Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: Marv 22. 10. 2017, 11:37:29
-
Poradí mi někdo vhodné firewally pro menší firmu. Jedná se o centrálu s dvěma servery a dvaceti uživateli. A o dvě vzdálené pobočky, každá s cca pěti uživateli. Na centrále běží poštovní server s přístupem POP3, IMAP a SMTP odkudkoli z Internetu, dále tam běží informační systém a firemní intranet.
Potřebuji aby vzdálené pobočky měly přístup do sítě centrály přes VPN. Centrála má veřejnou IP adresu. Pobočky veřejnou IP adresu nemají.
Děkuji
-
Poradí mi někdo vhodné firewally pro menší firmu. Jedná se o centrálu s dvěma servery a dvaceti uživateli. A o dvě vzdálené pobočky, každá s cca pěti uživateli. Na centrále běží poštovní server s přístupem POP3, IMAP a SMTP odkudkoli z Internetu, dále tam běží informační systém a firemní intranet.
Potřebuji aby vzdálené pobočky měly přístup do sítě centrály přes VPN. Centrála má veřejnou IP adresu. Pobočky veřejnou IP adresu nemají.
Děkuji
To, že nemáte IP adresy Vás odsuzuje k poloprofesionálnímu řešení a la Mikrotik nebo pfSense + OpenVPN. Osobně bych doporučil mít pevné IP adresy všude a tunelovat to pomocí IPIP nebo GRE tunelů a routing řešit asi pro jednoduchost staticky nebo přes OSPF.
-
Pobočky veřejnou IP adresu nemají.
Získat IP a pak se vrátit ... .
-
OK. Takže pobočky dostanou veřejnou IP adresu (jedna je nyní připojena přes O2, druhá přes bezdrát od lokálního providera).
Co dál?
-
OK. Takže pobočky dostanou veřejnou IP adresu (jedna je nyní připojena přes O2, druhá přes bezdrát od lokálního providera).
Co dál?
??? Vy nevíte, co vlastně potřebujete? To za Vás nikdo bez znalostí konkrétní situace nevymyslí.
-
Tady neni moc co resit. Vzhledem k cene a mnozstvi funkcionalit poridit mikrotiky. Ne ty nejlevnejsi, ale neco do 10000,-, aby to zvladlo hardwarove i to VPN.
-
OK. Takže pobočky dostanou veřejnou IP adresu (jedna je nyní připojena přes O2, druhá přes bezdrát od lokálního providera).
Co dál?
??? Vy nevíte, co vlastně potřebujete? To za Vás nikdo bez znalostí konkrétní situace nevymyslí.
Co potřebuji jsem dost dobře popsal už v prvním dotazu. Vnitřní síť centrály má IP adresy 192.168.100.x, sít pobočky 1 má 192.168.101.x a pobočka 2 má 192.168.102.x. Potřebuji aby PC které jsou na pobočkách 1 a 2 měly přístup na servery na centrále. Např. když na pobočce dám do prohlížeče https://192.168.100.10 tak aby mi naskočil firemní extranet. Dále aby se počítače z poboček měly přístup na sql server, který beží na IP adrese 192.168.100.5.
Na centrále už to takto funguje.
Dodavatel IS mi doporučil dát všude Cisco ASA5505-UL-BUN-K9, celkem za 60000Kč. Hledám i nějakou cenově příznivější variantu.
-
OK. Takže pobočky dostanou veřejnou IP adresu (jedna je nyní připojena přes O2, druhá přes bezdrát od lokálního providera).
Co dál?
??? Vy nevíte, co vlastně potřebujete? To za Vás nikdo bez znalostí konkrétní situace nevymyslí.
Co potřebuji jsem dost dobře popsal už v prvním dotazu. Vnitřní síť centrály má IP adresy 192.168.100.x, sít pobočky 1 má 192.168.101.x a pobočka 2 má 192.168.102.x. Potřebuji aby PC které jsou na pobočkách 1 a 2 měly přístup na servery na centrále. Např. když na pobočce dám do prohlížeče https://192.168.100.10 tak aby mi naskočil firemní extranet. Dále aby se počítače z poboček měly přístup na sql server, který beží na IP adrese 192.168.100.5.
Na centrále už to takto funguje.
