Sziasztok!
Hamarosan eljön a pillanat, hogy cseréljük a routereinket. Jelenleg Draytek-ek vannak.
10 telephelyről beszélünk, mindegyik telephelyen Fix IP-s bérelt vonal 20Mbps szimmetrikus vonallal.
Egy telephelyen 40Mbps szimmetrikus vonal, itt fogódik össze a VPN is. Tehát ez egy "erősebb" típus.
A 10 telephely össze van kötve site-to-site VPN-nel (IPSec/IKEv2), és vannak User VPN-ek is pár 1-3 darab/telephely.
Telephelyen belül 2 darab VLAN
Internet elérés korlátozva többféle tűzfal szabállyal -- bizonyos siteok elérése tiltva -- torrent meg ilyenek szintén tiltva ....
Azért az alkamazás szintű tűzfalig nem akarunk elmenni mert az nem kis büdzsé. De ha lehet a Draytek-nél jobbat ügyesebbet :)
Milyen router ajánlanátok erre a feladatra?
Néztem már Zyxel USG20-at a központba meg valami nagyobbat
80-100e / telephely még lehet beleférhet
Köszönöm előre is
Hozzászólások
opnSense ?
Mikrotik, zyxel szerintem, de masok mast mondanak.
(draytek elonye anno a jo tamogatas volt es talan most is jo tamogatas van ra, mar nem kovetem a gyartot)
+1 A Mikrotiknek. Tudjátok minden végponton cserélni a routereket?
A Zyxelek jók voltak, előnyük, hogy tudomásom szerint van rájuk IDS licensz, az nem rossz dolog, ha kell.
+1 Mikrotik
Wireguard és kész. Ekkora sávszéllre nem is kell nagy teljesítmény.
Én 800 szimmetrikusra használok ccr1009-et, 50 vlannal és kb ugyanennyi vpn-nel.
SonicWall
sztem mikrotik az router és nem tűzfal
kieg:
most látom a pénzügyi keretet - kirendeltségre használt sonicwall - központba új + ipsec lic.
For Whites Only meeting room!
Nem szükséges az app szint, azt írta. A Mikrotikkel remekül lehet simán csomagszűrés alapon tűzfalazni.
A csomagszűrés önmagában csak csomagszűrés, egy tűzfaltól, pláne ami a külső határvédelmet látja el, jóval többet szokás elvárni.
Világos, de a topiknyitó írta, hogy nem igénylik.
Hasonlóra nekem Mikrotik CCR1009-7G-1C-1S+PC van és szeretem. A sávszéljeim kicsit nagyobbak: a "központnál" 1000/1000 van, a többi helyen kevesebb de n * 100 Mbps így is.
Ha Mikrotik RB4011 kerülne minden helyre, akkor az teljesítményben és megbízgatóságban bőven tudá amit kell (sőt, ugye ez 8 Gbps sebességű route-olt forgalomra képes), és csak egyféle készüléket kellene tartani polcon meghibásodás esetére. Nem utolsó sorban aránylag olcsó. Az más kérdés, hogy mennyi idő alatt lehet bármit mostanában beszerezni (nem csak MT, hanem ez mindenre igaz).
A másik javaslatom az RB750Gr3 (hEX). Lehet rajta nevetni, de pont ugyan azt tudja, mint a nagyobbak, "csak" 2 Gbps route-olására képes. Az szerintem ide bőven elég. A megbízhatósága szuper, a műanyag kivitel és a dugasztáp ellenére (százával használjuk igen változatos hőmérsékletű és tisztaságú környezetben, nagyritkán kell egy tápont cserélni), és mindössze ~30 ezer Ft darabja. WG-dal 200 Mbps-t simán tud (ennyi a leggyorsabb uplink ahol ilyent használunk, nem tudom mennyi a WG CPU limites sebessége ennél az eszköznél).
MT esetében maradhat a jól bevált IKEv2, de akár Wireguard is választható (én utóbbira szavazok site-to-site kapcsolatra már). Kliens VPN-re meg ugye akármi mehet (IPsec, WG, OpenVPN egyaránt elérhető).
A tűzfala elég jó, script-ekkel akár dinamikusan változtatható, vagy akár távolról, SSH-n, API-n keresztül. Ha nagyobb modellre kell áttérni, akkor nagyjából féjdalommentes bonyolultabb konfig átemelése is. Nem utolsó sorban nincsenek visszatérő licencdíjak évente...
Az hogy mennyit tud routeolni az még kevés, itt a VPN miatt IPsec támogatás kell. IPsec-et sokkal lassabban tud mint sima routeot.
Itt érdemes megnézni a konkrét számokat: https://mikrotik.com/product/rb4011igs_rm#fndtn-testresults
Ezzel én tisztában vagyok, meg a linkelt táblázatot is ismerem jól. Abból is kiolvasható, hogy IPsec tunnelek esetében is tud ~2 Gbps sebességet a készülék, ami még mindig jóval több, mint a jelzett feladatnál az összes telephely összesített sávszélessége.
A megírt 8 Gbps route-képességet csak egy jelzőszámnak szántam a figyelem felkeltésére, ami alapján aztán a kérdező rá tud nézni a pontos specifikációkra, hogy neki megfelel-e a készülék valójában.
De ilyen alapon folytathatnám a sort azzal, hogy az IPsec-re megadott 2 Gbps sebesség megadása még kevés, mert OpenVPN alatt (ami MT-en kifejezetten rosszul van implementálva) összesen 10-20 Mbps-t fog tudni, mert a CPU-n egy szálon ennyi a limit, és nem gyorsítja a HW AES sem ezt a fajta VPN-t.
De ugye nem tudom, hogy a road warrior-ok szintén IPsec-en vagy mondjuk OVPN-en csatlakoznak, így ennek is majd utána olvas a kérdező - ha megtetszik neki egyébként az RB4011.
Ha van rá lehetőség (x86-s hardware kell alá), akkor Opnsense. Ha nincs lehetőség rá, akkor igazából nem marad más opció mint a Mikrotik.
Unifi Edgerouter valamelyik változata is beleférhet a keretbe a Mikrotik alternatívájaként. Hogy lehet-e kapni az más kérdés.
Zyxelnél licenc kell sok mindenhez -saját ipsec vpn kliens is már fizetős- árakat nézzétek meg.
https://blog.claryel.hu
https://mysupport.zyxel.com/hc/en-us/articles/360006999419--FAQ-Does-my…-
Zyxelhez kis FAQ* hogy mit kapsz úgymond csak simán a routerrel.
APU + pfSense. Ha az IKEv2 nem létkérdés, akkor Softether vpn. Ez alatt már csak a Mikrotik van.
Én jelenleg Zyxel USG illetve Ubiquiti UniFi tűzfalakat menedzselek (NISZ + backup link) és elég korrekt, könnyen kezelhető. Kórházak mennek róla több telephely, VPN és egyebek - erre több mint tökéletes. A büdzsé persze nagyon szűkös, ahogy nézem, de talán egy pici USG kijön - kérdés az, hogy ezekre a licencelt dolgok mennyire az alap konfig része és mi az ami pluszban fizetős.