L2 (bérelt vonal) titkosítása (volt: Site-to-site VPN)

Hálózatok általános

Sziasztok!

Bérelt vonalat kapunk, Layer 2 szinttel.
Tud valaki támogatott eszközt, ami bridge-ként titkosítva összeköti a két végét?

Egyszerű, buta és gyors eszköz kellene.

[Szerk: ez volt korában, de a VPN szerintem túl sok ide]

Megoldást keresek egy cég két telephelyének olcsó (talált Cisco routerrel 2x6MFt, olcsó Juniperrel is 2x3MFt -t mondtak) de megbízható összekötésére.

Az 500Mbit-es optikai kábelen jönne a telefonközpont, internet, és mellette a VPN.

Egyéb fejlesztéseket végzünk ennek a cégnek, és megkértek, hogy segítsünk nekik ennek a kitalálásában, megvalósításában - de mi nem értünk hozzá.

Szeretnék megoldási javaslatot (hardware + szoftver + összeállítás + karbantartás), hozzávetőleges árakat (ha úgy való, ár jöhet privátban is)!

Szerk.: ha nem egyértelmű, nem is VPN kellene, hanem a bérelt vonalra szeretnének titkosítást. Tehát nem is biztos, hogy VPN a jó szó erre...

Szerk. 2: Olyan vállalkozót keresek, aki 1.5MFt keretből meg tudná valósítani a két telephely titkosított összekötését bérelt vonalon (Ethernet dugót adnak a két végen) úgy, hogy vállalja az esetleges karbantartást is.
Fontos a forgalom priorizálása! A telefon forgalom elsőbbséget élvez, a mentés pedig kerüljön a legvégére.

Előre is köszönöm,
Gulácsi Tamás

  • 14296 megtekintés

( n.balazs v | 2013. 03. 25., h – 22:07 )

Kérdés, hogy mit vársz a vpn-től - teljesítmény, fejleszthetőség. Van-e esetleg statikus vagy dinamikus routolási igényed, akarsz-e forgalmat szűrni, netalán QOS-t használni, redundancia. 500 Mb/s kezeléséhez már komoly cucc kell.
Én a mostani helyemen pont a magasabb igények miatt - egyelőre 2 telephely, de később bővülhet, akarok dinamikus routolást, forgalmat is akarok szűrni, több külső hálózati kapcsolat van (3-3 szolgáltató/telephely) - úgy döntöttem, hogy a legolcsóbb 2 szervert letenni a végpontra és mindent meg tudok így oldani. Egy linuxot vagy BSD-t beállítani erre a célra nem ördöngőség. Továbbá a teljesítménnyel se lesz így gond.

Elvileg elég a statikus routolás, nem kell szűrés, de QoS kell (hang priorizálás).

Látatlanban én is erre ("linuxot vagy BSD-t beállítani erre a célra nem ördöngősség") jutottam, csak a szakértelem hiányzik - programozó vagyok, nem rendszergazda, főleg nem hálózatos.

Pont ezért keresnék valami támogatott, kattintgatós (web) felületű, polcról leemelve cserélhető megoldást. Valami Mikrotik?

GT

A mikrotik sem egyszerűbb jelen esetben erre. És a standard mikrotik hw lehet kevés ha magas a VPN sebesség. Keress meg egy céget ezzel aki ad ajánlatot. PC-PC kapcsolat nagyságrendileg olyan 700e-ből kint van hw szintjén ha kell a nagy sebesség (100Mbit/s felett) VPN-re, kb 50-100 között be is konfigurálják, és adnak hozzá támogatást is (pénzért)
A mikrotik is lehet ezen a PC-PC kombón, ha az szimpatikus neked.

( neutrino v | 2013. 03. 26., k – 08:28 )

Ha nem értetek hozzá, akkor miért kellett elvállalni?
-------------------------
127.0.0.1 SWEET 127.0.0.1
AMD Athlon X2 245E@3,1 GHz OC, MSI Radeon 6770 1 Gb GDDR5, Seagate Barracuda, Windows 7 Enterprise

Ezzel foglalkozó céget kell bemutatni nekik. Szerintem ezzel többet segít a téma felvetője, mint kontármunkával.
De hazánkban gyakran a kontármunkát is igen tévesen segítségnek hívjuk.

Pedig nem szégyen a megfelelő témára az adott témához értő SZAKEMBERT ill. ezzel foglalkozó vállalkozást hívni.

( willy v | 2013. 03. 26., k – 09:39 )

Tudom barkácsnak hangzik, és tudom hogy nem ezt várod, de talán alternatívának a javaslat mellé oda lehet tenni.d Az OpenVPN 200-250 Mbit/s-ig egy erősebb gépen elvisz kapcsolatot. Nem tudom mekkora a sávszélesség igény.

