Denne tråd er over 6 måneder gammel
Er du sikker på, at du har noget relevant at tilføje?
Router til site-to-site VPNAf Monsterbruger Kammerfruen | 29-02-2016 12:48 | 2281 visninger | 26 svar, hop til senesteHej HOL
Jeg er ved at forberede et projekt i forbindelse med min uddannelse, hvor jeg bl.a. gerne vil sætte noget site-to-site VPN op i mellem to kontorer, hos en non-profit organisation hvor jeg er i praktik i 10 uger.
Det ene kontor har 40 computere, det andet har 20, og det er ganske almindelig "kontor"-traffik: MS Office, PDF og browsing.
Jeg fik anbefalet Ubiquiti Unified Secure Gateway, men efter at have brugt nogle dage sammen med den, så har jeg konkluderet at den er for vanskelig at sætte op, da den kræver et tredjeparts controller software for at få adgang til et "advanced" GUI, som alligevel er så begrænset, at jeg er nødt til at putty ind i den, og sætte eksempelvis firewall og NAT regler op via CLI'en. Dette ville normalt ikke være et problem, men løsningen skal helst være så simpel som muligt, da jeg jo snart stopper og så skal det næste hold praktikanter tage over - derfor skal det gerne være nemt, når der skal sættes nye kontorer op fremover. Jeg har naturligvis tænkt mig at lave en udrulningsplan, der beskriver hvilket udstyr der skal købes ind og hvordan det skal sættes op, men fordi niveauet på de studerende på min uddannelse er meget varieret, så ville jeg foretrække hvis det hele kunne sættes op i en GUI.
Har i nogle erfaringer, eller kan i anbefale en billig og stabil router, der er nem at manage og som understøtter site-to-site VPN?
Budgettet hedder 1.000 kr - 3.000 kr.
På forhånd tak!
--
Hej
Jeg vil anbefale dig en router fra Zyxel USG serie.
F.eks. ZyWall USG-20, evt. 20w, hvis du vi have trådløs med.
Vi benytter selv Zywall i firmaet og VPN er forholdsvis lige til og kan klares via GUI og det samme med firewall regler.
--
Don't ever argue with an idiot, he will bring you to his level and beat you with exprience #1 Mange tak for input - jeg vil kigge nærmere på dem!
--
Alle (eller mange af dem) Ubiquiti kasser kan da lave Site-2-Site VPN uden nogen større hekseri.
Hvor gammel er din firmware?
--
--
Drifter og udvikler 24/7 Datacenter operations om dagen, er supermand om aftenen. #3 Du har helt ret! Selve VPN'en kan fint sættes op i GUI'en - den del er jeg helt tilfreds med. Jeg fik bare fortalt, at det var valgfrit at installere en controller, hvilket det bestemt ikke er, hvis man f.eks. vil sætte VPN op. Dertil synes jeg formålet med sådan en controller er nytteløs, hvis man alligevel skal ind i CLI'en for at sætte firewall-regler op. Sådan en løsning vil jeg ikke byde organisationen, da vi er blevet enig om at fremtidige praktikanter (folk som ingen IT baggrund har, andet end den undervisning de har modtaget i 1½ år) skal kunne vedligeholde og evt. sætte nye kontorer op.
Den er opdateret med nyeste firmware.
Jeg havde overvejet Ubiquiti EdgeRouter Lite, da jeg har hørt den skulle være to firmware versioner foran USG'en, men omvendt så er jeg også blevet lidt tilbageholdende efter denne oplevelse.
--
#4
da vi er blevet enig om at fremtidige praktikanter (folk som ingen IT baggrund har, andet end den undervisning de har modtaget i 1½ år) skal kunne vedligeholde og evt. sætte nye kontorer op.
Det lyder da ikke særligt godt velovervejet , selvom det er en non-profit organisation, så mon ikke du skal bede dem overvej at finde en IT mand til formålet. Så har de også har sikkerheden på plads, selv efter du har forladt skuden og der kommer en anden praktikant som ikke helt har samme kvalifikationer og slet ikke ved hvad ipsec og vpn egentlig kan være for noget. Eller om en host eller et helt netværk åbnes op.
--
hvad med at sætte en Pfsense box op istedet ?
