem, akkor opció szinten későbbre.

Redundáns táp: Valóban nagyon ritka a táphiba manapság, Synoban is ritka, de esetleg mégis meghal, akkor nézel, mint rozi a moziban, pláne a belső táposoknál. Amiben külső táp van, ott a külső egység külön cserélhető persze, de hacsak nincs polcon, akkor nem két perc lesz. Hatvan ember dolgozna az eszközről, 60 ember munkája X időre megállhat, igen HAT, de sajnos csak a gyenge láncszemek kiiktatása, és az esélycsökkentés megy, varázsolni nem tudunk. Nekünk mindkét Synoban kiment valami, elvileg nem a táp, az egyik DS1515+ a másik 1815+ volt, 2 hónapos különbséggel köszöntek el. A garizásuk 1 hónap volt, pedig elég közvetlenül voltunk bekötve a nagykerbe (értsd a partner akitől jött, az rögtön leadta gariba, és amikor megjött, akkor aznap hozta ki kb.).

Max 30 user VPN-en: Jelen esetben 60 felhasználó lesz az egyik telephelyen. Ha bármiért elindul újra egy otthoni munkavégzésre áttérés, akkor majd lehet gondolkodni, hogy huhát hogyan kéne. Az 2020 elején kellett 100 embert hazaköltöztessünk, és VPN-t krealni hírtelen, szóval lett egy Win VPN VM és SSTP, és működik. A hálózaton kellett hegeszteni, hogy meglegyen a szeparáció és szűrés, de limit nem volt. (Ez esetben a Win licensz adott volt, de ha kellett volna, akkor gondolkodás nélkül megvették volna a licenszet, egyszerűen nem tétel 100 ember mellett egy 200k körüli sw licensz).

Teljesítmény: Valszin 2db 5900rpm-es diszk az nem lesz acélos, úgy általában. Ha naponta 1x mentenek rá 1db 250kbájtos valamit, per felhasználó persze, akkor több mint elég. Ahol 4 diszkes van, ott én a 7200-as NAS diszkek és RAID1+0 alá nem mennék. Pláne azért nem, mert jellemzően szeretik az ájti elől titkolni a nagyítvű terveket, hogy óhát majd csak "beállítja" a valaki a valamit. Néhány esetben nincs probléma, és néhány esetben jön a csodálkozás, hogy hát igen, ha gigás file-okat mentenek rá a gráfikusok, akkor eretvágnak magukon elég hamar, bár ez nem mindíg Syno függő, de egy bármilyen NAS-sal könnyű rácsúszni ilyenre.

Mentés: Hyper-V vagy VMWare alól roppant nyerő mentési megoldások vannak, hogy ha vissza kell állni, vagy visszakeresni valamit, akkor néhány klikkelés (pl. Veeam). A Synot jellemzően mentési célnak használjuk, így mégis van rá ilyen pöpec klikkelős visszaállítós, akkor nem szóltam.

A fentiek az első pofonkor szoktak hirtelen oltári probléma lenni, és hogy mit képzel az IT, mert itt napi milliós kiesés van. Namost akkor nem lett volna olcsóbb ab ovo olyat venni, ahol ezek a problémák legalább nagyjából kezelve vannak? Olyan eszközzel, olyan sw megoldással, olyan garanciával (támogatással), szóval észnél kell lenni.

Elkezdted pedzegetni, hogy NAS miért nem jó erre a célra ("Hatvan ember dolgozna az eszközről, 60 ember munkája X időre megállhat", "itt napi milliós kiesés van"), a redundáns táphoz annyit hozzátennék, hogy az nemcsak a táp meghibásodása ellen jó, hanem a redundáns betáplálásra is (pl. egyik fázis vagy ups kiesik).

Ide legalább két szerver kellene, azokon legalább 2db DC (AD nagyon hasznos ennyi felhasználónál) és mellette sok mindent meg lehet oldani VM-ből, ha kell (akár Linux, akár Windows). Használt szerver is jó lehet megfelelő támogatással (garancia szolgáltatással), ha nem akarnak sokat költeni (bár nyilván hamarabb kerül ismét terítékre a kérdés).

Switch sem árt, routerből kettő kellene legalább a fő telephelyre, ha ki lehet ilyet nevezni és még hosszan lehetne sorolni, de konkrét ismeret nélkül nehéz konkrétumot mondani.

