Vigor vs Mikrotik - Kicsi de bővülő irodába kezdéshez

Hálózatok egyéb

Sziasztok!

Egy pár fős de később irodába keresek megbízható routert. Jelenleg semmi nincs, hálózat is most lesz csak kábelezve, szolgáltató vadászat folyik épp.
Amit tudok eddig:
- legalább két net lesz, kezdetben az egyik lehet hogy csak mobilnet.
- a két net oka: biztos hogy legyen mindig net, lehessen dolgozni
- kívülről VPN-ezni tudjanak távdolgozó kollégák (kb 5 fő kezdetben)
- belül VLAN-on szeparálni lehessen szervereket, gépeket
- kb. 3-5 lokál gép LAN-on (jellemzően laptopok)
- 1 server gép, virtualizált OS-ekkel, kezdetben csak 2-3 linux
- Synology NAS fájlszerverként
- wifi: 1 vendég és egy dolgozói SSID.
- fix IP
- kifelé semmi NAT, max 1 SSH, kulcsos auth-al, szervíz céllal.

Wines kliensek, de nem lesz tartományvezérlés, AD, stb, sem pedig hálózati meghajtók. A Synology lát el minden fájlszerver funkciót, a Cloud részét használva (kvázi Dropbox, csak bent van a "túlfele is"). A munkaerő dolgozik a lokál gépen, laptopon, és folyamatosan syncelget a Synology-ra. Ennek megfelelően az elsődleges feladat, hogy bent is és kívülről is (VPN) probléma mentesen el lehessen éri a Synology-t.

Gondolva a továbbiakra is, nem SOHO routerben, vagy kicsit erősebb SOHO+OpenWRT kombóban gondolkodom, szerencsére van keret a komolyabb routerre is.
Ennek megfelelően egy DRAYTEK Vigor 2925n -t néztem ki, de találtam itt pár posztot, ahol fagyásokról, olvastam. Magamtól azt gondolom hogy ezért az árért ilyenek nagyon nem férnek bele, ezért alternatívaként felmerült a Mikrotik is.
Sajnos egyik márkával sincs tapasztalatom, ezért szívesen venném a tapasztalataitokat, ötleteket. Mikrotikkel már játszottam (Virtuális gépen Mikrotik OS + Winbox konfig), de még a régi időben egy OpenVPN-t kellett beállítanom, és az a régi fw-n nagy szívás volt.
Célom: VPN-t egyszerűen lehessen felhasználónként karbantartani, vagyis ha jön valaki tudjak usert/passt vagy kulcsot adni neki, ha pedig táévozik a cégtől egyszerűen vissza lehessen vonni ezt a jogot. (Egyelőre nem kell LDAP, stb. de jó lenne ha azért tudná a készülék).

  • 4875 megtekintés

( Carter | 2016. 09. 09., p – 09:00 )

Subscribe

[Témán kívül hozzátenném - igaz fel sem merült - hogy Ubiquiti routert ne vegyél :)]

( Mik v | 2016. 09. 09., p – 09:18 )

Ez egy kicsit drágább:
Fortinet FortiGate-50E
Mikrotiken nemrég csináltam L2TP VPN-t, nem volt különösebben nehéz (a Fortin egyszerűbb :) )

( biokill | 2016. 09. 09., p – 09:27 )

UPDATE: Használt Cisco cuccok is szóba jöhetnek, mert elég jó áron vannak ebay-en...

A helyedben kerülném a Cisco eszközeit. Ha már ebben a méretben gondolkodsz pláne ebay-ről, akkor inkább Juniper. Ami Cisco-ból alsó árkategória, az olyan is. Ahhoz képest pedig drága. Ami pedig jó, az árban túl van értékelve. Egyetlen érv a Cisco mellett az, ha abban van nagy gyakorlatod.

( khiraly | 2016. 09. 09., p – 10:19 )

lehet samba-t domain controllernek es synology-t beleptetni domainbe.

Ha nem akarsz gepenkent jelszoval pocsolni...

---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

( hawk | 2016. 09. 09., p – 10:29 )

Mikrotik: mert olcsóbb, tisztább, szárazabb érzés :D

Amúgy meg csak azért mert ár/érték arányban verhetetlen és midnent tud, amit csak el tudsz képzelni.
Beállításához se kell NASA mérnöknek lenni de azért igényel némi alap tudást.

