Poraďte vhodný firewall pro jednu centrálu a dvě pobočky

milous

Re:Poraďte vhodný firewall pro jednu centrálu a dvě pobočky
« Odpověď #30 kdy: 23. 10. 2017, 09:37:20 »
Pobocky verejnou IP adresu mit nemusi, tim jsem si 100% jist. Provozuji neco podobneho uz leta s IPSECem pod CentOSem, a ackoli to urcite neni nic strasneho, pro laika to asi neni. Nicmene misto Keria bych sel do pfSense. Kdyz uz se budes ucit, proc se neucit neco, co je ta trhu uz leta zdarma a bezi na libovolnem stabilnim HW (dnes ovsem 64b) bez nutnosti mit k tomu dalsi placeny produkt - OS.

Horsi je, ze zadny klikaci navod na par kliku ti asi nikdo neposkytne. Budto si to nastudovat nebo najit nekoho, kdo tomu rozumi, a naucit se to od neho a spolu s nim. A neni to nic sileneho, jen je treba mit vhled do fungovani.

Jasně :). Oni kupují systém za XXX, k tomu mají doporučeno Cisco ASA, ale budou škudlit na připojení. Naopak, pokud je ta firma tak zoufalá, že má technologie takto nazpět, měla by začít po malých krocích vše dávat do pořádku. Podle mě není účelné, aby VPN / routery musel spravovat někdo externě. Buďto by měli nastavit vše tak, aby se na to roky nemuselo sáhnout (což je varianta např. Cisco), nebo co nejvíc zjednodušit sitaci, aby se o to dokázal starat kde kdo.

od ledna 2018 lze jako minimalni licenci koupit 10-tu uzivatelskou licenci :-)
aktualni cena za Kerio Control na 10 uzivatelu (budouci minumum), ktera se po lednu 2018 zveda o cca 30%, je ted cca 11.000.- bez DPH
pro dve pobocky tedy 22.000.- bez DPH

pro centralu potrebujeme Kerio Control pro 20 uzivatelu, zde je aktualni cena cca 19.000.- bez DPH

cili celkove za kerio licence zakaznik zaplati 41.000.- bez DPH (po lednu pres 50.000,- ?)

kerio control neni az tak nenarocne jako pfSense a 2GB RAM je malo, zaroven potrebuji silnejsi CPU + videokartu
na pfSense mne staci ALIX APU 2C4 bez videokarty, instaluju pres seriovy kablik

cili mam obavy, zda onen 60k rozpocet bude stacit na kerio control reseni
jedinou vyhodu keria spatruji v ceske administraci kerio controlu



Re:Poraďte vhodný firewall pro jednu centrálu a dvě pobočky
« Odpověď #31 kdy: 23. 10. 2017, 09:46:25 »
cili mam obavy, zda onen 60k rozpocet bude stacit na kerio control reseni
jedinou vyhodu keria spatruji v ceske administraci kerio controlu

Já si myslím, že pan kolega tazatel hlavně vůbec neví o síťování tohoto druhu, a možná by pro něj bylo úlevou zvolit technicky jednodušší řešení, byť dražší.

milous

Re:Poraďte vhodný firewall pro jednu centrálu a dvě pobočky
« Odpověď #32 kdy: 23. 10. 2017, 09:50:48 »
cili mam obavy, zda onen 60k rozpocet bude stacit na kerio control reseni
jedinou vyhodu keria spatruji v ceske administraci kerio controlu

Já si myslím, že pan kolega tazatel hlavně vůbec neví o síťování tohoto druhu, a možná by pro něj bylo úlevou zvolit technicky jednodušší řešení, byť dražší.

a ja bych jeste mozna spise doporucil jednorazove najmout nekoho, kdo tomu rozumi a dela to denne jako svuj job a nepytlikovat to sam


Re:Poraďte vhodný firewall pro jednu centrálu a dvě pobočky
« Odpověď #33 kdy: 23. 10. 2017, 09:58:14 »
a ja bych jeste mozna spise doporucil jednorazove najmout nekoho, kdo tomu rozumi a dela to denne jako svuj job a nepytlikovat to sam

Ano, ale to asi nepřipadá moc v úvahu, pokud se řeší jako problém veřejná IP adresa a jednorázové pořízení ASA.