Dodavatel IS mi doporučil dát všude Cisco ASA5505-UL-BUN-K9, celkem za 60000Kč. Hledám i nějakou cenově příznivější variantu.
no tak asi 3x ALIX APU 2C4 + nejake mSATA dovnitr, cervena krabice (to je naprosto zasadni) + pfSense + patricna konfigurace
nicmene - a ted nechci vypadat arogantne - to vazne chcete sam konfigurovat? soude dle techto dotazu .. no nic radeji :-)
ale jinak je to prace od sroubovani ALIXu, instalace pfSense a konfigurace tak na 2-3 hodiny maximalne
-
OK. Takže pobočky dostanou veřejnou IP adresu (jedna je nyní připojena přes O2, druhá přes bezdrát od lokálního providera).
Co dál?
??? Vy nevíte, co vlastně potřebujete? To za Vás nikdo bez znalostí konkrétní situace nevymyslí.
Co potřebuji jsem dost dobře popsal už v prvním dotazu. Vnitřní síť centrály má IP adresy 192.168.100.x, sít pobočky 1 má 192.168.101.x a pobočka 2 má 192.168.102.x. Potřebuji aby PC které jsou na pobočkách 1 a 2 měly přístup na servery na centrále. Např. když na pobočce dám do prohlížeče https://192.168.100.10 tak aby mi naskočil firemní extranet. Dále aby se počítače z poboček měly přístup na sql server, který beží na IP adrese 192.168.100.5.
Na centrále už to takto funguje.
Dodavatel IS mi doporučil dát všude Cisco ASA5505-UL-BUN-K9, celkem za 60000Kč. Hledám i nějakou cenově příznivější variantu.
https://www.cisco.com/c/en/us/products/collateral/security/asa-5505-adaptive-security-appliance/eos-eol-notice-c51-738642.html
-
Dodavatel IS mi doporučil dát všude Cisco ASA5505-UL-BUN-K9, celkem za 60000Kč. Hledám i nějakou cenově příznivější variantu.
No jde to určitě řešit levněji. Obzvlášť, když jste zvyklí na "kvalitu" ve formě lokálního ISP bez veřejné IP.
Dal bych tam asi Mikrotiky a udělal řešení, co jsem psal. IPIP nebo GRE tunely, routing staticky nebo přes OSPF.
OpenVPN tunely jdou taky, ale výkon je na Mikrotiku bídný.
Celé mi to smrdí tím, že máte IT v plenkách, ale kupujete nějaký IS, který je dál, než celá vaše firma. Není to tak?
-
Souhlas, Mikrotik je sice funkčně zajímavý, ale výkon špatný ASA Cisco je spíš mrtvý produkt. Navíc dneska je opravdu všechno v SW. Já bych zkusil ten pfSense od Netgate.
Připojuju se ke zděšení ve smyslu, hledám něco o čem nic nevím a budu to chtít instalovat...
Dodavatel IS mi doporučil dát všude Cisco ASA5505-UL-BUN-K9, celkem za 60000Kč. Hledám i nějakou cenově příznivější variantu.
No jde to určitě řešit levněji. Obzvlášť, když jste zvyklí na "kvalitu" ve formě lokálního ISP bez veřejné IP.
Dal bych tam asi Mikrotiky a udělal řešení, co jsem psal. IPIP nebo GRE tunely, routing staticky nebo přes OSPF.
OpenVPN tunely jdou taky, ale výkon je na Mikrotiku bídný.
Celé mi to smrdí tím, že máte IT v plenkách, ale kupujete nějaký IS, který je dál, než celá vaše firma. Není to tak?
-
Tedy jestli to rozchodi, tak jsem cely ziskuchtivy na to, jak to bude chrochtat po nejakem strasnem ADSL, ktere tam asi na vsech koncich maji.
-
Mikrotiky mozno rozchodit aj na pobockach.
Alebo sa na to vykaslat, a rozbehat priamo na kazdom klientovi OPENvpn klienta voci centrale.
(co bude za zelezo tu, je uz druha vec). (pripadne to installnut na serveri - nejaku tu asi je).
Alternativne k openVPN by som kludne skusil SoftEther (a na centrale to rozbehat naa serveri - nech uz je to cokolvek za OS). Chodi to dobre. (a zerie to myslim aj OPenVPn klientov, samozrejme ma to vlastneho klienta).