Legutoljára a Vigor-okkal a 2900-as szériával volt tapasztalatom és nagyon nem volt szimpatikus.
Fagyott meg teljesítményben is kevés volt....

+1 a Mikrotik-ra

Bár, a Vigor-okat nem ismerem (talán nagyon régen került a kezembe egy, de az FW-ben nem tudott többet, mint bármilyen SoHo szappantartó - ami ide kevés). MT-vel szinte bármit meg tudsz oldani. Ha kevés a teljesítmény, áttöltöd a configot egy erősebb vasba és megy tovább.

Most már elvileg személyre tudod szabni a webGUI-ját, így ha kell, tudsz csinálni egy butított interface-t, amin csak a VPN usereket lehet matatni. Viszont - ha jól emlékszem - magán a router-en nem tudsz kulcsokat generálni a user-eknek, azt kívül kell megoldanod.
DE, ha redundáns nettel tervezel, akkor lehet, hogy a VPN szervert én nem vinném be az irodába, hanem egy külső VPN szolgáltatót használnék, ahova az irodai router is az épp aktuális neten jelentkezik be.

----------------------------------^v--------------------------------------
"Probléma esetén nyomják meg a piros gombot és nyugodjanak békében!"

Köszi a meglátásokat.
http://www.draytek.com.sa/livedemo
Itt megnyomkodtam kicsit a felületet, és ... Hát egyelőre nem szimpatikus a Vigor. Ha már úgy is újat kell feltérképezni, akkor célszerűbbnek látom a Mikrotiket vagy a Cisco-t mélyebben (mondjuk a Cisco más világ...)

Klasszikus openvpn esetén a kliensnek aláírt certben szereplő név alapján is tudsz azonosítani, akár user/pass nélkül is. Mikrotik esetén követelhetsz ugyan kulcsos azonosítást, de bármilyen érvényesen aláírt cert megteszi, és ezen kívül mindenképpen kell user/pass. A továbbiakban csak user/pass alapján tudsz rá hivatkozni, a certben szereplő név figyelmen kívül marad. A mikrotik, és a standard openvpn sem rendeli össze a user/pass párosokat a kiadott certekkel. Ez a mikrotik esetén azt jelenti hogy az aláírt kulcs - bár kell a csatlakozáshoz - a felhasználók egymástól eltérő azonosításához lényegében nem lesz használható, az továbbra is csak a user/pass ismeretén alapul. Standard OVPN esetén ezzel ellentétben a felhasználók automatikus beazonosítása kulcs alapján is megoldható.

Tudsz esetleg módszert arra, hogy a RouterOS-ben egy kulcshoz hozzárendelhessek egyetlen érvényes felhasználónevet, vagy más módon megoldjam hogy a felhúzott TUN interface egyértelműen kulcshoz (is) kötődjön, ne csak user/pass-hoz? Lehet esetleg valamilyen scriptet húzni a loginokra? Kérlek oszd meg velem ha létezik erre megoldás, kifejezetten hasznos lenne számomra.

A ROS jelenleg elég béna OVPN megoldást ad. Ennek tulajdonsága pl. hogy tcp only, és hogy egy instancia futhat. Ehhez még hozzá, hogy ez össze van hekkelve a saját user authjával.
Amúgy erre gondoltam, hogy nem értettem mire írod, mert a kulcs és az azonosításból másra asszociáltam. Persze messze előrébb volt szó VPN-ről, de nem gondoltam, hogy arra vonatkozóan írsz.

( STP | 2016. 09. 09., p – 12:21 )

Csak roadwarrior VPN-t szeretnél?
Hány konkurens felhasználóval?
Soha nem lesz site-to-site VPN?

Roadwarrior VPN - "utcai harcos" - azon felhasználói VPN végpontok, amik jellemzően nem köthetőek konkrét helyhez vagy infrastruktúrális elemhez, mivel a felhasználó rendszeresen mozog. Tipikusan ilyenek az üzletkötők, karbantartók, vagy más az ügyfeleknél/terepen rendszeresen munkát végző és onnan bejelentkező kollégák. Gyakorlatilag a site-to-site vpn ellentéte.