+1 :) Igen, a dupla UPS-t már nem akartam belevenni. A két fázis nem biztos, hogy összejön, mert erre nem biztos, hogy van lehetőség. Ez az elektronyos hálózat alapvető kiépítése, illetve maga a 3 fázis megléte a betáp oldalról kérdése. Bár a 60 gépet nem biztos, hogy 1x 32A-ra fel merném tenni, pláne úgy, hogy egyéb ügyek is vannak általában egy irodában. :)  A 2db DC-t már írtam énis korábban, meg hogy eleve VM -es megközelítésben kéne indulni.

Nincs teljes átfogó képen a redundáns betáp technológiákról, de tudomásom szerint van olyan, ahol egyik aktív, másik passzív és olyan is van, ahol mindkettő aktív. Az UPS-t nyilván úgy kell méretezni, hogy a teljes terhelés rajta megy. Ezzel a felállással semmi gond nincs, szépen működik nem egy helyen (a közvetlenül betáp akár másik, akár UPS-sel azonos fázisról).

UPS-nél tipikus egyik hiba az, hogy a duál tápos szervert / eszközt rákötnek egy UPS két kimenetére. Sokkal jobb az ha 1 táp UPS-en, a másik a "normál" áramon. Így ha UPS csere van akkor nyugodtan le lehet kapcsolni azt az oldalt.
UPS-nél sok helyen online vagy line interactive kérdése és nagy kérdés, hiszen árban más. A másik a méretezése, terhelésre és áthidalási időre.
Majd jön a kapcsolat típusa, ami hamar belátható, hogy SNMP ethernetes megoldás nélkül hamar gond lehet, hogy 1 eszköz USB kapcsolatára támaszkodik az összes eszköz.

Ebbe már belefutottam, hogy itt egyfajta elvárás a páros/páratlan sorok két véleményt tükrözzenek. 
Én mintegy megerősítés és kiegészítés képen írtam, mivel te is ezt pedzegetted.

De akkor az elvárásoknak megfeleően legyen kontra is: :)
A SNMP modul azért nem kell sok helyen, mert drága. Szerintem is drágán adják, hiszen semmi nincs benne ami miatt akár 50.000 Ft-ot vagy még többet is elkérjenek érte. Ennek ennyi az ára.
Persze lehet dugni NAS-ra, vagy épp az egyik gépre és onnan megosztani. De ha épp a NAS vagy az a gép döglődik és akkor lesz lekérdezési vágya a többi gépnek akkor nem lesz adat. 
Ezek a modulok nincsenek túltervezve. Van rajtuk valami egyszerű mikrovezérlő és ethernet kapcsolati lehetőség, egy atom egyszerű programmal. 

Én SNMP modul mellett vagyok, mivel nem kell foglalkozni az ilyen olyan garázs szabványokkal USB-n, lekérdezhető több gépről is bármilyen szoftverrel akár, vírtualizációban is használható, nem lesz egy külső eszköztől függő az adatlekérdezhetőség.
Lehet csak a kényelem teszi ezt velem. Esetleg a tapasztalat az USB-s kapcsolattal UPS terén. Talán még a sorosportos kapcsolat ideje is jobb volt, amikor speciális kábel kellett hozzá, mert se 1-1-es hosszabító, se null-modem kábel bekötése nem volt jó. A soros portos UPS-hez, a saját kábele volt csak jó.

Én meg két külön UPS-ről beszéltem per gép. :) Ha USB van, azért akkor is megoldható a hálózati megoldás. Pl. ha egy Synora kötöd az UPS-t, ha ilyet enged a büdzsé, akkor az lehet NUTS szerver, és a NUTS kliensek szépen leállnak a megadott időben. Van olyan helyünk, ahol nagy és drága UPS-ek vannak saját "csodás" szoftveres vezérlővel. Hogyismondjam, nem egy menedzsment álom az úgy abban a formában.

Semmi különleges nincs, általában sima loadshare-ben mennek, ez szokott lenni az alapértelmezés. A HPE-nél lehet választani, hogy "high efficiency" módban legyenek (az 50%-os hatásfok csúcsot hamarabb elérhetik), amikoris csak az egyik táp dolgozik, de ez is választható, hogy melyik legyen. Azt is üzemeltetési szempontnak szoktam venni, hogy mennyi és milyen "aknát" építünk be, amire figyelni kell. Ha két oldalnyi UPS van, akkor igazából kb. ott vagyunk árban, mintha egy oldali lenne, mert kb. ua teljesítményre és áthidalási időre kell lőni.

