Jump to content
Калькуляторы

Построение сети, затык в оборудовании ... нужна помощь

59 минут назад, dr Tr0jan сказал:

Я правильно понимаю, что это выражение можно рассматривать как, что микротик априори является небезопасным оборудованием?

За последние полтора-два года в нем уже раза четыре находились критические уязвимости, позволяющие получить доступ вообще без каких-либо усилий.

Про количество уязвимостей при нацеленной атаке я сказать затрудняюсь.

Share this post


Link to post
Share on other sites
7 минут назад, alibek сказал:

За последние полтора-два года в нем уже раза четыре находились критические уязвимости, позволяющие получить доступ вообще без каких-либо усилий.

Про количество уязвимостей при нацеленной атаке я сказать затрудняюсь.

Ну надо сказать, что везде находят уязвимости. С другой стороны у микротика приходится извращаться чтобы спрятать CP от посторонних.

Share this post


Link to post
Share on other sites
1 час назад, dr Tr0jan сказал:

А вот Фортинет и Джунипер выходят дешевле некротика, а по функционалу богаче и надёжней.

Теперь начинайте давать советы по настройке этих устройств новичку в сетестроении=)

Согласитесь, микротик настроить в разы проще. И где там функционал богаче у конкурентов?

 

1 час назад, dr Tr0jan сказал:

Я правильно понимаю, что это выражение можно рассматривать как, что микротик априори является небезопасным оборудованием?

Нет, просто наличие белого адреса требует определенного вида лишних настроек, ограничений на вход, разрешения для определенных портов, включения НАТ. И все только ради того, что бы 10-20 человек подключались извне, а на 2000 внутренних устройств это не требуется, зато оборудование будет лишний раз нагружаться от этих настроек. Так сети не делают.

 

46 минут назад, alibek сказал:

За последние полтора-два года в нем уже раза четыре находились критические уязвимости, позволяющие получить доступ вообще без каких-либо усилий.

Про количество уязвимостей при нацеленной атаке я сказать затрудняюсь.

Достаточно ограничить IP адреса подключения у учетных записей администратора, отключить веб и закрыть все сервисы со стороны интернета. И никто его не будет ломать.

В логах вообще ничего не происходит. А через интернет подключается большое количество устройств микротиков, почти на всех внешний белый IP адрес.

Share this post


Link to post
Share on other sites
16 минут назад, Saab95 сказал:

отключить веб и закрыть все сервисы со стороны интернета.

Смешной.

Сейчас модно использовать уязвимости изнутри.

Share this post


Link to post
Share on other sites
27 minutes ago, Saab95 said:

Теперь начинайте давать советы по настройке этих устройств новичку в сетестроении=)

Согласитесь, микротик настроить в разы проще.

Не соглашусь. Фортинет и джун вот прям намного проще, чем микротик.

 

27 minutes ago, Saab95 said:

И где там функционал богаче у конкурентов?

Безопасность - раз. Ничего не "нагружается" от ВПН - это два.

29 minutes ago, Saab95 said:

Нет, просто наличие белого адреса требует ... включения НАТ.

Лолшто?

30 minutes ago, Saab95 said:

Достаточно ограничить IP адреса подключения у учетных записей администратора, отключить веб и закрыть все сервисы со стороны интернета.

За Фортинет не скажу, но у Джуна это из коробки сделано. Даже спецом ничего делать не нужно. Веб только не отключен, да и не нужно его отключать - намного удобней и понятней, чем винбокс.

Share this post


Link to post
Share on other sites
26 минут назад, dr Tr0jan сказал:

Не соглашусь. Фортинет и джун вот прям намного проще, чем микротик.

Ну вот приведите пример как на них IP адрес на интерфейс установить?

На микротике это

/ip address add address=1.2.3.4/24 interface=ether1

 

27 минут назад, dr Tr0jan сказал:

Безопасность - раз. Ничего не "нагружается" от ВПН - это два.

 

27 минут назад, dr Tr0jan сказал:

Лолшто?

Еще раз напишу. Если на роутере белый адрес и на него подключаются извне по VPN, то как тогда абоненты сети в интернет выходят, через другое устройство?

А раз выходят в интернет, то и НАТ на нем включен. И каким бы он аппаратным не был, все равно включается отслеживание соединений, которое занимает ресурсы процессора, и это у всех так, даже у циски.

 

И когда про производительность пишут не провайдеры, это выглядит немного нелепо, т.к. что энтерпрайз может знать про нагрузки=) Если у провайдеров в ходу 10Г интерфейсы и потоки трафика, в них упирающиеся, то энтерпрайз до таких скоростей никогда не развивается, и гиг трафика пустить через циску это для них обычно потолок, а когда требуется пустить 10Г, многие циски и джуны уже не справляются с нагрузкой.

 

32 минуты назад, dr Tr0jan сказал:

За Фортинет не скажу, но у Джуна это из коробки сделано. Даже спецом ничего делать не нужно. Веб только не отключен, да и не нужно его отключать - намного удобней и понятней, чем винбокс.

Попробуйте в вебе открыть несколько интерфейсов сразу и графики с них посмотреть, одновременно несколько окошек пингов запустить и тесты скорости, ах да, еще снифер пакетов что бы посмотреть что там на неком интерфейсе происходит. Вот тогда и станет понятно чем винбокс лучше.

Share this post


Link to post
Share on other sites
41 минуту назад, Saab95 сказал:

Ну вот приведите пример как на них IP адрес на интерфейс установить?

На микротике это

/ip address add address=1.2.3.4/24 interface=ether1

Set interace ge-0/0/0 unit 0 famaly inet address 

Если чё пишу с телефона мог допустить ошибки 

есть tab и ?