Zavard össze a világot: mosolyogj hétfőn.

Szerintem ha már PC, akkor inkább valamilyen stock Linux. RHEL/CentOS-sen például remek firewall toolok állnak rendelkezésre, pl FirewallD.
A kényelmes kulcs és VPN kezelés miatt Zentyal (csak routerként) is jó választás lehet PC-re.
RouterOS-hez kell egy legalább Level4 licenc, amit Microtik vásárlásához automatikusan kapsz, de PC-hez külön kellene beszerezni. Vannak akik vásárolnak régebbi Microtik routert olcsón csak az L4 licencért és ezt viszik át PC-re. De ez a lehetőség nálam soha nem ütötte meg az ingerküszöböt, ezért tapasztalatom nincs vele.

Másik lehetőség PC esetén a jól bevélt OpenWRT, ami PC hardver alatt is jól teljesítő és biztonságos router rendszer.

Igen, a témát indító biokill nem árérzékeny. Viszont mások is olvassák ezt, akiknek hasznos lehet. Néha évekkel később is újraélednek hup fórumok. :)
Különben ha újra elolvasod amit írtam, biokill-t lebeszéltem erről a megoldásról.
Egyébként teljesen egyetértek veled. Ha valaki PC-re akar RouterOS-t vegye meg közvetlenül a licencet. Más kérdés, hogy a RouterOS elsősorban Mikrotik hardveren jó választás. Ott tudja maximálisan kihasználni a hardver képességeit. Szvsz PC+RouterOS azoknak jó, akik már megszokták, nagy gyakorlatot szereztek RouterOS környezettel, és valamilyen okból PC hardveres routerre van szükségük. Pl. extrém nagy terhelés.

Szerintem sem vihető át (max. PC-s licensz másik PC-re, de azt is úgy kell kisírni a support-tól). Ellenben ~12e HUF egy PC-s L4 licensz + egy csomó mindenhez (tanfolyam, MUM konferencia) ajándékba dobálja hozzád a MT - szóval értelmét sem látnám a szívásnak

----------------------------------^v--------------------------------------
"Probléma esetén nyomják meg a piros gombot és nyugodjanak békében!"

( timi | 2016. 09. 09., p – 12:31 )

"Célom: VPN-t egyszerűen lehessen felhasználónként karbantartani, vagyis ha jön valaki tudjak usert/passt vagy kulcsot adni neki, ha pedig táévozik a cégtől egyszerűen vissza lehessen vonni ezt a jogot. (Egyelőre nem kell LDAP, stb. de jó lenne ha azért tudná a készülék)."

Ha ez kiemelt célod és nem vagy barátságban a parancssoros környezettel, akkor szóba jöhet még Zentyal is bármilyen alkalmas PC hardveren. Egyszerű és jól átlátható felülete van OpenVPN adminisztrálásra.

A router célhardverek közül egyértelműen a Microtik-et ajánlom. Itt routerboard-ot részegységként is vásárolhatsz és összerakhatod PC-hez hasonlóan a számodra ideális routert.

Az OpenWRT egyáltalán nem "komolytalan" router rendszer. Az alatta levő elterjedt hardverek miatt gondolják ezt néhányan, minden alap nélkül. Microtik-re is lehet különben tenni OpenWRT, de mivel a RouterOS tudja csak maximálisan kihasználni a Microtik hardver egyedi komponenseit, ezért az erre jobb OS választás.
Ha nagyon tapasztalt vagy OpenWRT adminisztrálásában, akkor PC-re is telepíthető.

Nem az 5 kliens fogja hazavágni hanem ha elkezdenek forgalmazni rajta.
Tapasztalatom szerint a SOHO kategóriás RB7xx,RB9xx,RB2011,CRS szériákkal kb 10 Mbps normál titkosítású VPN-el már koppolni lehet a CPU-t.
1100AH-val 50-100Mbps körül van a vége VPN típus és titkosítás erősségétől függően.
1100AHx2-vel fölé tudsz lőni ezeknek de akkor már a CCR szériával jobban jársz.