Ja igen, a Syno elköszönéshez hozzátenném gyorsan, hogy mielőtt azt gondolja valaki, hogy ezen múlt a cég, hát nem. :) Egy egész rendes Hyper-V cluster volt 2db Fujitsu Primergy duplatápos szerverrel és egy Eternus storage-dzsel. Természeten volt egy harmadik szerver, hogy a clusteren kívül is legyen DC, ha kellene, volt hogy kellett erős áramszünetkor, meg dízelgenerátor halálkor. A synokra ott mindenféle mentések mentek nagyüzemben. Ott csúcsidőben 150-200 felhasználónk is volt, megannyi mindenféle spéci ügyviteli cuccal (tényleg spéci, a részletekbe nem tudok belemenni).

Nézzük sorra... 40+20 userhez, ahogy előttem is írták kétszer két tengelyes NAS kevés lesz - nem méretben, hanem I/O-ban (pláne 5900-as fordulaton csoszogó diszkekkel), úgyhogy ezt gondold át alaposan, mire használják majd a nas-t. (Célszerű minden céges adatot kötelezően ott tartani, mert azt tudod egyszerűen/egyszerűbben menteni!)
Mentésnél legyen valamilyen kellően nagy logikai légrés a mentett adat és a mentés között. Ebből következik, hogy a mentést a mentőszerver "húzza" magára, és valamilyen érdemi mentési stratégia szerint dolgozzon (full+diff, full+inc, stb) - és visítson, ha a változás mérete a szokásoshoz képest jelentősen eltér (ransomware gyanúja merülhet fel).
Mentést a munkaállomásoknak nem adunk oda direktben - mentést "vezérlő" gépről másolandó vissza az adat vagy a nas-nak a kliensek által is elérhető területére, vagy közvetlenül a kliensre, ha olyan.

Távmunka... Itt kétfelé kell választani az "érkezőket": akik céges standardoknak megfelelő gépről jönnek, és akik nem. Bár az elfogadott standard már mindenhol az, hogy privát gépről nem megy senki céges hálózatba, de ez nem minden esetben járható út.
Szóval a vpn felől kifejezetten eldöntendő, hogy ki, mit érhessen el: ez a feladatoktól és a cégnél kezelt adatok elvárt védelmétől, a használt rendszerek üzleti fontosságától függ. Lehet a "fullban minden"-től indulva az "egy darab terminálszerver, amin vágólap, képernyőmentés, illetve fájl másolás tiltott" szintig menni. (És persze a teljes távoli session-t (rdp, ssh, satöbbi) is lehet naplózni/rögzíteni, ha kell - de ez a listád alapján nem igény, és nem is fér bele a keretbe.)

Ha már vpn, akkor nagyon erősen javasolt 2fa-val csinálni - egy sima cert+jelszó -mondjuk úgy- nem igazán elég manapság.

60 user, 60 munkaállomás - ha Windows-okról van szó, akkor itt már nagyon-nagyon hasznos tud lenni, ha AD-ben vannak az userek, a gépek, meg úgy nagyjából minden - Én a "nagyobb" oldalra leraknék kettő DC-t, a kisebbre meg egy read-only-t, hogy ha a site-to-site vpn széthullik, dolgozni akkor is lehessen, de véletlenül se lehessen olyan split brain állapot, amiből macerás kipiszkálni a domaint.

 

Apropó. UPS ügyben mi a terv? Mekkora áthidalással számolsz? A mentés közben leállás mondjuk nehezen elkerülhető, ha hosszú az áramszünet, de legalább 25-30 percre érdemes felkészülni szerintem.

Nagyon kevés az információ, így nem ismertek az elvárások, de 60 főt én nem NAS-ról üzemeltetnék.

Az UDM-et nem ismerem konkrétan, de több Ubiquiti eszközzel volt már dolgom. Csak a szopás van vele, pont a túl felhasználóbarát felülete miatt. Ahonnan lehet, a routereket kiirtottam már, de van még egy telephely, ahol az unifi rendszerük üzemel.

