[r1sh]

Всем привет!

 

У нас сеть распределенных офисов по России, в некоторых работает до 5 человек. В таких офисах мы либо подключаем проводной интернет ( если требуется ) и ставим cisco asa 5506-x + unifi ap ac lite либо сотрудники работают по 4G через экспресс-офис мегафон, который так же раздаёт wi-fi, где-то исторически стоят soho роутеры d-link, zyxel и тд.

 

Там где стоит cisco поднимаем ipsec туннель до ЦОД, где стоит asa 5510

 

Хочется привести всё к единому знаменателю с возможностью безопасной дистанционной настройки и мониторинга по snmp (чего нет в soho роутерах), по этому по  требованиям получается:

 

1.Маршрутизатор, который умеет ipsec vpn и нет глюков при подключении к cisco

2.Возможность подключения сим-карты или usb-модема МТС\Мегафон

3.WAN порт + LAN порты 2-4шт

4. Желательно встроенный Wi-Fi модуль хотя бы 802.1n , лучше 802.1ac

5. Бюджет до 10тыс рублей

6. Возможность мониторинга по SNMP, желательно настройка по ssh.

 

Пока из вариантов которые пришли в голову это несколько моделей Микротик.  Есть еще какие-то варианты?

 

Буду признателен за ответ.

Edited November 3, 2017 by r1sh

[Adim]

у нас в городе салоны МТС все на микротиках настроили

в каждом офисе проводной интернет разных операторов

[r1sh]

1 час назад, Adim сказал:

у нас в городе салоны МТС все на микротиках настроили

в каждом офисе проводной интернет разных операторов

на каких моделях если не секрет?

[Urs_ak]

6 часов назад, r1sh сказал:

Бюджет до 10тыс рублей

Так тут кроме микротика ничего не влезет.

 

Так у Zyxel'я есть линейка USG, но она будет дороже 10-ти.

https://www.zyxel.com/ru/ru/products_services/Next-Generation-Unified-Security-Gateway-Performance-Series-USG60W-60-40W-40/comparison#specifications

[poisons]

А Ubiquiti EdgeRouter X никто не использовал? 

[Adim]

6 часов назад, r1sh сказал:

на каких моделях если не секрет?

RB951Ui-2HnD

вроде как

[alibek]

Микротик будет проще.

EdgeRouter тоже неплох.

Остальное от лукавого.

[myst]

Дешево и сердито однозначно это микротик (951й например, но надо смотреть по BW туннелей до MAIN, он не вывозит более 8 мегабит крипто). Я такую сеть на 2000 бранчей в свое время реализовывал. 

[r1sh]

Подскажите, какая из этих моделей будет наиболее стабильно и безпроблемно работать?

 

Mikrotik RB951Ui-2HnD
    
Mikrotik RB951G-2HnD

Mikrotik RB2011UiAS-2HnD-IN

Mikrotik hAP ac
    
Mikrotik hAP ac lite

Mikrotik hAP

 

По факту гигабитные порты не принципиальны, 5Гц желательно но тоже не принципиально. Важно чтобы хорошо пробивал Wi-Fi.

[EugeneTV]

Лучше RB750g3 на связь с головной конторой, а вафлю отдельным устройством все-таки

[r1sh]

27 минут назад, EugeneTV сказал:

Лучше RB750g3 на связь с головной конторой, а вафлю отдельным устройством все-таки

подскажите, чем это решение будет лучше? по логике больше устройств = больше точек отказа?

[EugeneTV]

rb750g3 умеет Ipsec с аппаратным ускорением. Ну и по отказам, если вафля сдохнет ее можно легко заменить любой другой железкой из ближайшего магазина. 

[r1sh]

9 минут назад, EugeneTV сказал:

rb750g3 умеет Ipsec с аппаратным ускорением. Ну и по отказам, если вафля сдохнет ее можно легко заменить любой другой железкой из ближайшего магазина. 

 

вообще мы планируем ставить эти железки в офисах до 10 человек, там интернет-канал будет до 10мб\с. По факту судя по системе мониторинга канал в таких офисах загружен на 2-3мб\с от силы, по ipsec туннелю пользователи ходят на crm и sharepoint по Https и по Rdp на терминал, что тоже особо трафик не кушает.

Либо будет офис 2-3 человек и 4G модем без Ipsec.

Так ли важен аппаратный ipsec при нашем использовании?

Часто бывают отказы встроенного Wi-Fi в микротиках?

Edited November 9, 2017 by r1sh

[Saab95]

8 часов назад, r1sh сказал:

Так ли важен аппаратный ipsec при нашем использовании?

Часто бывают отказы встроенного Wi-Fi в микротиках?