( junior013 | 2013. 03. 26., k – 10:08 )

Ha nem ragaszkodnak a "nagy nevekhez", akkor 2 megfelelő MikroTik megoldhatja a dolgot.
mondjuk ez: http://routerboard.com/RB1100AHx2
vagy, ha nagyon biztosra akartok menni, akkor ez: http://routerboard.com/CCR1036-12G-4S

Az még kérdés lehet, hogy milyen VPN-t szeretnél használni (vagy mindegy, csak minél nagyobb kihasználható sávszéllel össze legyen tunnel-ezve a 2 telephely?)

csak kötözködésképpen kérdem, hogy mekkora VPN áteresztés sikerült neked a fenti eszközökkel realizálni?
csak azért kérdem, mert az 1100AH (pre-production, uazzal az AES accel hw-val mint az x2-ben) esetén nekem overclockolva is max ~350-400mbps sikerült (halfduplex).

A CCR kódja pedig még nem tudja kihasználni a beépített hw acceleratort. Arról nem is beszélve, hogy a ROS6 még közel nem végleges - és a supportja is olyan amilyen.

Az 500M bérelt vonal ára nem két fillér. Ha nem hiszed el a szolgáltatónak, hogy nem hallgat le, és olyan érzékenyek az adataid, akkor vagy két komoly PC-t a két végére (persze, egyet a polcra is tartaléknak), vagy célhw-t veszel, szerintem.

"A másik routerhez (a 36 magoshoz) mit szólsz? "

mint írtam fentebb: A CCR kódja pedig még nem tudja kihasználni a beépített hw acceleratort. Arról nem is beszélve, hogy a ROS6 még közel nem végleges - és a supportja is olyan amilyen.

Tehát szép és jó, hogy van, DE a software még necces. A support méginkább. A software nem tudja optimálisan kihasználni a többmagos hardware előnyeit.

"Egyébként az X2 is látványosan gyorsabb mint az 1 magos"
igen - amennyiben jól párhuzamosítható feladatokról beszélünk. (pl a firewalling nem ilyen)
Amennyiben nem, úgy rosszabb is tud lenni.
Itt van az asztalon az RB1100AH-ból (még az IPSEC accel. protoból) egy, valamint egy RB1100AHx2.
Van olyan feladat amiben előbbi simán lefőzi az X2-t.

simán lehet, hogy 1 év múlva ez lesz az optimális megoldás a célra - de most még nagyon nem az.
(az megint más kérdés, hogy a beépített IPSec gyorsító mennyit tud - illetve magonként van-e.
az 1100-ban lévő ~350mbps-t tud, halfduplex)

Azért írtam egyébként, hogy az X2 látványosan gyorsabb mint az egymagos, mert nemrég cseréltem le egy tűzfalat amelyen ~1500 natsor, kb. 100 queue van és bizony a procihasználat a fele lett az addiginak. Tehát valamit nagyon jól csináltak a mikrotikben. Igaz ez az eszköz nem használ titkosítást, de összehasonlítási alapnak jó lehet. Ez a 36 magos cucc nagyon piszkálja a csőrömet, egy jó Cisco alternatívát látok benne - 30-ad áron.

azért egy dologra figyelj: amikor a procihasználatot nézed, akkor is 50%-t mutat, ha
- mindkét proci 50%-ig van tekerve (ez jó)
- a két prociból 1db 100%ig ki van hajtva, a másik üresen jár (ez nem jó)

mivel kód nem teszi lehetővé (tudtommal) azt, hogy az 1500 NAT szabály külön magon legyen végrehajtva,
így azok mindíg uazon a magon lesznek végrehajtva. Ez hasonlóan igaz a queue-ra is.
Röviden: nézegesd meg, hogy a fenti két eshetőségből nálad melyik van. (system resource cpu print)
ha az egyik procid fullra jár, a másik pedig üresen, akkor nem érzed magad átverve?

Ismételten: HA (ismétlem, HA) kiforrott mind a hardware, mind a software ÉS megfelelő (lenne) a support, AKKOR jó alternatíva.
Jelen pillanatban egy olyan alternatíva, ami bizonyos feladatok eseték simán lepipálja a Cisco-t teljesítményben és árban. DE ha valami nem működik, ill. nem úgy működik ahogy kéne, akkor hová nyúlsz?
Nem mondom, hogy nem lehet használni a Mikrotik termékeit, de van velük gond rendesen. Újabban ilyen-olyan scripteket kell farigcsálni, hogy a felakadó átvitel (pl bridge, wireless, ethernet) ne okozzon kiesést.

