( GaLbi | 2021. 11. 30., k – 14:19 )

egy-pár észrevétel (de lehet, hogy már elkéstem ezekkel):

- ahogy már leírták, ne használj ilyen UI/Unifi routereket illetve tűzfalat, mert csak a szívás lesz vele. Maradj a OPNSense/PFSense vonalon, mert sokkal több funkciót kapsz mint az UI-val (és Mikrotik-t sem raknék le ilyen helyre, mert az egy router és nem egy határvonalra való tűzfal). Ha UI vonalon maradsz, akkor max. SWITCH vagy AP, vagy nézd meg az ArubaInstanOn vonalat. A OPNsense sima APU-n is elfut.

- a VPN kapcsolatoknál használj WireGuard-t

- én a telephelyekre nem raknék csak minimális eszközöket (AP-SWITCH-FW), hanem az egészet felhúznám valamilyen VPS szolgáltató alá (Azure/AWS/Rackforest), és mindenki ide dolgozna. A Dial-up VPN felhasználók is ide kapcsolódnának. Így nem fogsz szívni azzal, hogy ki-hova nem tud kapcsolódni, egyszerűsödik a konfig, mert mindenkinél ugyan az van (ugyan azt a fájl szervert érik el, ugyan az a login script, ugyan az a VPN konfig). (és nem függessz a telephely internet kapcsolatától sem). A felhasználói adatok legyenek SSD alapú meghajtón a VPS-n, a mentésük menjen el valamilyen S3 alapú block storage felé. Minél kevesebb eszközt kezelsz fizikailag, annál könnyebb lesz a dolgod, ahogy öregszenek el az eszközök. Ez így inkább OPEX alapú költség lesz, amit jobban szeretnek a cégek a CAPEX helyett. (és mivel nincs fizikai eszközöd a site-n a fizikai védelem is egyszerűsödik)

- mivel kevesebb a fizikai eszköz, ezért kevesebb csereeszközt kell tartalékolni. 

- annak, hogy egy helyre dolgoznak a felhasználók megvan az az előnye is, hogy könnyebben érik el a különböző site-okon lévő felhasználók egymás adatait.

- használj rendes Windows szervert illetve Windows alapú AD-t, mert ez fog a kliensekkel a legjobban működni, és más funkciót is fel lehet rá telepíteni. (kliens management, antivirus console stb).

- lehet használt eszközöket vásárolni, a probléma velük a következő: minél öregebb az eszköz, annál többször fogsz belefutni abba, hogy valami (pl management console) nem fog működni rajta, probléma lesz a meghajtó programokkal vagy a hypervisor fog reklamálni valamiért. A másik indok, hogy mikor új eszközt vásárolunk, akkor rögtön veszünk rá licencet is, és így az eszköz egész életciklusa alatt ugyan az a licenc van hozzá kötve (kb 5 évig). Utána eszköz csere ami hozza magával a licenszek cseréjét is. Ha 1 év után kihullik a régi hardver az új licensz alól, akkor majd lehet okoskodni a licenszek "mozgatásáról".