--
#5 Der er desværre ikke midler til at ansætte en fast IT-ansvarlig. Man er udmærket godt klar over, at dette er langt fra de bedste omstændigheder, både for praktikanter og organisation, da begge ofte kommer til kort, når der opstår et omstændigt problem. Det er præcis derfor, at denne løsning skal være så simpel og elegant som muligt, så jeg kan lave en udrulningsplan, der kan bruges fremover.
#6 Nu er jeg ikke ekspert i pfsense, men det skal/kan installeres på en computer/server så vidt jeg ved. Så synes jeg bare det er nemmere, at finde en dedikeret router - her tænker jeg, når der skal sættes nye sites op i fremtiden, hvor det er nemmere at købe en router, end at skulle købe en server, som der så skal køres op med en Linux distro og herefter køres pfsense på.
Dog sætter jeg pris på begge jeres input!
--
Sidst redigeret 29-02-2016 15:24 Hvilken router sidder der i hver ende nu og har du undersøgt om disse kan det ønskede?
Hvor stor mængde trafik skal igennem, krav om performance og krypteringsstyrke?
Jeg synes 1000-3000 for 2 router lyder noget i underkanten :)
--
Gæstebruger, opret dit eget login og få din egen signatur. #7 https://www.pfsense.org[...]
De laver skam også hardware... Der findes endda danske forhandlere! Bedste løsning umiddelbart
--
ASUS Maximus Formula Special Edition RoG, Intel C2Q 2,4GHz Q6600 @ 3,2GHz, Patriot 4x1GB DDR2 PC8500, XFX Radeon HD5870 #7 Hvem taler om en FAST IT mand, der er masser af firma'r som bruger konsulenter til deres kontor lokaler rundt omkring i Danmark, de sætter ikke it praktikanter til sådanne en opgave, hvis de bare har lidt forstand på IT sikkerhed og man håber da også de IT praktikanter kan se fornuften i at lade folk med erfaring klare den opgave, selvom nye praktikanter nok kan lyde smarte og vide-det-hele typer, så er det bedst med en konsulent på opgaven for de timer det vil tage.
Det er en lille pris at betale for den sikkerhed firmaet burde få ud af det, hvis bare det ikke skal ødelægges maskiner eller lager enheder som folk har vigtig information på.
--
#8 Der sidder en m0n0wall i den ene ende, som er installeret på en meget gammel PC, og en Fullrate D-Link router i den anden. m0n0wall'en kan vist godt håndtere VPN tunneler, men jeg har mere eller mindre låst mig fat i, at jeg gerne vil have en dedikeret hardware router, så man ikke fremover skal ud i at bestille PC'ere eller servere, så der kan installeres en software router på fremtidige sites.
Med hensyn til trafik, så har jeg ikke nogle præcise tal, men der er ikke et særligt stort behov.
1.000 kr til 3.000 kr. var pr. styk, og ikke sammenlagt - beklager det ikke fremgik så tydeligt.
#9 Det var jeg ikke klar over - det ser interessant ud, tak!
#10 Beklager, jeg misforstod dig. Fast IT mand eller ej, så er der ikke midler til det - de er, som jeg tidligere skrev, udmærket godt klar over at det ikke er optimalt at få praktikanter til at lave og vedligeholde deres IT, men det er nu en gang sådan det er.
Jeg kigger lidt på ZyWall USG20 til det lille kontor og ZyWall USG60 til det store, og så vil jeg se hvilke Pfsense enheder der kan være interessante - mange tak for input folkens! Skulle der være flere, så lytter jeg gerne.
--
#10 - konsulenter er vel en del dyrer at havde :O
Med 1½ års IT uddannelse, burde CLI da ikke være noget problem :)
--
YEAH, har fundet på noget vildt sejt at skrive HER... damn, har bare glemt det ;P #12 Nej, det burde det ikke, men jeg vil umiddelbart tro, at halvdelen i min klasse (vi er 25), de ikke har prøvet at konfigurere noget i en CLI. Det er typisk de samme som sidder og konfigurerer ting, når vi har projekter, og de andre har ikke den her almene nysgerrighed, som gør at de roder med det i deres fritid. Super ærgerligt.
--
#13 - i fritiden?, de andre skal vel også lærer det, selvom andre i gruppen gør det :/.
--
YEAH, har fundet på noget vildt sejt at skrive HER... damn, har bare glemt det ;P pfsense i begge ender.