Simply, easy.. Kdekolvek za natom, aj cez 443 ...
(chalan chce lacne, nie profesionalne riesenie, tak moja odpoved je v tomto duchu).
A stat ho to bude presne - cas straveny instalaciou na staniciach a serveri).
-
Doporučuji koupit 3x Mikrotik RB750Gr3 a rozjet na nich openVPN proti centrále. Nevýhodou je, že rychlost bude nic moc - maximálně tak 20Mbit.
A až ti pojede openVPN, tak si zkus pohrát s ipsecem, neboť dle:
https://wiki.mikrotik.com/wiki/Manual%3AIP/IPsec#Hardware_encryption
má HW podporu šifrování. To má za následek, že pomocí ipsecu jsi schopný udělat poměrně rychlý (na RB850Gx2 mi to jelo cca 95Mbit obousměrně) a bezpečný tunel a to i z pobočky, kde nemáš veřejnou IP.
A celé tě to bude stát necelé 4 tis. na všechny lokality.
-
A firewall =! VPN server, samozrejme.
Na toto by mikrotik stacil .. alebo jazdeny Fortigate z Ebayu (ten by dokonca asi mohol mat VPN tunely s HW podporou).
-
A firewall =! VPN server, samozrejme.
Jasně, na to si tam určitě za pár set talířů pořídí VPN koncentrátor, to je pro 2x5 uživatelů rozhodně vyplatí! ::) ::) ::)
-
Kdybych měl firmu s dvaceti lidmi a dvěma servery a zároveň bych tomu moc nerozuměl, tak bych dal na centrálu Kerio Control na nějaký repasovaný Dell - rovnou bych koupil dva aby to šlo rychle obnovit. Kerio je dobrý produkt který zvládne spravovat každý. A na pobočky nějaké jednoduché hw firewally co umí ipsec a udělaji tunel. Ale asi se opět budeme blížit těm 60k.
Ono to jde udělat za pár tisíc, ale to ti nebudu radit protože to je prase-ina.
-
Aká je výhoda IPIP alebo GRE?
-
Dodavatel IS mi doporučil dát všude Cisco ASA5505-UL-BUN-K9, celkem za 60000Kč. Hledám i nějakou cenově příznivější variantu.
ASA by až na cenu nebyla špatným řešením. Ale bacha! Jak bylo odkazováno výše, ASA 5505 se už nedodává, nástupcem je ASA 5506-X. Ač mají obě skoro stejnou krabičku, bohužel to není přímá náhrada a lidé jsou dost zklamaní (5506 má jen 5 přepínaných portů, zbývající jsou jen L3), viz diskuse - někdo v ní doporučuje konkurenční Juniper, typ SRX300 se pořídit asi za 12 tisíc, takže by tři vyšly asi na polovinu.
https://supportforums.cisco.com/t5/firewalling/asa-5506-x-switchports/td-p/2613383
https://www.senetic.cz/product/SRX300
-
Aká je výhoda IPIP alebo GRE?
Nízká režie a dobře se s paketem dál pracuje. Každý paket je zapouzdřený s několika málo bajty navrch. Zjednodušeně řečeno, o maličko se sníží MTU a víc si ani nevšimnete, že jedete tunelem. Jo, a celé je to stateless, takže ani jedna strana nemusí složitě skládat pakety k sobě, vést evidenci o tom, co poslala a přijala, ... Má to víc výhod.
OpenVPN bych se vyhnul, pokud to jde. Obzvlášť na Mikrotiku je výkon tragický.
-
Kdybych měl firmu s dvaceti lidmi a dvěma servery a zároveň bych tomu moc nerozuměl, tak bych dal na centrálu Kerio Control na nějaký repasovaný Dell - rovnou bych koupil dva aby to šlo rychle obnovit. Kerio je dobrý produkt který zvládne spravovat každý. A na pobočky nějaké jednoduché hw firewally co umí ipsec a udělaji tunel. Ale asi se opět budeme blížit těm 60k.