Hálistennek az értesülésed rossz. CPU1/CPU2 Load: 30/35 IRQ: 31/35
Simán szétrakja a procik között a tűzfal kezelését. Az öszload: 32% Persze ezek az értékek ugrálnak, de a 2 mag között 5% eltéréstől sosincs több. Ezen router elődje egy RB1000 volt, ott ebben a napszakban már 60-70% CPU load volt. (mindkét vas 1333MHz-en megy) Ja, ppc-v5.24 szoftverrel.

( szerjozsa | 2013. 03. 26., k – 11:12 )

Be tudok segiteni. Ha erdekel, irj privatban!

( gthomas | 2013. 03. 26., k – 14:25 )

Mindenkinek köszönöm a hozzászólást, látom jó helyen tettem fel a kérdést: van hozzáértő bőven.

Egyelőre a lehetőségeket mérem fel - egyre inkább azt látom, hogy nem konkrét javaslat kell, meg segítség a felkonfigurálásban, hanem valaki(k), aki ad ajánlatot a két izére az optika két végére, telepíti, konfigurálja és néha karbantartja.

Hiszem, hogy meg tudnám csinálni magam is kég dzsunka pc-vel a két végé, vért izzadva, de nem vágyom rá.

GT

( gthomas | 2013. 03. 27., sze – 14:27 )

Szerkesztettem, a csili-vili tűzfalas megoldásra más kapunk ajánlatot, buta L2 titkosító bridge-re még nincs.

( hackac | 2013. 03. 27., sze – 14:32 )

Ha transzparens L2 titkosítás kell (nem L3, mint amire legtöbben lőttek), az nem lesz olcsó. Tavály év végén én is nézegettem eszközöket, de durva árak voltak.

Szerintem is elég lenne az L3.
Csak a megrendelő "hozzáértő" rendszergazdája olyan listát állított össze az igényekről, amik nehezen oldhatók meg L3 szinten (mondjuk sok nem is értelmezhető).

Leginkább az a benyomásom, hogy olyan megoldást szeretne, ami transzparens módon átvisz mindent, és "nem is létezik", azaz nem kell vele foglalkoznia, nem lát belőle semmit (VLAN-ok átvitele...), olyan mintha csak egy hálója lenne.
De azért tudja a QoS-t hogy a telefont priorizálhassa...

Na, itt most már azt nem értem, hogy ha
1., Ti nem vagytok szakcég, hanem programozók/szoftverfejlesztők
2., A megrendelőnek van egy "hozzáértő" rendszergazdája, aki kezeli, üzemelteti ezt az elég komolynak tűnő hálózatot és ezek szerint elég konkrét igényeket is meg tud fogalmazni vele kapcsolatban.

Miért nem utóbbi találja ki, dönti el és oldja meg ezt a problémát (külső céggel, vagy anélkül)?

Persze, mindez költői kérdés - ha tudnád a választ, gondolom nem lennél itt :)

( kreszan | 2013. 03. 28., cs – 12:03 )

Most itt komolyan arról van szó hogy 2 szájt ugyanazon az alhálón legyen? És ezért még fizet is valaki többet?
--
Kreszán K.
--

1) http://wiki.mikrotik.com/wiki/Manual:BCP_bridging_(PPP_tunnel_bridging)
gondolom a fenti linkre gondoltál csak nem sikerült rendesen beidézni.
2) ha már titkosítás, akkor PPTP-t szerintem inkább kerüljük

akkor már inkább:
3a) OpenVPN tunnel
3b) IPSec és ezen EoIP

szerk: az izmos gép alatt legalább komoly i5, de inkább i7 v újabb Xeon CPU-t értünk, ezekben már elvileg van AES commandset

( gthomas | 2013. 04. 19., p – 06:58 )

Ide jutott a dolog:

Szerk. 2: Olyan vállalkozót keresek, aki 1.5MFt keretből meg tudná valósítani a két telephely titkosított összekötését bérelt vonalon (Ethernet dugót adnak a két végen) úgy, hogy vállalja az esetleges karbantartást is.
Fontos a forgalom priorizálása! A telefon forgalom elsőbbséget élvez, a mentés pedig kerüljön a legvégére.

GT

( Cisco | 2013. 04. 22., h – 10:18 )

most olvastam at megint es lenne par kerdesem...
egy L2es berelt vonalat minek akarsz meg titkositani?
azt irtad hogy 500 Mbit-en internet es VPN. most akkor berelt vonal vagy internet?

----------------
www.dreamlite.hu