-Nagyon lassan bootolnak
-Hetente jön rájuk upgrade, ha felrakom, utána random megbolondulnak, néha pár napra rá downgrade-t ajánl a kontroller, és ez rendszeres
-A túl felhasználóbarát felületnek az az átka, hogy semmit nem találni meg logikus helyen, ha pedig igen, nincs rá garancia, hogy az az opció jövő héten is ott lesz. 
-Sok funkció van, ami mellett ott a béta figyelmeztetés, és sok esetben ezek a béták tényleg szarok is, bekapcsolása esetén több eszközön random nem lesz forgalom
-Az UNMS elképzelése nagyon jó, viszont erőforrászabáló és érdemi pluszt nem ad, maximum könnyebben találja meg az ember a keresett eszközt, ami csak akkor jó, ha amúgy többtízet-százat kéne ISP-ként vagy nagy multi szinten managelni, utóbbi helyre pont az instabilitása miatt nem fogják tenni.
-EdgeRouter-ben vannak ilyen anomáliák, hogy a dualcore procis csoda olyan rosszul volt kódolva, hogy a VPN-je 10Mbit/s körül cpu limittel koppant, ugyanezt egy sokkal gyengébb, single core mikrotik többszáz megabittel letolta. 
-A webes felület annyira szétjavascriptezett csoda, hogy sokszor csak placeholder szövegek bírtak megjelenni a menükben, vagy tartósabb használat után szétborult

Egyedül amit szerettem ezekben a routerekben, hogy egy ipari pendrive van beledugva egy belső usb porton, szóval ha letérdel, akkor simán kap egy másik pendriveot vagy HDD-t és él tovább. A másik pedig, hogy a terminálja egy teljes értékű debian, szóval így a leggagyibb edgerouter lite 3-ra is tudtam asterisk szervert is telepíteni, mint kísérlet. Működött is stabilan, de természetesen éles hálózatban ez nem előny, csak érdekesség.

Ubiquiti helyett én eddig mindenhova Mikrotiket pakoltam le, azóta nem panaszkodnak. Itt nincsenek ilyen jellegű fura anomáliák, hálózat monitorozásra pedig ott a Dude, ami teljesen jól működik. Ha totál kiesésbiztos kell, akkor párhuzamosan 2 VRRP-vel, és akkor van idő cserélni is, ha egyik letérdelne.

 

Synology 920-ba vennék ramot,16G és két intel mempek 32gb-s ssd-t cache-nek.
Nagyon jót tesz neki, főleg ha btrfs van.

Synology-ból a saját szoftverét használnám (most felraknám a 7-est, ne sok adattal kelljen verziót váltani majd).

Ha elkezdesz sok docker motyót futtatni a synology-n, akkor készülj fel h nemsokára migrálni fogsz valami "rendes vasra".

IPS/IDS megöli a unifi cuccokat, azt rakd külön gépre (ne a synora).

Synologyhoz még most rakd össze a bond-ot, hogy legyen 2GBit-ed.

Backupot én nem keresztbe csinálnék hanem backblaze s3-ba havi pár dollárért, titkosítva. Ezzel egyszerre a DR-ed is meg lehet oldva.

Nekem itthon 918+ van, 3 diszkkel+ssd+ram, gigabitet ír-olvas simán. 
Ja igen, switched legyen jó, nemrég cseréltem egy alap 3com-ot egy kicsit komolyabb tplinkre, ég és föld.

Gábriel Ákos

Meg kell nézni jó lesz-e ez a setup a cégnek. Ha véletlenül mégsem, akkor el lehet indulni a truenas irányba egy használt serverrel (amibe új diszkeket, új ssd-t kell venni). Jóval drágább lesz még használtan is, viszont teljesítményben és bővíthetőségben is klasszisokkal jobb a syno-nál.

Nemrég vettem egy Dell SC430-at, elsősorban a cpu+ram miatt, most még csak próbálgatom mit-hogyan.

A benne levő SSD-k elég csírák egy consumer nvme ssd-hez képest, a 15k sas diszkek viszont brutálak a nas 5900-ashoz képest.

És persze a ram és a cpu is egész más liga.

Gábriel Ákos

Akik ilyesmit üzemeltetnek azoktól kérdezem: a direkt nem közösen szerkesztendő fileokhoz mekkora hülyeség "synology drive" szerűen működtetni a dolgot? Azaz tulképpen helyben csinálsz mindent, a szoftver csak szinkronizál a nas-sal. Könnyen belátható hogy ez - főleg vpn-en - sokkal jobb UX-t eredményez.