Ono to jde udělat za pár tisíc, ale to ti nebudu radit protože to je prase-ina.
tak urcite, jenze od ledna 2018 se zvysujou ceny kerio produktu o cca 25%-35%, cili je na kazdem soudruhovi uvaha, zda ty prachy namisto ve chrtan GFI (=novy majitel kerio produktu) vecpat spise do kvalitniho zeleza a/nebo nekomu, kdo to postavi na opensource
-
Pobocky verejnou IP adresu mit nemusi, tim jsem si 100% jist. Provozuji neco podobneho uz leta s IPSECem pod CentOSem, a ackoli to urcite neni nic strasneho, pro laika to asi neni. Nicmene misto Keria bych sel do pfSense. Kdyz uz se budes ucit, proc se neucit neco, co je ta trhu uz leta zdarma a bezi na libovolnem stabilnim HW (dnes ovsem 64b) bez nutnosti mit k tomu dalsi placeny produkt - OS.
Horsi je, ze zadny klikaci navod na par kliku ti asi nikdo neposkytne. Budto si to nastudovat nebo najit nekoho, kdo tomu rozumi, a naucit se to od neho a spolu s nim. A neni to nic sileneho, jen je treba mit vhled do fungovani.
-
Kdyz tak premyslim, byt tebou, vzal bych si nejake 64b pc, pridal druhou sitovou kartu a zkusil si pohrat s pfSense. Podle toho se rozhodnes, jestli to je pro tebe cesta nebo potrebujes nekoho dalsiho.
-
Jinak jak již bylo řečeno, OpenVPN se opravdu vyhni. Výkon bude řádově níž než s IPsec, který zvládne akcelorovat každý krám s procesorem podporujícím AES-NI.
-
Kdybych měl firmu s dvaceti lidmi a dvěma servery a zároveň bych tomu moc nerozuměl, tak bych dal na centrálu Kerio Control na nějaký repasovaný Dell - rovnou bych koupil dva aby to šlo rychle obnovit. Kerio je dobrý produkt který zvládne spravovat každý. A na pobočky nějaké jednoduché hw firewally co umí ipsec a udělaji tunel. Ale asi se opět budeme blížit těm 60k.
Ono to jde udělat za pár tisíc, ale to ti nebudu radit protože to je prase-ina.
tak urcite, jenze od ledna 2018 se zvysujou ceny kerio produktu o cca 25%-35%, cili je na kazdem soudruhovi uvaha, zda ty prachy namisto ve chrtan GFI (=novy majitel kerio produktu) vecpat spise do kvalitniho zeleza a/nebo nekomu, kdo to postavi na opensource
Jen že kerio si dokáže průměrně vzdatný uživatel spravovat sám. Když někomu zaplatíš podobné peníze za opensource tak na něm budeš závislý ... a co si budem povídat, u opensource co odborník to názor a dva to neudělaji stejně ... taky to neni jednoduchý.
-
Jen že kerio si dokáže průměrně vzdatný uživatel spravovat sám. Když někomu zaplatíš podobné peníze za opensource tak na něm budeš závislý ... a co si budem povídat, u opensource co odborník to názor a dva to neudělaji stejně ... taky to neni jednoduchý.
kralkeria1 zvani nesmysly
-
Jen že kerio si dokáže průměrně vzdatný uživatel spravovat sám. Když někomu zaplatíš podobné peníze za opensource tak na něm budeš závislý ... a co si budem povídat, u opensource co odborník to názor a dva to neudělaji stejně ... taky to neni jednoduchý.
kralkeria1 zvani nesmysly
zadny kralkeria1 tu neni ... .
-
Pobocky verejnou IP adresu mit nemusi, tim jsem si 100% jist. Provozuji neco podobneho uz leta s IPSECem pod CentOSem, a ackoli to urcite neni nic strasneho, pro laika to asi neni. Nicmene misto Keria bych sel do pfSense. Kdyz uz se budes ucit, proc se neucit neco, co je ta trhu uz leta zdarma a bezi na libovolnem stabilnim HW (dnes ovsem 64b) bez nutnosti mit k tomu dalsi placeny produkt - OS.
Horsi je, ze zadny klikaci navod na par kliku ti asi nikdo neposkytne. Budto si to nastudovat nebo najit nekoho, kdo tomu rozumi, a naucit se to od neho a spolu s nim. A neni to nic sileneho, jen je treba mit vhled do fungovani.
