Poraďte vhodný firewall pro jednu centrálu a dvě pobočky

[Marv]

Poradí mi někdo vhodné firewally pro menší firmu. Jedná se o centrálu s dvěma servery a dvaceti uživateli. A o dvě vzdálené pobočky, každá s cca pěti uživateli. Na centrále běží poštovní server s přístupem POP3, IMAP a SMTP odkudkoli z Internetu, dále tam běží informační systém a firemní intranet.
Potřebuji aby vzdálené pobočky měly přístup do sítě centrály přes VPN. Centrála má veřejnou IP adresu. Pobočky veřejnou IP adresu nemají.
Děkuji

[Reklama]

[Miroslav Šilhavý]

Poradí mi někdo vhodné firewally pro menší firmu. Jedná se o centrálu s dvěma servery a dvaceti uživateli. A o dvě vzdálené pobočky, každá s cca pěti uživateli. Na centrále běží poštovní server s přístupem POP3, IMAP a SMTP odkudkoli z Internetu, dále tam běží informační systém a firemní intranet.
Potřebuji aby vzdálené pobočky měly přístup do sítě centrály přes VPN. Centrála má veřejnou IP adresu. Pobočky veřejnou IP adresu nemají.
Děkuji

To, že nemáte IP adresy Vás odsuzuje k poloprofesionálnímu řešení a la Mikrotik nebo pfSense + OpenVPN. Osobně bych doporučil mít pevné IP adresy všude a tunelovat to pomocí IPIP nebo GRE tunelů a routing řešit asi pro jednoduchost staticky nebo přes OSPF.

[krallinuxu1]

Pobočky veřejnou IP adresu nemají.

Získat IP a pak se vrátit ... .

[Marv]

OK. Takže pobočky dostanou veřejnou IP adresu (jedna je nyní připojena přes O2, druhá přes bezdrát od lokálního providera).

Co dál?

[Miroslav Šilhavý]

OK. Takže pobočky dostanou veřejnou IP adresu (jedna je nyní připojena přes O2, druhá přes bezdrát od lokálního providera).
Co dál?

Vy nevíte, co vlastně potřebujete? To za Vás nikdo bez znalostí konkrétní situace nevymyslí.

[Reklama]

[BigRoot]

Tady neni moc co resit. Vzhledem k cene a mnozstvi funkcionalit poridit mikrotiky. Ne ty nejlevnejsi, ale neco do 10000,-, aby to zvladlo hardwarove i to VPN.

[Marv]

OK. Takže pobočky dostanou veřejnou IP adresu (jedna je nyní připojena přes O2, druhá přes bezdrát od lokálního providera).
Co dál?

Vy nevíte, co vlastně potřebujete? To za Vás nikdo bez znalostí konkrétní situace nevymyslí.

Co potřebuji jsem dost dobře popsal už v prvním dotazu. Vnitřní síť centrály má IP adresy 192.168.100.x, sít pobočky 1 má 192.168.101.x a pobočka 2 má 192.168.102.x. Potřebuji aby PC které jsou na pobočkách 1 a 2 měly přístup na servery na centrále. Např. když na pobočce dám do prohlížeče https://192.168.100.10 tak aby mi naskočil firemní extranet. Dále aby se počítače z poboček měly přístup na sql server, který beží na IP adrese 192.168.100.5.
Na centrále už to takto funguje.
Dodavatel IS mi doporučil dát všude Cisco ASA5505-UL-BUN-K9, celkem za 60000Kč. Hledám i nějakou cenově příznivější variantu.

[milous]

OK. Takže pobočky dostanou veřejnou IP adresu (jedna je nyní připojena přes O2, druhá přes bezdrát od lokálního providera).
Co dál?

Vy nevíte, co vlastně potřebujete? To za Vás nikdo bez znalostí konkrétní situace nevymyslí.

Co potřebuji jsem dost dobře popsal už v prvním dotazu. Vnitřní síť centrály má IP adresy 192.168.100.x, sít pobočky 1 má 192.168.101.x a pobočka 2 má 192.168.102.x. Potřebuji aby PC které jsou na pobočkách 1 a 2 měly přístup na servery na centrále. Např. když na pobočce dám do prohlížeče https://192.168.100.10 tak aby mi naskočil firemní extranet. Dále aby se počítače z poboček měly přístup na sql server, který beží na IP adrese 192.168.100.5.
Na centrále už to takto funguje.
Dodavatel IS mi doporučil dát všude Cisco ASA5505-UL-BUN-K9, celkem za 60000Kč. Hledám i nějakou cenově příznivější variantu.

no tak asi 3x ALIX APU 2C4 + nejake mSATA dovnitr, cervena krabice (to je naprosto zasadni) + pfSense + patricna konfigurace

nicmene - a ted nechci vypadat arogantne - to vazne chcete sam konfigurovat? soude dle techto dotazu .. no nic radeji :-)

ale jinak je to prace od sroubovani ALIXu, instalace pfSense a konfigurace tak na 2-3 hodiny maximalne

[MP]

OK. Takže pobočky dostanou veřejnou IP adresu (jedna je nyní připojena přes O2, druhá přes bezdrát od lokálního providera).
Co dál?