Gábriel Ákos

Köszönöm a sok hozzászólást, és segítséget. Részletesebben kellett volna az igényeket leírnom.
Jelenleg ennél a konfignál 6+ éves lassabb rendszerek futnak, lassabb vinyón (sebességre nem panaszkodtak).
Felhasználói igény, maximum 50-100 oldalas szöveges fájlok táblázatok, de de inkább 5-10 oldalasak megnyitása szerkesztése (nem rohamtempóban).

Virtualizálni nem tervezek, sem bővülésre, sem extra igényre nem kell számítani a következő időkben (nem versenyszféra).

A tűzfalat mindenképpen külön szeretném virtualizáció mentesen megoldani.
A gyorsabb vinyó nem kérdéses, már korábbi hozzászólásomban is írtam, hogy jó ötlet.
A két DC ötlete tetszik a fő telephelyre, maximum a külső telephely vár még egy kicsit a fejlesztéssel.

-Milyen MikroTiket javasolnátok 250/250Mbit-es netre VPN-hez?
-Másik eset, amin még gondolkoztam, ha minden megy felhőbe, fizetünk az MS-nek, és egy NAS-sal pedig a felhőből készítek mentést. Ekkor a VPN-t sem kell megoldani.

Ezek alapján újragondolom a lehetőségeket:
- minden megy felhőbe
- 2 ugyanolyan NAS fő telephelyen
- 2 ugyanolyan Windows Szerver fő telephelyen

Picit off:

Érdekes tapasztalat volt egy másik cégnél: ott a számlázó gyártója kötötte ki, hogy nem jó az eddig használt DS218+-os Syno. Vettünk most egy Dell PE mini T40-es szervert, Windows Server 2019-cel 16GB-rammal, gyári lemezekkel.

Az eredményt nem teljesen értettem, szerver feladata 1 db könyvtár megosztása, semmi más. Synology sokkal több megosztással 2GB RAM-mal sebesebb volt a tapasztalat alapján.

RAM, HDD-t ellenőriztem az új szerveren, minden rendeben, RAID kötet inicializálva volt már teszteléskor, mindent lefrissítettem. Ennek ellenére mégis lassabban szerepelt, nem vészesen úgyhogy nem kerestük a hiba okát tovább.
 

"Virtualizálni nem tervezek, sem bővülésre, sem extra igényre nem kell számítani a következő időkben (nem versenyszféra)"

Ettől még minden funkcióra külön fizikai gép erős túlzás ekkora létszámnál - két-két fizikai géppel, memória- és CPU bővíthetőséget megtartva VM-eket építve jobban jársz.

"A két DC ötlete tetszik a fő telephelyre, maximum a külső telephely vár még egy kicsit a fejlesztéssel." - A kisebb telephelyen ne spórold ki a read-only DC-t. Egy internet-szakadás bármelyik oldalon(!), és máris nem lesz a kisebbik oldalon semmilyen DC funkcionalitás. Ha raksz egy ro DC-t, akkor ilyen esetben a userek szempontjából a jelszócsere "esik ki", minden más viszont tud működni.

Szerkesztve: 2021. 11. 30., k – 09:50

Ahogy én csinálnám:
A serverelite-nél vannak jó DELL szerverek több év garival, akár helyszíni garival is.

Két telephelyre 1-1 szerver. Virtualizálni pl. proxmox-szal. Gazdagépeket wireguarddal összekötni + OSPF.

Mindkét oldalra 1-1 openvpn szerver, sql backenddel, akár egy webes admin felületet összeütni hozzá. Talán neten is találni. Ide jöhetnek az userek, configva server1, server2. Oda csatlakozik ami elérhető. A két telephely között teljes és dinamikus átjárás az OSPF-nek hála. Ha nem lesz túl sok IP változtatás a telephelyeknél, akár static route is lehet.

Virtuális gépben fájlszerver samba-val, akár win AD-ból etetve az usereket.

Ha nagyon rugalmas akarsz lenni, a wireguard mellett vagy helyett eléjük tett mikrotikben is ki lehet alakítani L2 VPN-t, amitől 1 subnetben lehet a két telephely, így proxmoxon mehet a live migration a két telephely között. Ez esetben a routokkal sem kell nagyon foglalkozni.
Én használom az összes felvázolt lehetőséget, nem egy helyen. Mind tökéletesen, stabilan működik.

