CISCO ASA 5505

Linux-haladó

Sziasztok,

Egy kis tanácsot, segítséget szeretnék kérni. VPN kapcsolatunkat jelenleg 2 DB CentOS 5 (régebbi gépeken, 5+ évesek) látja el OpenVPN segítségével.

CISCO ASA 5505

Hardverhiba miatt (Táp) leált az élet.

Szeretném a jövőben elkerülni az ilyen jellegű problémákat. A link alatt található eszközt néztük ki. A következő (lentebb) funkciók megoldahatók vele? Max. 20 felhasználóról van szó. Vagy másik eszközt javasoltok!? Tapasztalatok? Most nézi kollégám a HP ProLiant ML 110G5 szervert 65.000 Ft... azért ezen már más is futna nemcsaka VPN...

Jelenleg a VPN site to site + ethernet bridge konfigurációban összeköti a két irodát, de a szervernek kinevezett oldalra bárki bejelentkezhet Win és linux alól is openvpn segítrségével. Minkét irodában a belső hálózat a 10.0.0.x-es tartományt használja, csak a DHCP szolgálatások más címeket (más résztartományból) addnak minkét oldalon

Előre is köszönöm a segítséget.

Perger Attila

  • 2825 megtekintés

( andrej_ v | 2009. 01. 06., k – 16:23 )

Szerintem jobban jártok a szerverrel, mint a Cisco-val. A Cisco megfelelően licenszelve jó eséllyel a többszöröse árban az ML110G5-nek. Még azt is megkockáztatom, hogy egy tényleg igényes sima PC konfiggal többre juttok, mert az ilyen belépő szerverekben sincsenek csoda feature-ök. További előny, hogy könnyen és relatív olcsón vehető bele alkatrész, illetve előre tartalékolható is.

Az OpenVPN nekem nagyon bevált egy előző munkahelyemen, ahol több VPN-t is managelni kellett és mindenféle hozzáféréseket adni. A mindenféle hálózatokra persze a gatewayen levő tűzfal (FreeBSD lévén ez pf volt) vigyázott.

( petik | 2009. 01. 06., k – 16:27 )

Hello!

Írj egy kicsit többet, hogy pontosan mire/hova kellene (tűzfal mögé, vagy ez lenne a tűzfal és a VPN egyben, sslvpn a felhasználóknak, vagy ipsec, HA kell-e (A/A vagy A/P), kellenek-e egzotikus interfészek (pl. ISDN, soros), ...)!

Ha nem kell az sslvpn, akkor a Juniper SSG-5 egy jó választás (ha moduláris kell, akkor ssg-20). Ha sslvpn kell, akkor a Cisco jó, de ne egy eszközre, hanem a megoldásra kérj árajánlatot, nehogy a HA-licensz, meg hasonlók kimaradjanak, ha esetleg az is kell hozzá!

Azt nem értettem, hogy a 65 ezret sokalltad a szerverért, vagy mik azok a pontok. Egy tűzfal/VPN-en sem csak ezek a funkciók tudnak futni, hanem integrálva egy csomó más (pl. komoly router funkciókat is tud mindkettő (akár BGP-t is), web és vírusszűrés, DHCP szerver, ...), de leginkább a megbízhatóságban és a könnyebb üzemeltetés miatt éri meg a felárat a szerveres/szoftveres verzióhóz képest.

Üdv.

Sok "kulcsszót" írtál le, amiről fogalmam sincs sajnos. :-(
Amit tudok: irodánként egy-egy D-Link ADSL router-ünk csatlakozik FIX IP címmel az internetre. A két iroda között bérelt vonalunk van.
A "D-Linkes" (192.168.0.x) hálózatokban az irodákban egy-egy CentOS5 csücsül, és ezek hozzák létre a VPN-es kapcsolatot. A linuxok 2. hálókártyája pedig a 10.0.0.x-es belső hálózatok része. Így az ott dolgozók az ethernet-bridge segítségével látják egymást mindkét irodából VPN kliens telepítése nélkül.

Aki otthonról akar dolgozni az OpenVPN-Gui segítségével csatlakozik.

Na ezek a gagyi D-Link routerek sokszor lefagynak, és a linuxok alatt lévő hardver sem a rendelkezésrellás magasiskolája. Ezen szeretnék javítani. Ezen routerek és a Linux-ok helyett akarom a fenn említett megoldást.

Nem vagyok hálózati szakember.

De itt köszönném meg a segítő válaszokat is.

Attila, Perger
-----------------------------------------------------
"Az a szoftver, amelyiket nem fejlesztik, az halott!"

Megfelelően tűzfalazva simán fel lehet konfigolni két normális PC-t tűzfal,router,vpn-gateway szerepre. Ha kellően nagy a sávja a bérelt vonalnak akkor az irodákban még a zinternet is redundáns lehet. Használtam a már említett helyen ilyesmit egy sima régi compaq desktop P3-assal és sokszáz napos uptime-okat produkált (néha kellett frissíteni azért a FreeBSD-t). :)

Ami még eszembe jutott, az két (paranoia esetén venni egy harmadikat coldspare-nek) microATX alapú kis házas gyári intel lapos gépecske, amin jó eséllyel rögtön egy gigás intel hálókártya van és már egy-egy kétportos vagy négyportos (SUN qfe/hme cucc használtan itt a fórumon 4-5e körül előfordul) hálókártyát és kész 3-5 interfésszel a fél világot el lehet routolni szinte.