Jasně :). Oni kupují systém za XXX, k tomu mají doporučeno Cisco ASA, ale budou škudlit na připojení. Naopak, pokud je ta firma tak zoufalá, že má technologie takto nazpět, měla by začít po malých krocích vše dávat do pořádku. Podle mě není účelné, aby VPN / routery musel spravovat někdo externě. Buďto by měli nastavit vše tak, aby se na to roky nemuselo sáhnout (což je varianta např. Cisco), nebo co nejvíc zjednodušit sitaci, aby se o to dokázal starat kde kdo.
-
Poradí mi někdo vhodné firewally pro menší firmu. Jedná se o centrálu s dvěma servery a dvaceti uživateli. A o dvě vzdálené pobočky, každá s cca pěti uživateli. Na centrále běží poštovní server s přístupem POP3, IMAP a SMTP odkudkoli z Internetu, dále tam běží informační systém a firemní intranet.
Potřebuji aby vzdálené pobočky měly přístup do sítě centrály přes VPN. Centrála má veřejnou IP adresu. Pobočky veřejnou IP adresu nemají.
Děkuji
Verejne IP adresy a Fortigaty od Fortinetu (http://www.fortigate.cz/).
-
Verejne IP adresy a Fortigaty od Fortinetu (http://www.fortigate.cz/).
Fortinet vcelku drahe reseni. Pouzivam ZyWall USG + Mikrotik na pobockach. Propojeni l2tp over ipsec funguje bez problemu. ZyWall ma (po zaplaceni) filtrace ruznych sluzeb [p2p, stream media, atp]
-
Pobocky verejnou IP adresu mit nemusi, tim jsem si 100% jist. Provozuji neco podobneho uz leta s IPSECem pod CentOSem, a ackoli to urcite neni nic strasneho, pro laika to asi neni. Nicmene misto Keria bych sel do pfSense. Kdyz uz se budes ucit, proc se neucit neco, co je ta trhu uz leta zdarma a bezi na libovolnem stabilnim HW (dnes ovsem 64b) bez nutnosti mit k tomu dalsi placeny produkt - OS.
Horsi je, ze zadny klikaci navod na par kliku ti asi nikdo neposkytne. Budto si to nastudovat nebo najit nekoho, kdo tomu rozumi, a naucit se to od neho a spolu s nim. A neni to nic sileneho, jen je treba mit vhled do fungovani.
Jasně :). Oni kupují systém za XXX, k tomu mají doporučeno Cisco ASA, ale budou škudlit na připojení. Naopak, pokud je ta firma tak zoufalá, že má technologie takto nazpět, měla by začít po malých krocích vše dávat do pořádku. Podle mě není účelné, aby VPN / routery musel spravovat někdo externě. Buďto by měli nastavit vše tak, aby se na to roky nemuselo sáhnout (což je varianta např. Cisco), nebo co nejvíc zjednodušit sitaci, aby se o to dokázal starat kde kdo.
od ledna 2018 lze jako minimalni licenci koupit 10-tu uzivatelskou licenci :-)
aktualni cena za Kerio Control na 10 uzivatelu (budouci minumum), ktera se po lednu 2018 zveda o cca 30%, je ted cca 11.000.- bez DPH
pro dve pobocky tedy 22.000.- bez DPH
pro centralu potrebujeme Kerio Control pro 20 uzivatelu, zde je aktualni cena cca 19.000.- bez DPH
cili celkove za kerio licence zakaznik zaplati 41.000.- bez DPH (po lednu pres 50.000,- ?)
kerio control neni az tak nenarocne jako pfSense a 2GB RAM je malo, zaroven potrebuji silnejsi CPU + videokartu
na pfSense mne staci ALIX APU 2C4 bez videokarty, instaluju pres seriovy kablik
cili mam obavy, zda onen 60k rozpocet bude stacit na kerio control reseni
jedinou vyhodu keria spatruji v ceske administraci kerio controlu
-
cili mam obavy, zda onen 60k rozpocet bude stacit na kerio control reseni
jedinou vyhodu keria spatruji v ceske administraci kerio controlu
Já si myslím, že pan kolega tazatel hlavně vůbec neví o síťování tohoto druhu, a možná by pro něj bylo úlevou zvolit technicky jednodušší řešení, byť dražší.