Når først hovedkontoret + 1 remote er sat op, er det stort set bare at indlæse en konfiguration på den nye remote.
Fordelen ved pfsense er at man nemt kan skalere, f.eks hovedkonterets hardware, efterhånden som antallet af remotes stiger
--
#14 Vi er nogle stykker som laver diverse projekter i vores fritid, af ren nysgerrighed. Og det tror jeg da også der er mange herinde som gør.
Der er rigtig mange, som snøvler sig igennem uddannelsen og ikke rigtig får fingrene ned i diverse konfigurationsfiler, eller hvad man nu arbejder med, og der er ingen som tvinger dem til at gøre det. Det er desværre den triste sandhed.
#15 Jeg er næsten solgt på pfsense, men jeg kan se det ikke understøtter L2TP, hvilket vist betyder der skal bruges et tredjeparts software for at enkelte brugere kan connecte hjemmefra. Det er ikke nødvendigvis et problem, men jeg skal lige kigge på hvordan det ser ud, skal sættes op og fungerer ifht. brugeren.
Må sige pfsense har overrasket mig positivt indtil videre!
--
Sidst redigeret 01-03-2016 15:46 tag et kig på meraki ... gui, simpelt og det virker faktisk ret godt :)
--
:) Nu har jeg overhovedet ikke gidet at læse hvad andre skriver, men vi har som test sat 2 Ubiquiti Edge routere op som site-to-site vpn med OpenVPN hvilket fungerer glimrende med almindelig office traffik (vi har ikke testet andet da vores ene forbindelse er ret sucky). Det hele blev sat op via terminal fra en guide jeg fandt, men det var ærlig talt ret let hvis du har et minimum af erfaring med den slags.
--
http://www.l0rn.nu[...] #17 Det vil jeg gøre!
#18 Jeg tør desværre ikke springe på mere Ubiquiti - du kan læse hvorfor, i ovenstående kommentarer.
Jeg har fundet et par produkter at kigge på, så jeg siger mange tak for hjælpen.
--
#16 Den har skam L2TP.
Billed lige taget af min pfSense.
http://i.imgur.com[...]
--
2600K|Maximus IV Extreme-Z|16GB Ram
Gainward980Ti-GS|XL2410T|U28D590D
Samsung840 EVO 500GB|Samsung 850 PRO 256GB
2xSamsung840 EVO 250GB|4x2TB&4x4TB #20 Den er ellers ikke listet under specifikationer til produktet på deres hjemmeside. Tak for info!
--
Sidst redigeret 02-03-2016 10:48 #21 Nu er L2TP jo ikke noget man plejer at køre med alene, men altid wrappet ind i IPSec. L2TP er jo en ret usikker tunnel protokol.
--
2600K|Maximus IV Extreme-Z|16GB Ram
Gainward980Ti-GS|XL2410T|U28D590D
Samsung840 EVO 500GB|Samsung 850 PRO 256GB
2xSamsung840 EVO 250GB|4x2TB&4x4TB
--
Sidst redigeret 02-03-2016 11:01 #22 Det er jeg godt klar over. Men jeg troede stadig man ville nævne L2TP i forbindelse med IPsec under features her: https://www.pfsense.org[...]
Men det er kun fedt, at du kan bekræfte det understøttes.
--
#23 Feature listen er ikke fuld, de understøtter også GratisDNS under DynDNS. Den liste der er bare er udsnit af hvad pfSense kan. Tror listen blev for lang hvis alt skulle på. ;)
--
2600K|Maximus IV Extreme-Z|16GB Ram
Gainward980Ti-GS|XL2410T|U28D590D
Samsung840 EVO 500GB|Samsung 850 PRO 256GB
2xSamsung840 EVO 250GB|4x2TB&4x4TB Du kan bruge 2 ubiquity edge lige routere og OpenVPN til at kører en site to site VPN. Der ligger en setup guide på der hjemmeside.
--
Grundet øget spam aktivitet fra gæstebrugere, er det desværre ikke længere muligt, at oprette svar som gæst.
Hvis du ønsker at deltage i debatten, skal du oprette en brugerprofil.
Opret bruger | Login
|
Du skal være logget ind for at tilmelde dig nyhedsbrev.
Hvilken udbyder har du til internet? 224 personer har stemt - Mit energiselskab (Ewii f.eks) 11%
|