"Itt routerboard-ot részegységként is vásárolhatsz és összerakhatod PC-hez hasonlóan a számodra ideális routert"

Ennek irodai router esetén nem sok jelentősége van. Bizonyos SoHo eszközök ugyanezek a board-ok bedobozolva, táppal ellátva (olcsóbban, mintha darabokban vennéd), más kész SoHo eszközök viszont már a "csupasz" board-oknál jóval többet tudnak (portszámban, memóriában, stb.)
A legózásnak csak WiFi linkek esetén van jelentősége, hiszen, amit egyáltalán variálni tudsz, az a WiFi kártyák típusa és mennyisége az alaplapban.

----------------------------------^v--------------------------------------
"Probléma esetén nyomják meg a piros gombot és nyugodjanak békében!"

Szvsz te értesz félre :) (mint "irodai router", mint "SoHo eszköz" én a MT termékpalettán belül értettem!)
Nem vagyok guru, de otthon vagyok MT-ben, használom pár éve. Ethernet router-en nincs mit legózni, max. bedobozolni.

----------------------------------^v--------------------------------------
"Probléma esetén nyomják meg a piros gombot és nyugodjanak békében!"

Sajnos nekem a Zentyal annyira nem tetszett meg, ez akkor jön szóba ha Domain Controller mindenképpen kell. Akkor lehet nem vacakolok MAJD külön LDAP és Samba konfigolgatással, de első körben azt gondolom hogy lesz egy külön LDAP szerver, a routing feladatokat pedig ne ugyan az fizikai eszköz lássa el. Szóval a PC a routingra kilőve, Mikrotik + Zentyal SAMBA és LDAP-ra szerintem szóba jöhet, de ez majd egy következő lépés lesz.

Szerintem a Zentyal fő funkciója az email szerver eléggé gyenge. De erre pont jó, főleg a kényelmes gui admin miatt. A két gépes megoldást jó ötletnek tartom én is. Ha egy erős PC vason megy az OpenVPN, akkor az egész stáb egyszerre akár HD videokonferenciázhat is VPN-en, az sem jelent problémát. Vagy nagy fájlok VPN-en való átvitelében sem az OpenVPN szerver lesz a szűk keresztmetszet.

( fairlane | 2016. 09. 09., p – 14:09 )

Leharcolt használt Cisco-t ne vegyél (főleg ne EoL-t). Ha Cisco, akkor új és 1-3-5 év támogatással, de az meg nem két fillér (Az Enterprise kategória).
Mikrotik inkább, mint Vigor. Nagyobb a választék. :)

Ami szerintem még kritikus tud lenni, az a támogatottság (pl.: milyen gyorsan javítanak ki egy már publikus sebezhetőséget, milyen a support, stb.).

--------------------------------
...except the gyevi bíró

( Fr3d | 2016. 09. 09., p – 19:48 )

Árban durvább mint egy mikrotik, de egyszerű, jó cucc: Cisco Meraki. MX tűzfal appliance pl MX64 ( https://meraki.cisco.com/products/appliances/mx64 ), meg teszel mellé egy alap ac2-es AP-t.
A Wifi is meg lenne oldva.
Azt hiszem ha most 3 éves license-t veszel, 4 évig lesz érvényes.

( poperator v | 2016. 09. 09., p – 20:34 )

Ugyan nem irtad mivel akarsz virtualizálni,
de a pfsense pöpecül megy esxi alatt.
Ha mégsem válik be akkor később is válthatsz külön tűzfalra.
A wifi-t meg megoldhatod egy mikrotik AP-val, igy azt oda teheted
ahol a leg optimálisabb a helye.

( uid_15426 | 2016. 09. 09., p – 21:10 )

En itthon, privat celra a Linksys LRT224-et hasznalom. Azert vettem ezt, mert eleg gyors, es dual-WAN, azaz ket netkapcsolatra fizetek elo ket kulon szolgaltatonal, es tud aggregalni, failoverelni, satobbi. Sajat tapasztalatok szerint 900 mbitet routol WAN->LAN iranyba, tamogat IPSec-et es OpenVPN-t is. VPN-en keresztul kb. 70 Mbit/sec-et tud.

