Poraďte vhodný firewall pro jednu centrálu a dvě pobočky

[Jirsákův bankéř]

A firewall =! VPN server, samozrejme.

Jasně, na to si tam určitě za pár set talířů pořídí VPN koncentrátor, to je pro 2x5 uživatelů rozhodně vyplatí! 

[Reklama]

[krallinuxu1]

Kdybych měl firmu s dvaceti lidmi a dvěma servery a zároveň bych tomu moc nerozuměl, tak bych dal na centrálu Kerio Control na nějaký repasovaný Dell - rovnou bych koupil dva aby to šlo rychle obnovit. Kerio je dobrý produkt který zvládne spravovat každý. A na pobočky nějaké jednoduché hw firewally co umí ipsec a udělaji tunel. Ale asi se opět budeme blížit těm 60k.

Ono to jde udělat za pár tisíc, ale to ti nebudu radit protože to je prase-ina.

[Janci]

Aká je výhoda IPIP alebo GRE?

[JardaA]

Dodavatel IS mi doporučil dát všude Cisco ASA5505-UL-BUN-K9, celkem za 60000Kč. Hledám i nějakou cenově příznivější variantu.

ASA by až na cenu nebyla špatným řešením. Ale bacha! Jak bylo odkazováno výše, ASA 5505 se už nedodává, nástupcem je ASA 5506-X. Ač mají obě skoro stejnou krabičku, bohužel to není přímá náhrada a lidé jsou dost zklamaní (5506 má jen 5 přepínaných portů, zbývající jsou jen L3), viz diskuse - někdo v ní doporučuje konkurenční Juniper, typ SRX300 se pořídit asi za 12 tisíc, takže by tři vyšly asi na polovinu.

https://supportforums.cisco.com/t5/firewalling/asa-5506-x-switchports/td-p/2613383
https://www.senetic.cz/product/SRX300

[Miroslav Šilhavý]

Aká je výhoda IPIP alebo GRE?

Nízká režie a dobře se s paketem dál pracuje. Každý paket je zapouzdřený s několika málo bajty navrch. Zjednodušeně řečeno, o maličko se sníží MTU a víc si ani nevšimnete, že jedete tunelem. Jo, a celé je to stateless, takže ani jedna strana nemusí složitě skládat pakety k sobě, vést evidenci o tom, co poslala a přijala, ... Má to víc výhod.

OpenVPN bych se vyhnul, pokud to jde. Obzvlášť na Mikrotiku je výkon tragický.

[Reklama]

[milous]

Kdybych měl firmu s dvaceti lidmi a dvěma servery a zároveň bych tomu moc nerozuměl, tak bych dal na centrálu Kerio Control na nějaký repasovaný Dell - rovnou bych koupil dva aby to šlo rychle obnovit. Kerio je dobrý produkt který zvládne spravovat každý. A na pobočky nějaké jednoduché hw firewally co umí ipsec a udělaji tunel. Ale asi se opět budeme blížit těm 60k.

Ono to jde udělat za pár tisíc, ale to ti nebudu radit protože to je prase-ina.

tak urcite, jenze od ledna 2018 se zvysujou ceny kerio produktu o cca 25%-35%, cili je na kazdem soudruhovi uvaha, zda ty prachy namisto ve chrtan GFI (=novy majitel kerio produktu) vecpat spise do kvalitniho zeleza a/nebo nekomu, kdo to postavi na opensource

[naseptavac]

Pobocky verejnou IP adresu mit nemusi, tim jsem si 100% jist. Provozuji neco podobneho uz leta s IPSECem pod CentOSem, a ackoli to urcite neni nic strasneho, pro laika to asi neni. Nicmene misto Keria bych sel do pfSense. Kdyz uz se budes ucit, proc se neucit neco, co je ta trhu uz leta zdarma a bezi na libovolnem stabilnim HW (dnes ovsem 64b) bez nutnosti mit k tomu dalsi placeny produkt - OS.

Horsi je, ze zadny klikaci navod na par kliku ti asi nikdo neposkytne. Budto si to nastudovat nebo najit nekoho, kdo tomu rozumi, a naucit se to od neho a spolu s nim. A neni to nic sileneho, jen je treba mit vhled do fungovani.

[naseptavac]

Kdyz tak premyslim, byt tebou, vzal bych si nejake 64b pc, pridal druhou sitovou kartu a zkusil si pohrat s pfSense. Podle toho se rozhodnes, jestli to je pro tebe cesta nebo potrebujes nekoho dalsiho.