Szerintem uptimeban hozzák ami szükséges és mégsem egy bő másfél milás történet, de persze nektek kell tudni hogy mire van igény és ezzel egybevágó pénz.

Szia!

Amit az első részben leírtál ethernet-bridge néven, az egy egyszerű IPSec site-2-site VPN csatorna, minden hálózati eszköz tudja, még egy intelligensebb router is. A felhasználóknál most is használsz telepített segédprogramot az otthonról való csatlakozáshoz, azért szerintem jó az IPSec VPN a felhasználóknak is (erre így kereshetsz rá: dialup vpn). Döntsd el, hogy mennyi pénzt szánsz rá, és utána nézz csak körül az appliance-ok között, mert a PC-s megoldás mindenképpen olcsóbb lesz, ha a konfigurálással eltöltött időd nullára árazod :)
A Cisco és Juniper enterprise kategória tudásban és ennek megfelelően árban is, tényleg nem egy kategória a DLINK-kel és társaival. 100 ezer körül kezdődik ez a kategóra, de az említett 800e Ft-os eszközár nem ehhez az igényhez van, hanem egy (inkább több) nagyságrenddel nagyobb kategória...
Ha bérelt vonalat használtok a 2 telephely között, akkor látszik, hogy az összeköttetés és üzembiztonság fontos és pénzt is megér a cégnek, ezért szerintem mindenképpen menjél el az enterprise termékek gyártói felé (én a Juniper-t preferálom, de érdekelt vagyok).

Ha érdekel, keress meg nyugodtan!

Üdv.

( airween v | 2009. 01. 06., k – 16:45 )

Hello,

Hardverhiba miatt (Táp) leált az élet.

Szeretném a jövőben elkerülni az ilyen jellegű problémákat.

Nem értem, ha veszel két ASA-t, akkor hogy szeretnéd elkerülni az ilyen problémákat? Redundáns táp? Számítógépet is kapsz redundáns táppal... :)

BTW: ahogy az első hozzászóló írta, megfelelő licenszel eléggé el tud szállni az ára. Mi használunk ASA-t VPN kiszolgálónak, site-to-site és remote-access módban egyaránt, utóbbit token segítségével. Így kb 800e Ft volt az ASA. Mindkét telephelyre ilyet szeretnél? Könnyű kiszámolni... :)

Tény és való, hogy a Cisco VPN kliens elég sokat tud, amit open source cuccokkal nem biztos, hogy meg tudsz csinálni, ezt neked/a cégednek kell eldönteni, hogy mire van szükség. Az biztos, hogy ha eddig elég volt az OpenVPN, és be is vált, akkor nem feltétlen van szükségetek az ASA-ra.

Üdv:

a.

ps: még annyit, hogy PC áránál drágább eszközt (megfelelő redundanciával) nem biztos, hogy vennék. Funkcióban - ahogy te is írtad (ezen már más is futna) - imho "teljesebb" a PC.

Maga az eszköz 100.000 Ft (vagy rosszul néztem), és 10 felhasználós mindegyik ("bundled").
Nekem a site to site a fontos és talán elég lenne 10 db felhasználó irodánként, aki otthonról is kapcsolódhat... Ilyen drágára rúg ez az eszköz???

Attila, Perger
-----------------------------------------------------
"Az a szoftver, amelyiket nem fejlesztik, az halott!"

Hello,

bocs, elnéztem a típust, nem 5505, hanem 5520 van nálunk, ami "picivel nagyobb" :)

Mea culpa, az 5505-ös valóban olcsóbb, bár gondolom a teljesítménye is kissebb.

Mekkora a sávszélességed a két telephely között? A 10 kliens biztos elég?
A táphiba ellen ez sem fog védeni, gondolom te is tudod. Nem ismerem annyira mélyen az ASA családot, de az 5505-ös létezik duál tápos kivitelben?
(Nagyobb sávszélesség esetén az 5520-at is le lehet ültetni, egy 100M-s site-to-site (egy session!) 60-65%-os CPU terhelést okozott. Ehhez képest az 5505 nem tudom mire képes.)

a.

( NagyZ v | 2009. 01. 07., sze – 00:17 )

hat, a kerdest jol eldugtad am az egeszbe, ha nem olvastam volna tuzetesen, fel se tunt volna.

a taphiban a redundans tapok segitenek. :)

( ffb | 2009. 01. 07., sze – 11:58 )

a az említett cisco mellet szól a megbzhatósága, alap licenc mellet max 10 VPN
definiálható, nem vagyok hálózati szaki, tanfolyam híján elég sokat kellet
tanulni , googlizni, izzadni mellete . A mi szervereink 24ó/7nap működnek, és az utóbbi 6 hó tapasztalatát próbáltam ide sűríteni.
A Centos+selinux megoldás lényegesen egyszerűbb config szempontjából.
Esetetekben lehet célszerűbb.