Új hálózat Mikrotik-el

 ( Mortymer | 2018. április 17., kedd - 9:20 )

Üdv fórumtagok,
Cégünknél "kidobtuk" a Cisco ASA routert és egy RB1100AHx4-t vettünk, mivel közel 200 VPN alhálózatot kell kezelni és a régi routerre már nincs support. Ezt ajánlották.
Van közel 8 fizikai Server amiből 2 VPS-ket futtat. Közel 5-8 gépenként.
Jelenleg még nincs semmi sem szétszedve és az új Router itt "pihen" mellettem.
Gondolom célszerű a szervereket a Routerre közvetlenülk rádugni mert célirányosabb lesz a kapcsolat és nem Switcheken jut el a csomag.
Szeretném a véleményeteket kérni, hogy merre induljak.
Ha van köztetek aki szakavatottabb a témában az kérem jelentkezzen.
Mivel az idő sürget és szeretném ezt mielőbb beüzemelni ezért ha valakinek van egy kis szabadideje és tudna nekem segiteni azt meghálálnám. Nem vatikáni valutában természetesen.

Előre is köszönöm!

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Szia!

Még egy "kicsivel" többet ráköltötteket volna, akkor ilyet tudtatok volna beszerezni: http://www.wireless-bolt.hu/40024-nagy-teljesitmenyu-rack-szekrenybe/570911-cloud-core-router-ccr1009-7g-1c-1s-

Pontosan mi lenne a cél megoldás (VPN, NAT, DST-NAT, tűzfal stb)? Egy hálózati rajz, és az elvárások bővítése (bővebb infók) sokat segítene.

VPN kódolásban nagyon kevés a különbség a kettő közt, tehát ha nem használják ki maximálisan a route-ing teljesítményt, akkor kevésbé éri meg a CCR
RB1100AHx4 - 256 tunnels AES-128-CBC + SHA256 2154.9 Mbps
CCR1009-7G-1C-1S+256 tunnels AES-128-CBC + SHA256 2658.9 Mbps
1400 bytos csomagméretnél.

Szia!

Ha CSAK a tesztet nézzük, akkor a több, mint 550 Mbps elég jelentősnek mondható a CCR-javára. Bár az igaz, ha a sávszélességük kicsi, akkor persze nem lehet kihasználni a nagyobb sebességet, még a 1100X4 esetében sem.

Nagyon köszönöm a gyors választ.
Igen ez volt a második amit ajánlottak de végül az első mellett döntöttünk alapvetően hőmérsékleti megfontolások végett. Ennek passziv a hűtése ami az esetemben sokat jelent.
A távoli hálózatokkal IPSEC-VPN van már eleve kiépitve.
A tűzfal tekintetében tényleg semmi extra. Néhány portot kell megnyitni befelé a szerverek irányába.
A központban van egy 48-portos Switch amire minden rá van dugva. Nincs semmi sem túlbonyolitva és ezen szeretnék egy kicsit módositani.
Két ISP kapcsolatunk van amiből az egyiket teljesen kihasználja a VPN.
Gondoltam, hogy a szervereket más IP tartományba rakom de ezt nem tudom, hogy lehetséges-e.
Szeretnék egy olyan belső hálózatott amire dugok egy AP-t és az érkező vendégek azt használhatják. Ez a hálózat teljesen el lenne szeparálva az irodaitól.

A szeparálásra találták ki a VLAN-t. A switchek milyen gyártótól vannak? VLAN képesek? https://mum.mikrotik.com/presentations/ID13/khomeini.pdf , https://www.youtube.com/channel/UC_vCR9AyLDxOlexICys6z4w

TPLink TL-SL-3452 L2

https://www.tp-link.com/hu/download/TL-SL3452.html#Firmware , és a switch VLAN képes: https://www.tp-link.com/hu/products/details/cat-39_TL-SL3452.html#features A firmware frissítést nagyon erősen ajánlott megcsinálni. Bár igaz nem mai a firmware. Manual a switch-hez: https://cdn.cnetcontent.com/62/f8/62f8666e-7a5f-4a0c-bd22-312cdeabd0af.pdf

A "legfrissebb" van rajta fenn.

Ha minden feltétel adott, akkor HAJRÁ!

És pontosan milyen Cisco ASA router-t dobtatok ki?

ASA 5510

HA esetleg jót kerestem, akkor még készült hozzá új szoftver: https://software.cisco.com/download/home/279916854/type/280775065/release/9.1.7%20Interim

Ez igy van csak ahhoz a miénknek memóriát kellene bőviteni 1GB-ra. Mondhatom azt, hogy nem két fillér és ezért merült fel a Router cseréje.

Sajnos a Cisco nagyon túl van árazva. A képességeikhez képest nagyon is túl. Bár ezen lehetne eszmecserét folytatni.

Ahogy irtak, ide vlanok kellenek.

Gyanitom a switch is vlan kepes. Elso korben dolgozd ki a Vlanokat. (Server, AP, klinesek, etc...)

Untaggedbe mehetnek a portok, ha nem akarsz klinesenkent vlanolni, bar szerintem zart helyen annak nincs sok ertelme.

Eszkozoket switch-re koss, ne routerre! Oda csak az menjen, amit kimondottan routeolni akarsz!

+1 a CCR sorozatra (A RB1100 inkább "terepi" router szoláltató hálózatokba)

----------------------------------^v--------------------------------------
"Probléma esetén nyomják meg a piros gombot és nyugodjanak békében!"

Az RB1100AHx4 nem switch, hanem router, ezért a switchinget szoftveresen oldja meg, hacsak nincs switch chip benne. Pont ez a model számomra nem hozzáférhető, ezért ezt én nem tudom.
Ezért a szerverek közt a switch-inget ajánlott switch-el megoldani, és a router route-ingra használni, illetve VPN-re.
Ez a router tökéletes IPSec VPN-re, talán 1 Gbps fölött képes kódolni a forgalmat, tehát ha ilyen sok VPN-t használtok, akkor azt érdemes használni.
Az IPSec-nek egyetlen nagy hátránya van (de lehet csak én nem találtam rá megoldást), hogy 1 publikus IP-ről 1 kapcsolatot tud létrehozni. Ez így, hogy szűkösen van IPv4 cím gond lehet, főleg ha mobil és otthoni hálózatból is lépnek be VPN-be, mivel ott egyre ritkább a publikus IP.

Az RB1100AH-X4 hardveres IPSec modult tartalmaz tehát jó VPN-re (a ccr nem tartalmaz hardver ipsec támogatást, bár erős a cpu-ja). Egy címről több IPSec is lehet.

Ez volt a második ok ami miatt emellett döntöttünk.

Tud valaki segíteni a Mikrotik konfigurálásában?

Ha írsz pontosabb speckót, helyszínt, neked alkalmas időpontot (akár privátban), akkor én - szabadidőm függvényében - szívesen.

----------------------------------^v--------------------------------------
"Probléma esetén nyomják meg a piros gombot és nyugodjanak békében!"

Irtam pm-t.

Ha nincs sok VLAN (és van elég port a Mikrotiken meg a switch-en) akkor nem bonyolítanám a router oldalán ezzel is. Minél egyszerűbb marad a Router konfigja annál egyszerűbb lesz hibát keresni majd.