Отказов вайфая в офисных микротиках практически не бывает. Шифрование IPSEC уже устарело, оно сложно в настройке. Если без шифрования никуда - то посмотрите в сторону SSTP, он тоже с шифрованием не хуже IPSEC по защищенности.

 

Так же нужно рассмотреть вариант, когда офисы подключаются не к циске, а к промежуточному микротику (или к двум, что лучше). На каждый выделяете внешний IP адрес, каждое удаленное устройство поднимает 2 туннеля к каждому, маршрутами обмениваются через OSPF. А уже к циске передадите маршруты на офисы - так будет лучше и нет никаких ограничений на совместимость.

 

Обычно ставят либо RB951G или RB2011 с оптикой и вайфаем.

[poisons]

Наркомана этого не слушайте, он в очередном трипе, предлагает гонять tcp трафик в tcp туннеле. Модно, стильно, молодежно.

[Ivan_83]

В 11/9/2017 в 19:56, Saab95 сказал:

Шифрование IPSEC уже устарело, оно сложно в настройке. Если без шифрования никуда - то посмотрите в сторону SSTP, он тоже с шифрованием не хуже IPSEC по защищенности.

А микротики в своём пионерском шифровании уже ГОСТ научились?)

 

В 11/9/2017 в 19:56, Saab95 сказал:

Так же нужно рассмотреть вариант, когда офисы подключаются не к циске, а к промежуточному микротику (или к двум, что лучше).

Лучше циску вообще обернуть микротиками: в каждый порт ей по микротику воткнуть, нехай знает. %)

[CNick]

Cisco C897VAGW-LTE - 1G WAN, 8x1G LAN, + WiFi + LTE + VDSL/ADSL2+

 

https://www.cisco.com/c/en/us/products/collateral/routers/800-series-routers/datasheet_c78-732744.html

[NiTr0]

В 11/3/2017 в 16:12, Urs_ak сказал:

Так тут кроме микротика ничего не влезет.

микротик с ipsec нежизнеспособен.

 

циска RV110W (или 215, 220) не рассматривается? вроде как вполне ок. всяко лучше некротика во всяком случае.

 

или вариант "дешево и сердито" - настрогать на DD-WRT/OpenWRT/LEDE типовый конфиг под популярную сохо-модель. будет пожалуй сопоставимо с некротиком по надежности, более предсказуемо, и дешевле. но - потребует затрат времени на первоначальную настройку.

[myth]

На наше отделение почты России прислали вот такой вот http://opk-bulat.ru/products/corporate-data-network/switches/routers/bm2800/ .На 10 мегабит канала.

[RN3DCX]

Интересно сколько стоит ентот девайс? тыщь 50000 ? 

[EShirokiy]

750gr3, бюджетно и производительно. Вай-фай отдельно.  Никаких проблем с микротиками нет. Слушать товарищей с предложением развернуть wrt на сохо-роутере или поставить в центр кучу микротиков глупо. Возьмите микротик на тест. Бюджетнее и адекватнее решения нет. SNMP и SSH есть.

[zhenya`]

11 часов назад, myth сказал:

На наше отделение почты России прислали вот такой вот http://opk-bulat.ru/products/corporate-data-network/switches/routers/bm2800/ .На 10 мегабит канала.

Забавно.. hdlc, hsrp, ezvpn это циска? Похоже картинки специально не реального железа..

 

Хотя http://www.qtech.ru/catalog/marsh/520/chars.htm таже железка.. в общем похоже китайцы написали, а они перевели и не проверили даже )))

[NiTr0]

7 часов назад, EShirokiy сказал:

750gr3, бюджетно и производительно. Вай-фай отдельно. 

и обойдется этот зоопарк дороже новой циски. смысл?

 

7 часов назад, EShirokiy сказал:

Никаких проблем с микротиками нет.

чо, даже ipsec починили? или предлагаете ТСу отказаться от "устаревших технологий" и обмазаться некротиковским проприетарным sstp во всех местах?

[EShirokiy]

NiTr0 у нас у одного юрика работает айписек, не жаловались. 750гр3 стоит 4 тыс рублей, при этом производительность очень хорошая.

[NiTr0]

6 часов назад, EShirokiy сказал:

750гр3 стоит 4 тыс рублей

+ добавьте к этому точку доступа...

а потом - посмотрите сколько стоит RV110W. у которой есть хоть какой-то саппорт (в отличие от некротика с типичным "у вас неправильные настройки, настройте правильно, как - не знаем"). ну или для 3ж/4ж - RV130W.

 

6 часов назад, EShirokiy сказал:

при этом производительность очень хорошая.

это - офис. не игровой клуб, не клуб любителей торрента.  300 мбит через роутер никто гонять не будет (хотя RV130W смогет). RV110W вполне осиливает под 90 мбит ната и 5 мбит ipsec - для офиса достаточно.