[Lol Phirae]

Jinak jak již bylo řečeno, OpenVPN se opravdu vyhni. Výkon bude řádově níž než s IPsec, který zvládne akcelorovat každý krám s procesorem podporujícím AES-NI.

[krallinuxu1]

Kdybych měl firmu s dvaceti lidmi a dvěma servery a zároveň bych tomu moc nerozuměl, tak bych dal na centrálu Kerio Control na nějaký repasovaný Dell - rovnou bych koupil dva aby to šlo rychle obnovit. Kerio je dobrý produkt který zvládne spravovat každý. A na pobočky nějaké jednoduché hw firewally co umí ipsec a udělaji tunel. Ale asi se opět budeme blížit těm 60k.

Ono to jde udělat za pár tisíc, ale to ti nebudu radit protože to je prase-ina.

tak urcite, jenze od ledna 2018 se zvysujou ceny kerio produktu o cca 25%-35%, cili je na kazdem soudruhovi uvaha, zda ty prachy namisto ve chrtan GFI (=novy majitel kerio produktu) vecpat spise do kvalitniho zeleza a/nebo nekomu, kdo to postavi na opensource

Jen že kerio si dokáže průměrně vzdatný uživatel spravovat sám. Když někomu zaplatíš podobné peníze za opensource tak na něm budeš závislý ... a co si budem povídat, u opensource co odborník to názor a dva to neudělaji stejně ... taky to neni jednoduchý.

[naseptavac]

Jen že kerio si dokáže průměrně vzdatný uživatel spravovat sám. Když někomu zaplatíš podobné peníze za opensource tak na něm budeš závislý ... a co si budem povídat, u opensource co odborník to názor a dva to neudělaji stejně ... taky to neni jednoduchý.

kralkeria1 zvani nesmysly

[vesnican1]

Jen že kerio si dokáže průměrně vzdatný uživatel spravovat sám. Když někomu zaplatíš podobné peníze za opensource tak na něm budeš závislý ... a co si budem povídat, u opensource co odborník to názor a dva to neudělaji stejně ... taky to neni jednoduchý.

kralkeria1 zvani nesmysly

zadny kralkeria1 tu  neni ... .

[Miroslav Šilhavý]

Pobocky verejnou IP adresu mit nemusi, tim jsem si 100% jist. Provozuji neco podobneho uz leta s IPSECem pod CentOSem, a ackoli to urcite neni nic strasneho, pro laika to asi neni. Nicmene misto Keria bych sel do pfSense. Kdyz uz se budes ucit, proc se neucit neco, co je ta trhu uz leta zdarma a bezi na libovolnem stabilnim HW (dnes ovsem 64b) bez nutnosti mit k tomu dalsi placeny produkt - OS.

Horsi je, ze zadny klikaci navod na par kliku ti asi nikdo neposkytne. Budto si to nastudovat nebo najit nekoho, kdo tomu rozumi, a naucit se to od neho a spolu s nim. A neni to nic sileneho, jen je treba mit vhled do fungovani.

Jasně . Oni kupují systém za XXX, k tomu mají doporučeno Cisco ASA, ale budou škudlit na připojení. Naopak, pokud je ta firma tak zoufalá, že má technologie takto nazpět, měla by začít po malých krocích vše dávat do pořádku. Podle mě není účelné, aby VPN / routery musel spravovat někdo externě. Buďto by měli nastavit vše tak, aby se na to roky nemuselo sáhnout (což je varianta např. Cisco), nebo co nejvíc zjednodušit sitaci, aby se o to dokázal starat kde kdo.

[ip]

Poradí mi někdo vhodné firewally pro menší firmu. Jedná se o centrálu s dvěma servery a dvaceti uživateli. A o dvě vzdálené pobočky, každá s cca pěti uživateli. Na centrále běží poštovní server s přístupem POP3, IMAP a SMTP odkudkoli z Internetu, dále tam běží informační systém a firemní intranet.
Potřebuji aby vzdálené pobočky měly přístup do sítě centrály přes VPN. Centrála má veřejnou IP adresu. Pobočky veřejnou IP adresu nemají.
Děkuji

Verejne IP adresy a Fortigaty od Fortinetu.

[Roman]

Verejne IP adresy a Fortigaty od Fortinetu.

Fortinet vcelku drahe reseni. Pouzivam ZyWall USG + Mikrotik na pobockach. Propojeni l2tp over ipsec funguje bez problemu. ZyWall ma (po zaplaceni) filtrace ruznych sluzeb [p2p, stream media, atp]