Poraďte router pro středně velkou firmu

Medo77

  • ****
  • 288
    • Zobrazit profil
    • E-mail
Re:Poraďte router pro středně velkou firmu
« Odpověď #15 kdy: 17. 04. 2023, 20:37:26 »
Jakmile od Mikrotiku chce člověk více firewallu, výkon jde hodně dolů.
plz, explain.
Mame virtualku, nieco cez tisic userov dnu (remote app), z toho nejaka stovka vpn userov, nieco ide von (povolene https/smtp,/webdav/api), z hlavy cez 100 rules, hromada address listov (cz/sk ip pooly,...), a teda ak skoci cpu cez 12% to uz musi cosi byt...

Ako nejdem ho zdvihat do nebies, ale presiel som si s nim od isp v praci, az po zakaznicke riesenia, a par susnov to robi co ma... Stacilo mat export zalohy a vzdy sa to dalo narvat do ineho modelu relativne rychlo a bez vecsich porodnych bolesti..

Pokial su vyzadovane vyssie veci, tak uz kopeme inu ligu..


Re:Poraďte router pro středně velkou firmu
« Odpověď #16 kdy: 18. 04. 2023, 09:20:30 »
Bude mít větší dostupnost, když si ty krabice za dvacítku koupí tři a v případě výpadku přehodí kabely a zmáčkne reset (5 minut), nebo když si koupí jednu krabici za půl mega a k tomu za dvěstě litrů NBD servis a pak bude s vysypanou krabicí čekat od pátku do pondělí večer (NBD)?

Tu v princípe s tebou súhlasím, akurát vyššie spomínané Mikrotiky podporujú VRRP, takže v prípade výpadku sa za tri sekundy samé prehodia na záložný. V rozpočte za Cisco môže mať celý regál záložných Mikrotikov.

Vyššie spomenuté Mikrotiky neposkytnú IDS alebo NGFW. Síce to v požiadavkách nebolo, ale pri firme s 280 ľuďmi by som to asi chcel.

Co se týče debaty „něco hotového s vlastním síťovým OS“ vs. „standardní počítač s běžným OS + nastavit to“ tak osobně preferuju to druhé. Možná to má větší investici na počáteční nastavení, ale nestane se ti, že by ti chyběla nějaká featura a výrobce řekl „sorry neděláme“ nebo „jj, je k dispozici v enterprise verzi za další mega“, a navíc je potřeba také myslet na to, že nejsi jediný, kdo se o to má starat - a „administrátor - expert na konfiguraci sítě v Linuxu“ se shání podstatně jednodušeji než „administrátor - expert na konkrétní síťový OS nějakého výrobce“.

Tu nie celkom súhlasím. Aadministrátor bežného OS vie nastaviť ip adresu na rozhraní, alebo nejako dá iptables, ale na BGP bude pozerať ako na zjavenie. Sieťový administrátor je v tomto ohľade niečo iné a vie riešiť veci, ktoré by si si v bežnom OS musel nejako došolíchať sám.
Prumerny sitar kouka na BGP jak na zjeveni. To je specialita a ne kazdy to resi.
Obvykle jsou jen dedikovani kouzelnici s BGP ( tech neni moc v republice) a ti ostatni to jen tak solichaji aby "to fungovalo" a neni to ani 10% jejich prace.
Mam treba experty kteri delaji jen ethernet a to cele je slozita domena sama pro sebe.

David

  • ***
  • 143
    • Zobrazit profil
Re:Poraďte router pro středně velkou firmu
« Odpověď #17 kdy: 18. 04. 2023, 09:25:56 »
Jakmile od Mikrotiku chce člověk více firewallu, výkon jde hodně dolů.
plz, explain.

Také používám Mikrotiky úplně všude a jsem spokojený - přehledný Winbox, kde můžu cokoli lehce nastavit, pohoda. Dlouho jsem měl RB2011, ten ale nebyl schopný routovat snad ani půl gigabitu (mezi sítěmi). Při zapnutí fasttracku samozřejmě internet mohl jít rychle, ale to je právě ten složitější firewall, který pak člověk nemůže použít. Dobře, to je vykopávka.