ip

Re:Poraďte vhodný firewall pro jednu centrálu a dvě pobočky
« Odpověď #34 kdy: 23. 10. 2017, 10:06:44 »
Fortinet vcelku drahe reseni. Pouzivam ZyWall USG + Mikrotik na pobockach. Propojeni l2tp over ipsec funguje bez problemu. ZyWall ma (po zaplaceni) filtrace ruznych sluzeb [p2p, stream media, atp]

Drahost je relativni pojem, tazatel uvadel ze mu bylo nabidnuto reseni na Cisco a to mu pripadlo drahe, Fortinet reseni drazsi nebude.
Tazatel tez neudaval ze podstatnym kriteriem pro vybrani je nejnizsi cena.
Tazatel zadal radu pro vhodne reseni, Fortinet je alternativa Cisco reseni.

S mikrotikama pro VPN mame spatne zkusenosti,co se tyka "bezproblemoveho" chodu VPN na DSL linkach od O2 (a t-mobile) a sitich nekterych lokalnich provideru.
Provideri nemaji stabilni site, pripojeni neni stabilni a s mikrotikem se velmi casto stava ze se VPN rozpadne a pak uz nenavaze.
S Fortinetem jsme tyto problemy ve stejnych sitich nezaznamenaly.

Netvrdim ze to je jedine idealni reseni, jedna se jen o alternativu.

Skill tazatele nebude imho na urovni tech co provozuji a doporucuji reseni typu pf + mikrotik atd.


fahacz

Re:Poraďte vhodný firewall pro jednu centrálu a dvě pobočky
« Odpověď #35 kdy: 23. 10. 2017, 10:16:36 »
APU s pfSense nebo Linuxem, OpenVPN je jasná volba pokud jdete po ceně, nedávno jsme to stavěli pro zákazníka a nevadí Vám DIY, je to tak levné, že klidně můžete mít jeden box na skladě do zásoby, pokud zvolíte statický routing, tak na z každé pobočky navážete tunnel směr central office, dáte si na něj spojovací IP např. /30 a provedete routing rozsahů na central office směr pobočky, přes ty spojky a naopak na pobočkách routing směr centrálna a máte hotovo.
---
https://www.youtube.com/watch?v=21XW_ySPTiQ
---

Né každý může mít Cisco ASA a IPsec v plné parádě a druhé věc to je to umět i nakonfigurovat a spravovat.
Případně podívejte se na Fortigate, Sonicwall ...
František Havel



naseptavac

Re:Poraďte vhodný firewall pro jednu centrálu a dvě pobočky
« Odpověď #36 kdy: 23. 10. 2017, 11:01:26 »
Podle mě není účelné, aby VPN / routery musel spravovat někdo externě. Buďto by měli nastavit vše tak, aby se na to roky nemuselo sáhnout (což je varianta např. Cisco), nebo co nejvíc zjednodušit sitaci, aby se o to dokázal starat kde kdo.

Nepsal jsem spravovat externe, ale zkusit se podivat na pfSense a podle toho se rozhodnout a pripadne se to od externisty DOUCIT.

V.

Re:Poraďte vhodný firewall pro jednu centrálu a dvě pobočky
« Odpověď #37 kdy: 23. 10. 2017, 11:03:03 »
Není tu uvedeno, kdo se o to bude starat a jakým způsobem, stejně tak nevidím zmínku, na jak dlouho se to plánuje pořídit a co pak s tím (?)
Co do ceny za železo by mohl být značně výhodný nějaký Mikrotik. I proto, že i po cca 4 letech bude mít pravděpodobně nějaké security aktualizace nebo vylepšení.
Případně bych sám šel do SRX 3x0 od Juniperu (případně SRX220 kvůli failoveru).

ES

Re:Poraďte vhodný firewall pro jednu centrálu a dvě pobočky
« Odpověď #38 kdy: 23. 10. 2017, 11:18:19 »
Ja hlasuju za 3x nejaky Supermicro A1SAi neco neco
A na to OpenBSD. Nekdo to bude muset jednorazove nainstalovat a nakonfigurovat.
Pak se ale na to da uplne zapomenout nepamatuju bezpecnostni problem v necem co by bylo
potreba z venku (ipsec...)