Vy nevíte, co vlastně potřebujete? To za Vás nikdo bez znalostí konkrétní situace nevymyslí.

Co potřebuji jsem dost dobře popsal už v prvním dotazu. Vnitřní síť centrály má IP adresy 192.168.100.x, sít pobočky 1 má 192.168.101.x a pobočka 2 má 192.168.102.x. Potřebuji aby PC které jsou na pobočkách 1 a 2 měly přístup na servery na centrále. Např. když na pobočce dám do prohlížeče https://192.168.100.10 tak aby mi naskočil firemní extranet. Dále aby se počítače z poboček měly přístup na sql server, který beží na IP adrese 192.168.100.5.
Na centrále už to takto funguje.
Dodavatel IS mi doporučil dát všude Cisco ASA5505-UL-BUN-K9, celkem za 60000Kč. Hledám i nějakou cenově příznivější variantu.

https://www.cisco.com/c/en/us/products/collateral/security/asa-5505-adaptive-security-appliance/eos-eol-notice-c51-738642.html

[Miroslav Šilhavý]

Dodavatel IS mi doporučil dát všude Cisco ASA5505-UL-BUN-K9, celkem za 60000Kč. Hledám i nějakou cenově příznivější variantu.

No jde to určitě řešit levněji. Obzvlášť, když jste zvyklí na "kvalitu" ve formě lokálního ISP bez veřejné IP.
Dal bych tam asi Mikrotiky a udělal řešení, co jsem psal. IPIP nebo GRE tunely, routing staticky nebo přes OSPF.
OpenVPN tunely jdou taky, ale výkon je na Mikrotiku bídný.

Celé mi to smrdí tím, že máte IT v plenkách, ale kupujete nějaký IS, který je dál, než celá vaše firma. Není to tak?

[Jan Forman]

Souhlas, Mikrotik je sice funkčně zajímavý, ale výkon špatný ASA Cisco je spíš mrtvý produkt. Navíc dneska je opravdu všechno v SW. Já bych zkusil ten pfSense od Netgate.
Připojuju se ke zděšení ve smyslu, hledám něco o čem nic nevím a budu to chtít instalovat...

Dodavatel IS mi doporučil dát všude Cisco ASA5505-UL-BUN-K9, celkem za 60000Kč. Hledám i nějakou cenově příznivější variantu.

No jde to určitě řešit levněji. Obzvlášť, když jste zvyklí na "kvalitu" ve formě lokálního ISP bez veřejné IP.
Dal bych tam asi Mikrotiky a udělal řešení, co jsem psal. IPIP nebo GRE tunely, routing staticky nebo přes OSPF.
OpenVPN tunely jdou taky, ale výkon je na Mikrotiku bídný.

Celé mi to smrdí tím, že máte IT v plenkách, ale kupujete nějaký IS, který je dál, než celá vaše firma. Není to tak?

[JardaP .]

Tedy jestli to rozchodi, tak jsem cely ziskuchtivy na to, jak to bude chrochtat po nejakem strasnem ADSL, ktere tam asi na vsech koncich maji.

[Medo]

Mikrotiky mozno rozchodit aj na pobockach.
Alebo sa na to vykaslat, a rozbehat priamo na kazdom klientovi OPENvpn klienta voci centrale.
(co bude za zelezo tu, je uz druha vec). (pripadne to installnut na serveri - nejaku tu asi je).
Alternativne k openVPN by som kludne skusil SoftEther (a na centrale to rozbehat naa serveri - nech uz je to cokolvek za OS). Chodi to dobre. (a zerie to myslim aj OPenVPn klientov, samozrejme ma to vlastneho klienta).
Simply, easy.. Kdekolvek za natom, aj cez 443 ...
(chalan chce lacne, nie profesionalne riesenie, tak moja odpoved je v tomto duchu).
A stat ho to bude presne - cas straveny instalaciou na staniciach a serveri).

[Honza]

Doporučuji koupit 3x Mikrotik RB750Gr3 a rozjet na nich openVPN proti centrále. Nevýhodou je, že rychlost bude nic moc - maximálně tak 20Mbit.

A až ti pojede openVPN, tak si zkus pohrát s ipsecem, neboť dle:
https://wiki.mikrotik.com/wiki/Manual%3AIP/IPsec#Hardware_encryption
má HW podporu šifrování. To má za následek, že pomocí ipsecu jsi schopný udělat poměrně rychlý (na RB850Gx2 mi to jelo cca 95Mbit obousměrně) a bezpečný tunel a to i z pobočky, kde nemáš veřejnou IP.

A celé tě to bude stát necelé 4 tis. na všechny lokality.

[Medo]

A firewall =! VPN server, samozrejme.
Na toto by mikrotik stacil .. alebo jazdeny Fortigate z Ebayu (ten by dokonca asi mohol mat VPN tunely s HW podporou).