Teď konkrétně na RB5009, když zkusím speedtest.net, vytížení je při downloadu na 3 jádrech 30 %, na 4. 20 %, celkově asi 18 %. To je potřeba sledovat, jestli se nějaké jádro nedostane na 100 %. U VPN si říkám, že mě procesor může brzdit a používám místo IPsec raději Wireguard na PC za routerem.

Na RB4011 při speedtestu šly 3 jádra na 50-60 %, při opakování už méně. Při stahování ISO souboru (700 Mbit/s) koukám, že to jedno jádro vytíží na 100 %, druhé 20 %, ostatní nic. Možná mám neefektivně nastavený firewall, to se dá zjistit přes Tools->Profile - tam to ukazuje usage 30 firewall a 40 networking. Co si pod tím představit zatím neřeším. Ale vidím z toho, že tam bude někde úzké hrdlo pro složitější hraní si s nastavením (OSPF, BGP, routování více sítí + relativně základní firewall). Pro velkou firmu bych zkrátka raději pořídil server (Linux).

Re:Poraďte router pro středně velkou firmu
« Odpověď #18 kdy: 18. 04. 2023, 12:26:17 »
Při stahování ISO souboru (700 Mbit/s) koukám, že to jedno jádro vytíží na 100 %, druhé 20 %, ostatní nic.

To se stává i v lepších rodinách. Obecně load balancing napříč "nějakými zdroji" (tradičně Eth porty v bundlu) nebývá per paket, ale per destination nebo per flow apod. Tady zrovna Vám konkrétní flow sežere celé CPU jádro. Ve vanilkovém linuxu (nebo OpenWRT) bych se případně zajímal, zda mám zapnutý irqbalance - a neslibuju, že zrovna ten by Váš případ měl řešit.

Začni tím, že si ověříš, že nebudete spadat pod NIS2 a osobně si myslím, že při této velikosti budete. Abys nevyhodil prachy a spoustu času za nějaký řešení, který se za rok buď bude muset rozšířit nebo úplně vyměnit.
Ze zvědavosti jsem mrknul, co se o NIS2 a Zákonu o kybernetické bezpečnosti dá dočíst, a brodil jsem se víceméně spoustou meta-řečí okolo. Když pominu obsáhlou rovinu motivačně-řečnivou a trochu více k věci rovinu organizačních opatření, zajímá mě: už jsou jasné nějaké technické požadavky a konkrétní technická řešení, týkající se konkrétně firemního firewallu?

Co všechno logovat, musí to mít IDS/IPS, má se to bavit přes nějaká externí rozhraní s nějakým kolektivním systémem informování o hrozbách? Musí to mít povinně horkou zálohu (active+backup)? Co všechno na kterých vrstvách má FW filtrovat? Jsou nějaké best practices, co ještě dovolit a co zakázat? Konkrétní nároky na autentikaci admina? Na autentikaci remote VPN klientů, pokud FW slouží také jako VPN access server? Dovolené a zakázané šifry / tunelové technologie? Co smí přicestovat emailem / downloadem z webu? Je povinnost používat nějaké externí služby pro zjišťování, zda je zkoumaný vzorek čistý vs. závadný?

Zkusil jsem pogooglit, jestli na to téma uveřejnil nějaký názor třeba projekt Turris nebo CZ.NIC, a nevidím dohromady nic.

Nebo to stojí tak, že "na tyto otázky má dát jasnou odpověď analýza rizik a provozně-organizačního uspořádání, kterou je třeba za tím účelem v konkrétní organizaci pořídit, a závěry a doporučení přetavit v interní směrnici" ?

Pokud toto zatím není technicky detailně jasné, a ten firewall je třeba řešit teď, za mě o důvod víc pořídit něco otevřeného a přiměřeně silného za relativně málo peněz na open hardwaru :-) než si koupit od komerčního dodavatele slib, že tento dnešní produkt bude za rok-dva vyhovovat jakémusi politicko-legislativnímu prostředí, které se do té doby vyvine...