-
cili mam obavy, zda onen 60k rozpocet bude stacit na kerio control reseni
jedinou vyhodu keria spatruji v ceske administraci kerio controlu
Já si myslím, že pan kolega tazatel hlavně vůbec neví o síťování tohoto druhu, a možná by pro něj bylo úlevou zvolit technicky jednodušší řešení, byť dražší.
a ja bych jeste mozna spise doporucil jednorazove najmout nekoho, kdo tomu rozumi a dela to denne jako svuj job a nepytlikovat to sam
-
a ja bych jeste mozna spise doporucil jednorazove najmout nekoho, kdo tomu rozumi a dela to denne jako svuj job a nepytlikovat to sam
Ano, ale to asi nepřipadá moc v úvahu, pokud se řeší jako problém veřejná IP adresa a jednorázové pořízení ASA.
-
Fortinet vcelku drahe reseni. Pouzivam ZyWall USG + Mikrotik na pobockach. Propojeni l2tp over ipsec funguje bez problemu. ZyWall ma (po zaplaceni) filtrace ruznych sluzeb [p2p, stream media, atp]
Drahost je relativni pojem, tazatel uvadel ze mu bylo nabidnuto reseni na Cisco a to mu pripadlo drahe, Fortinet reseni drazsi nebude.
Tazatel tez neudaval ze podstatnym kriteriem pro vybrani je nejnizsi cena.
Tazatel zadal radu pro vhodne reseni, Fortinet je alternativa Cisco reseni.
S mikrotikama pro VPN mame spatne zkusenosti,co se tyka "bezproblemoveho" chodu VPN na DSL linkach od O2 (a t-mobile) a sitich nekterych lokalnich provideru.
Provideri nemaji stabilni site, pripojeni neni stabilni a s mikrotikem se velmi casto stava ze se VPN rozpadne a pak uz nenavaze.
S Fortinetem jsme tyto problemy ve stejnych sitich nezaznamenaly.
Netvrdim ze to je jedine idealni reseni, jedna se jen o alternativu.
Skill tazatele nebude imho na urovni tech co provozuji a doporucuji reseni typu pf + mikrotik atd.
-
APU s pfSense nebo Linuxem, OpenVPN je jasná volba pokud jdete po ceně, nedávno jsme to stavěli pro zákazníka a nevadí Vám DIY, je to tak levné, že klidně můžete mít jeden box na skladě do zásoby, pokud zvolíte statický routing, tak na z každé pobočky navážete tunnel směr central office, dáte si na něj spojovací IP např. /30 a provedete routing rozsahů na central office směr pobočky, přes ty spojky a naopak na pobočkách routing směr centrálna a máte hotovo.
---
https://www.youtube.com/watch?v=21XW_ySPTiQ
---
Né každý může mít Cisco ASA a IPsec v plné parádě a druhé věc to je to umět i nakonfigurovat a spravovat.
Případně podívejte se na Fortigate, Sonicwall ...
František Havel
-
Podle mě není účelné, aby VPN / routery musel spravovat někdo externě. Buďto by měli nastavit vše tak, aby se na to roky nemuselo sáhnout (což je varianta např. Cisco), nebo co nejvíc zjednodušit sitaci, aby se o to dokázal starat kde kdo.
Nepsal jsem spravovat externe, ale zkusit se podivat na pfSense a podle toho se rozhodnout a pripadne se to od externisty DOUCIT.
-
Není tu uvedeno, kdo se o to bude starat a jakým způsobem, stejně tak nevidím zmínku, na jak dlouho se to plánuje pořídit a co pak s tím (?)
Co do ceny za železo by mohl být značně výhodný nějaký Mikrotik. I proto, že i po cca 4 letech bude mít pravděpodobně nějaké security aktualizace nebo vylepšení.
Případně bych sám šel do SRX 3x0 od Juniperu (případně SRX220 kvůli failoveru).
-
Ja hlasuju za 3x nejaky Supermicro A1SAi neco neco
A na to OpenBSD. Nekdo to bude muset jednorazove nainstalovat a nakonfigurovat.
Pak se ale na to da uplne zapomenout nepamatuju bezpecnostni problem v necem co by bylo
potreba z venku (ipsec...)