Ha Synology only lenne, akkor 2+1 tartalék, sok szépet ott is össze lehet rakni. Alatta linux van, akár alá is lehet nyúlni. Sok minden out of the box működik.
Biztonságot viszont nem bíznék rá, nem tenném ki a netre a fájlszerver miatt. Tűzfal, vpn inkább máshol menjen.

Szerkesztve: 2021. 11. 30., k – 13:33

Érthető az irány, ha nincs pénz jobb dolgokra. Tűzfalra / VPN-re pcengine APU-t javaslok pfSense + Softether (gyors L2 VPN normális titkosítással, pfSense PKI-t tudod használni hozzá) párosítással. Synology jó lesz csak ram (lehetőleg ECC-s) meg ssd legyen benne. Unifi sajnos egy horror, de ezen a szinten ez van, ha van rá keret én a sima (nem unifis) EdgeSwitch-eket javaslom, az Unifi legyen csak a tányér meg kontroller páros. Egyik telephelyre elég a kontroller (ha még lehet kapni akkor Cloud Key gen2), L2-n átmegy majd a vezérlés. A Syno AD-be, amennyiben ez a Samba AD, be tudod léptetni a gépeket és a felhasználókat is és még az RSAT is működhet GPO-val. Backup: backblaze.com.

egy-pár észrevétel (de lehet, hogy már elkéstem ezekkel):

- ahogy már leírták, ne használj ilyen UI/Unifi routereket illetve tűzfalat, mert csak a szívás lesz vele. Maradj a OPNSense/PFSense vonalon, mert sokkal több funkciót kapsz mint az UI-val (és Mikrotik-t sem raknék le ilyen helyre, mert az egy router és nem egy határvonalra való tűzfal). Ha UI vonalon maradsz, akkor max. SWITCH vagy AP, vagy nézd meg az ArubaInstanOn vonalat. A OPNsense sima APU-n is elfut.

- a VPN kapcsolatoknál használj WireGuard-t

- én a telephelyekre nem raknék csak minimális eszközöket (AP-SWITCH-FW), hanem az egészet felhúznám valamilyen VPS szolgáltató alá (Azure/AWS/Rackforest), és mindenki ide dolgozna. A Dial-up VPN felhasználók is ide kapcsolódnának. Így nem fogsz szívni azzal, hogy ki-hova nem tud kapcsolódni, egyszerűsödik a konfig, mert mindenkinél ugyan az van (ugyan azt a fájl szervert érik el, ugyan az a login script, ugyan az a VPN konfig). (és nem függessz a telephely internet kapcsolatától sem). A felhasználói adatok legyenek SSD alapú meghajtón a VPS-n, a mentésük menjen el valamilyen S3 alapú block storage felé. Minél kevesebb eszközt kezelsz fizikailag, annál könnyebb lesz a dolgod, ahogy öregszenek el az eszközök. Ez így inkább OPEX alapú költség lesz, amit jobban szeretnek a cégek a CAPEX helyett. (és mivel nincs fizikai eszközöd a site-n a fizikai védelem is egyszerűsödik)

- mivel kevesebb a fizikai eszköz, ezért kevesebb csereeszközt kell tartalékolni. 

- annak, hogy egy helyre dolgoznak a felhasználók megvan az az előnye is, hogy könnyebben érik el a különböző site-okon lévő felhasználók egymás adatait.

- használj rendes Windows szervert illetve Windows alapú AD-t, mert ez fog a kliensekkel a legjobban működni, és más funkciót is fel lehet rá telepíteni. (kliens management, antivirus console stb).

- lehet használt eszközöket vásárolni, a probléma velük a következő: minél öregebb az eszköz, annál többször fogsz belefutni abba, hogy valami (pl management console) nem fog működni rajta, probléma lesz a meghajtó programokkal vagy a hypervisor fog reklamálni valamiért. A másik indok, hogy mikor új eszközt vásárolunk, akkor rögtön veszünk rá licencet is, és így az eszköz egész életciklusa alatt ugyan az a licenc van hozzá kötve (kb 5 évig). Utána eszköz csere ami hozza magával a licenszek cseréjét is. Ha 1 év után kihullik a régi hardver az új licensz alól, akkor majd lehet okoskodni a licenszek "mozgatásáról".