Ano potkal jsem v praxi některé svědomité firmy, kterých se NIS2 primárně týká, a zhruba vím, jak k tomuto zadání už několik let přistupují. Dělají maximum technicky možného. Ale když si představím, že bych byl správcem ve firmě, která pomalu roste k hranici 50 lidí, a oborem se možná okrajově dotýká záběru NIS2 resp. našeho domácího Zákona, tak bych se možná drbal na hlavě, do kolika všelijakých chomoutů chci dobrovolně strčit hlavu. Pokud správně chápu, zatím se zdá, že se ta věc nesnaží "vnutit určitou úroveň bezpečnostního cirkusu" rekurzivně i vnějším partnerům, kteří jsou mimo přímou působnost NIS2/Zákona. Zřejmě stačí, že tito "zůstanou venku před hradbami." (Srovnejte se systémem jakosti ISO a jeho pojmem "kvalifikovaných dodavatelů", nebo s mezinárodním hnutím proti krvavým minerálům apod.)

jjrsk

  • ****
  • 349
    • Zobrazit profil
Re:Poraďte router pro středně velkou firmu
« Odpověď #19 kdy: 18. 04. 2023, 13:21:23 »
Hledám router+firewall pro středně velkou firmu.
...

U mikrotika bych se vazne bal vykonu, protoze ve specifikacich najdes spis hromady kecu, ale realne to overis leda v realite.

Osobni zkusenosti (ruzny rady ruzny kategorie) - pokud od toho "nic" nechces, funguje to +- (tzn na doma ok). Jakmile od toho "neco" chtit zacnes, zacnou potize. Napr sifrovani(vpn) je u mikrotiku naprosta tragedie. Stravis klidne i par dnu tim, ze budes hledat alespon fukcni nastaveni na kterym se dohodnes s protistranou, a pak zjistis, ze zrovna tohle nastaveni ale neni podporovany HW, takze ti to da 10Mbit a to si budes jeste gratulovat.

Snad jeste mnohem horsi je, ze na to sice pomerne hodne dlouho vychazeji aktualizace, ale naprosto bezne se deje to, ze po aktualizaci ti proste "neco" (z toho co chces) prestane fungovat (me trebas takhle lehlo openvpn, takze sem si udelal 200km vejlet ...).

Dodnes to poradne neumi ani zaklady IPv6. Pokud chces zprovoznit IPsec, musis vymejslet volotrkarny na tema blackhole iface a podobne.

Pokud od toho chces shaping, tak toho bych se bal opravdu hodne, protoze to je asi vykonostne nejnarocnejs vec co tam mas.

---

Ad Cisco, tady si sice kupujes mercedesa, ale za cenu rolse. Muzes prozmenu narazit na to, ze pokud neni cela sit na cisco only, tak treba 70% funcionality nevyuzijes, protoze se krabice nedomluvej. Proti mikrotikovi to ma prevazne o dost kratsi (a casto prakticky nedostupny, pokud si neplatis maintanence) support.

---

Jinak receno, pokud nemas "neomezeny" rozpocet, a pokud chces vedet co to dela a mit moznost s tim neco udelat, pak souhlasim s predrecnikem, ze na to co si vyjmenoval bych nahodil nejaky PClike router. Vykon bude v pohode (2x100Mbit da asi skoro cokoli) a konfiguracne tam nevidim nic s cim by mel byt problem + jako bonus, to kdykoli snadno nahradis.

BTW: pokud se bavime o zcela libovolne odolnosti proti vypadku, tak je pochopitelne treba mit PI adresy, a pokud je nemas, tak je to v kazdem pripade takovy to bastleni na dvorku.


vesterna12

  • ***
  • 122
  • byrokracie zabíjí kreativitu
    • Zobrazit profil
    • E-mail
Re:Poraďte router pro středně velkou firmu
« Odpověď #20 kdy: 18. 04. 2023, 13:54:14 »
Děkuju Všem za příspěvky.
V závěru budu volit samostatný server s Pfsense.
Pokud to rozpočet dovolí tak budou dva.

Re:Poraďte router pro středně velkou firmu
« Odpověď #21 kdy: 18. 04. 2023, 14:09:53 »
BTW: pokud se bavime o zcela libovolne odolnosti proti vypadku, tak je pochopitelne treba mit PI adresy, a pokud je nemas, tak je to v kazdem pripade takovy to bastleni na dvorku.

To je hodně konzervativní pozice.
PI adresy jsou dvojsečné. Pokud už se je podaří získat, tak za tu "nezávislost" se snadno platí tím, že pokud párkrát flapnete, tak Vás budou velcí hráči naschvál "hubit" v globálním BGP.