----------------------
while (!sleep) sheep++;

( Imo | 2016. 09. 10., szo – 15:18 )

Csak azt irnám, hogy mit ne.
Pl. 100 ezres cisco-t se.
Cisco VPN RV325, dual wan routerként van hirdetve, ehhez képest képtelen a két külön wan-on adott portot máshova forwardolni.
Nekem az kellett volna, hogy az egyik wan-ról a 443-as port az egyik szerverre menjen, a másik wan-ról ugyanez másik szerverre és nem lehet megcsinálni. Nálam maradt a vigor, olcsóbb, többet tud és nem volt még olyan, hogy újra kellett volna inditani probléma miatt. (3 éve megy)

( angelo | 2016. 09. 12., h – 09:04 )

Én Mikrotik routerboard-ot választanék a feladatra. Ha nem kell bele a WiFi, mert lesz külön AP, akkor az RB750GR2 alias hEX routert, ha kell a WiFi akkor RB2011-nek a WiFi-s változatát.

Jók a netes doksik, ha egyszer beállítottad akkor stabilan mûködik.

( biokill | 2016. 09. 12., h – 13:33 )

Köszönöm szépen az eddigi sok hozzászólást, meglátást, igyekszem mindegyikre külön a szálban is válaszolni.
Jelenleg ezzel szemezek, használtan:
Cisco 892W-AGN-E-K9
Ha jól gondolom ez a terméklapja:
http://www.cisco.com/c/en/us/products/collateral/routers/800-series-rou…
Kicsit megtévesztő, hogy sok helyen 100-asnak írják a LAN portokat, de a Cisco oldalán gigásnak látom + fel nem fognám, hogyha WAN oldalon gigás a két port, akkor miért pont LAN-on lenne kevesebb...

Megnézem még hogy ne end-of-line cucc legyen, de erről a családról mi a vélemémyetek? Ha nem is a wifis eszköz, de ez a család + hozzá 1 N-es AP az egyik LAN porton, ha az úgy árban kedvezőbb.

Az kezd biztossá válni hogy 100 fölé is lehet menni, de 200 alatt kell maradni.
Továbbá biztosan elvetésre kerül a PC alapú megoldás most. Virtualizálva semmiképp nem futtatnám a "routert", pl. Pfsense. Mert ha pont az egyelőre egyetlen darab szerver gépnek lesz baja, akkor távolról rá se tudok nézni, ha a router is rajta megy.

erre a ciscora pont kint van az eol: http://www.cisco.com/c/en/us/products/collateral/routers/800-series-rou…
És igen amit pont ilyen, gondolom jobb sávszél kihasználtság miatt.

Ebből a vonalból inkább a Cisco 892FSP-t választanám külön ap-val.

A PC-s dolgot én sem értem, mi a különbség 1db dual wanos router és egy szerver között? Ha elszáll a router a szervert akkor sem fogod tudni elérni.
Szerver mellett szól, hogy lehet dupla tápos, raid tömbös ami már nagyobb redundancia mint egy soho router.

Az utóbbi mondatra reagálnék: pl Mikrotik-nek szinte minden routere "dupla tápos".
A Mikrotik routerrel minimális befektetéssel tudsz VRRP-vel "hot-spare" konfigurációt, de a legtöbb esetben elég, ha
a polcról leveszed a tartalék routert és betöltöd a konfigot (avagy alapszinten konfigolva van és monjduk napi mentésed van róla)

Ezt hogy érted, dugasztából lehet 2db-t beledugni?

Ez hasonló gondolom mint a cisco-s hsrp, de ehhez wan oldalon is 2 ip kell. Arról a kérdező nem nyilatkozott, hogy ilyen kell e neki.

Engem az érdekelt miért dobja egyszerre a virutális gépet és miért csak fizikai vasban gondolkodik.

"Ezt hogy érted, dugasztából lehet 2db-t beledugni?" - ahogy mondom. Minden RB,amin van PoE és power jack megy 2 táppal. az lesz az "éles" amelyiken magasabb a tápfesz

"Ez hasonló gondolom mint a cisco-s hsrp, de ehhez wan oldalon is 2 ip kell." - nem feltétlen kell. Jó, a VRRP-hez igen, de scripttel megoldható az, hogyha nem látja a másik routert, akkor felveszi az IP-t a WAN oldalra.
Avagy ha LAN oldalon Ő a VRRP master - mert a másik kiesik, akkor a WAN oldalon is.