Za mě: i s dvěma konektivitami od dvou různých ISP (dva různé autonomní systémy) se dá vyžít velmi dobře. Relace navazované směrem ven fungují samotížně prostě podle momentálního default routu. Relace navazované směrem dovnitř je potřeba obsloužit "policy routingem" - což trochu žere CPU, ale jinak konfiguračně v dnešní době žádná křeč, dokonce user-friendly open-source firewally to mívají jako jednoduchou klikací volbu. SMTP e-mail jede přes dva MX záznamy na dvě IP adresy - jenom pokud by se to obsloužilo jediným serverem, tak je trochu hraní s potřebou dvojího "smtp_helo_name" (případně pokud by byly potřeba dva SSL/PKI certy). Služby jako WWW, které neumí failover mezi více IP adresami, lze usadit někam do hostingu se zajištěnou vyšší spolehlivostí / redundantní konektivitou...
Druhá možnost samozřejmě je, zvolit dostatečně velkého ISP s interně redundantní infrastrukturou, a pořídit si dva nezávislé uplinky do jeho AS.

dahl

Re:Poraďte router pro středně velkou firmu
« Odpověď #22 kdy: 20. 04. 2023, 13:58:46 »
Tahle masinka u nas routuje a NATuje konektivitu 5 Gbps pro 1700 lidi a jejich cca 5000 zarizeni. Super vec za ty penize. Doporucuji dva a domluvit se s kazdym providerem at ti konektivitu predavaji take na dvakrat. Muzes si z toho udelat HA.


Hledám router+firewall pro středně velkou firmu.

Nějakých 280 stanic.
9 VLAN.
Potřebuji podporu LACP pro propojení s existující infrastrukturou pomocí 4x1Gbe.
2xWAN pro podporu 2xISP, 2X100Mbit.
Hodila by se i podpora "load balancingu/VIP" pro služby v DMZ, ale případně se dá použít HAProxy.
VPN Ipsec nebo podobné pro propojení ostatních lokalit (2x).
QOS pro priorizaci provozu z VLAN do internetu.

Nějaký MK jako takový se mi jeví jako dobré řešení, ale rád si nechám poradit
https://www.i4wifi.cz/cs/262009-mikrotik-cloud-core-router-ccr2004-16g-2s

hubit a flapnete u PI adres
« Odpověď #23 kdy: 09. 08. 2023, 11:24:55 »
Šlo by to(citaci dole) přeložit trochu do jazyka smrtelníků? Jaké příklady flapnutí a hubení jsou?

A dál mě zajímá srování s druhým odstavcem. Tedy mít PI adresu a "mě: i s dvěma konektivitami od dvou různých ISP (dva různé autonomní systémy) " jsou ve vztahu XOR?

PI trochu tuším co je, že mám IP adresu z rozsahu PI  (no punlindrom intended) a můžu střídat nebo mít víc poskytovatelů(co z toho platí, obojí může být?) a přes BGP mi tuto IP adresu provider "zprovisinuje" - ale nemůže to asi být Lojza z Kotěhůlek, který  lakuje své stádo NAT konektivitou..

A tedy jste to myslel (tu část v kurzívě) takto: že jde o 2 konektivity s IP adresou(ami) ,kterou standardně poskytuje poskytovatel, tedy bez BGP   
"přečíšlování"??

To je hodně konzervativní pozice.
PI adresy jsou dvojsečné. Pokud už se je podaří získat, tak za tu "nezávislost" se snadno platí tím, že pokud párkrát flapnete, tak Vás budou velcí hráči naschvál "hubit" v globálním BGP.

Za mě: i s dvěma konektivitami od dvou různých ISP (dva různé autonomní systémy) se dá vyžít velmi dobře.

Hubit znamená "nechat" zmizet? Jelikož pokud není adresa propagována přes BGP, není se k ní jak dostat, že?
ALe je mi na tom divná jedna věc. Myslel jsem, že hubit může maximálně ten provider, u kterého to mám, ale jak to že i "zbytek světa"(ostatní) ASN? Je to tak, že provider jen anouncuje moji PI adresu do svého ASN přes BGP? a záleží jestli ti velcí ostatní ji přijmou?
« Poslední změna: 09. 08. 2023, 11:28:25 od Vietnamka »