Hát... Ugyen erre jutottam tegnap kb. én is...
Egyrészt EOL, másrészt a Cisco oldala ugyan gigásnak írja a LAN portokat, de minden máshol 100 Megásak a leírásban, és láttam egy konzol startup logot is, ahol mikor kelnek fel az interfészek bizony nem Gigabit belőlük csak kettő...
Így kezdek a PFSense felé hajlani... Egyrészt ha ledöglik akkor kb 1 órán belül összelapátolható egy mezei PC-ből átmenetei HW, amire feldobom a mentett konfigot és boldog vagyok, másrészt azért talán a legolcsóbb szerver hw-kből is elég stabil megoldást ki lehet hozni.
Amin gondolkodom: a legolcsóbb HP Proliant DL20 https://ipon.hu/webshop/product/hp_proliant_dl20_gen9_g4400_3.3_ghz_2_c… másrészt a lent is említett Pfsense HW-k: SG-4860 és SG-2440. Proliant mellett szól, hogy az aztán ki bírja hajtani a VPN-t, nem hiszem hogy mem/cpu gond lenne, viszont lehet hogy hangos. Pfsense HW mellett meg a hangtalan kivitel és "kész megoldás" szól. Viszont ott a CPU nem épp izmos.

Hát nemtom, szerintem inkább vennék 2 kb. ugyanolyan használt gépet (nem kell túl kiépítettet venni), tennék bele ugyanannyi hálókátyát és bekonfigolnám ugyanúgy a kettőt. Színkód a kábelekre és a hálókártya portokra, és ha az "aktív" vas ledől akkor "pirosat a pirosba" alapon egy majom is át tud dugni 3-4 kábelt (wan1, wan2, lan, dmz) egyikből a másikba. Ettől még lehet raid, redundáns táp, apámph*sza is alatta.

A fenti dl20g9 árából majdnem kijön két ilyen, és ebben már van redundáns hotswap tápod az egy darab nem hotplug helyett, és van 4 LAN portod is az 1 helyett (ha el nem írták).

Igen, amit te néztél ki az tényleg 1GE és 1 FE wan-os és 8 FE lan-os. Megtaláltam a datasheet-jét is, ott írják is.
http://fr.router-switch.com/cisco-890-series-integrated-services-router…

Hova tervezitek letenni a routert/szervert? Irodai környezetbe én ilyen vasakat nem tennék be, egy picikét hangosak :)
Egy állóval lehet jobban járnál pl: HP ML10

( abogothy | 2016. 09. 12., h – 20:41 )

Az SG-2440 típusú pfsense atom stabil egy ~20 fős irodában (vlan, siproxys, openvpn ipsec vpn) úgy hogy minden távol fut...a belső szerverek is.

( biokill | 2016. 09. 19., h – 07:48 )

Sziasztok!

Köszönöm szépen a sok segítő hozzászólást, javaslatot.
A PC megoldást el kellett vetünk a megrendelő kérésére, így végül Mikrotik lett: CCR1009-8G-1S-PC
https://routerboard.com/CCR1009-8G-1S-PC

A kiválasztás első lépése a link alján lévő performance információk tanulmányozása volt.
Első próbák során eddig nagyon elégedettek vagyunk, igaz még nem a végleges helyén van.

egy dologra figyelj! Ha a CPU terhelést nézed, és csak 10%-t mutat, akkor lehet, hogy az összes mag 10%-a ki van hajtva, de valószínűbb, hogy 1 mag 100%-ra.
Ilyenkor ha a scheduler neki dobja a feladatot, akkor szívás tud lenni.
Egyébként jó cucc.

site to site nincs. (később lehet hogy lesz) De azonos külső címről akár ketten, hárman is jöhetnek.
Úgyhogy kell a road warrior, ahogy nézem SSTP lesz a befutó erre, csak ott egy gonddal több hogy certeket is kell csinálni, nem elég az user/pass páros. De inkább ez mint a PPTP...

( balazsasd | 2016. 09. 19., h – 09:52 )

Vyatta OS? ( vyos ), ez lényegében az ágyúval ágyúra esete lenne.

vagy szvsz ( ezért úgy is szét fognak szedni ) :

20-25 dolgozó kiszolgálására RB2011 ( vpn, usb, sfp, ami neked kell )
tőbbre, nagyobbra tervezve: RB1000-1200 ami épp van a boltokban, ez viszont már 70k+