Cli это дело вкуса хотя cli и в Африке cli

 

41 минуту назад, Saab95 сказал:

Попробуйте в вебе открыть несколько интерфейсов сразу и графики с них посмотреть, одновременно несколько окошек пингов запустить и тесты скорости, ах да, еще снифер пакетов что бы посмотреть что там на неком интерфейсе происходит. Вот тогда и станет понятно чем винбокс лучше.

Мне религия позволяет пользоваться zabbix и dude :)

 

Религия незапрещает открыть 2 и более окон терминала

 

Прошлый пост про эксплойты удалили эмоциональный вышел. Если чё эксплойты с рекомендациями сабба прекрасно работали :( 

обновился не работали 

 

41 минуту назад, Saab95 сказал:

Попробуйте в вебе открыть несколько интерфейсов сразу и графики с них посмотреть, одновременно несколько окошек пингов запустить и тесты скорости, ах да, еще снифер пакетов что бы посмотреть что там на неком интерфейсе происходит. Вот тогда и станет понятно чем винбокс лучше.

Мне религия разрешает пользоваться зеркалированием и коллекторами

да же ваершарком 

 

З.ы. в микротике нет rollback

 

Share this post


Link to post
Share on other sites
1 hour ago, Saab95 said:

Ну вот приведите пример как на них IP адрес на интерфейс установить?

На микротике это

/ip address add address=1.2.3.4/24 interface=ether1

Что за ещё за дичь с CLI? Новичку это сложно. Прям в Web-интерфейсе вбиваешь.

А кто хочет повыделываться, можно как и pingz написал - в одну строку.

 

1 hour ago, Saab95 said:

Если на роутере белый адрес и на него подключаются извне по VPN, то как тогда абоненты сети в интернет выходят, через другое устройство?

А раз выходят в интернет, то и НАТ на нем включен. И каким бы он аппаратным не был, все равно включается отслеживание соединений, которое занимает ресурсы процессора, и это у всех так, даже у циски.

А у микротика разве не так? А, ну да, ставят ещё один микротик. А этот микротик не занимает ресурсы в виде места в шкафу, электричества, охлаждения, администрирования?

 

1 hour ago, Saab95 said:

И когда про производительность пишут не провайдеры, это выглядит немного нелепо, т.к. что энтерпрайз может знать про нагрузки=)

Тема вообще-то про ентерпрайз.

1 hour ago, Saab95 said:

Если у провайдеров в ходу 10Г интерфейсы и потоки трафика, в них упирающиеся, то энтерпрайз до таких скоростей никогда не развивается, и гиг трафика пустить через циску это для них обычно потолок, а когда требуется пустить 10Г, многие циски и джуны уже не справляются с нагрузкой.

Гм... Ну у меня 10Г почти упирающийся в потолок, интеграторы навяливают 100G. Я не ентерпрайз? Циски (не чета джуну srx который прекрасно справляется со своей нагрузкой на своём месте, а qfx мне как-то лень) работают на ура, и изредка начинают дропать пакеты во время topology change в STP (протокол запрещенный в микротик), в котором крутятся мультикасты (способ адресации запрещенный в микротик) по причине требований отрасли.

 

1 hour ago, Saab95 said:

Попробуйте в вебе открыть несколько интерфейсов сразу и графики с них посмотреть, одновременно несколько окошек пингов запустить и тесты скорости, ах да, еще снифер пакетов что бы посмотреть что там на неком интерфейсе происходит.

У меня вообще-то два глаза, а не десять. Никогда в жизни не требовалось одновременно смотреть графики/пинги/скоростемеры/снифферы. Наверное на моём зоопарке никогда таких проблем не было.

А вам я рекомендую изучить оборудование Cisco, Juniper, Fortinet, Checkpoint, PaloAlto на уровне хотя бы продажника. Дивный мир откроется.

 

58 minutes ago, pingz said:

Мне религия позволяет пользоваться zabbix

Я в графане дашборд делал коллегам. Оказалось, достаточно всего одного виджет: СИСТЕМА РАБОТАЕТ: ДА/НЕТ :))))

Зачем какие-то графики, если в них всё равно никто ничего не понимает, информативности ноль.)))

 

59 minutes ago, pingz said:

в микротике нет rollback

Вот это именно то, за что влюбился в джуна с первого взгляда!

Share this post


Link to post
Share on other sites
17 минут назад, dr Tr0jan сказал:

Вот это именно то, за что влюбился в джуна с первого взгляда!

За то в микротике есть возможность заходить по маку :)

Share this post


Link to post
Share on other sites
1 час назад, pingz сказал:

Set interace ge-0/0/0 unit 0 famaly inet address 

В этой строчке вообще не понятно что и куда вешается, что такое ge-0/0/0? что такое unit, что такое famaly?

Совершенно не понятно и не удобочитаемо, в отличии от микротика.

 

30 минут назад, dr Tr0jan сказал:

Что за ещё за дичь с CLI? Новичку это сложно. Прям в Web-интерфейсе вбиваешь.

А кто хочет повыделываться, можно как и pingz написал - в одну строку.

И что там они в веб интерфейсе увидят? Если так продолжать то и длинки нормальные коммутаторы, у них тоже веб интерфейс есть? Только у многих моделей даже конфигурацию сохранить нельзя без tftp сервера.

 

31 минуту назад, dr Tr0jan сказал:

А у микротика разве не так? А, ну да, ставят ещё один микротик. А этот микротик не занимает ресурсы в виде места в шкафу, электричества, охлаждения, администрирования?

Я писал про то, что задачи надо распределять, а именно вынести впн на устройства, подключенные к интернету, а внутренний роутер оставить только для локалки.

 

 

Share this post


Link to post
Share on other sites
54 минуты назад, Saab95 сказал:

В этой строчке вообще не понятно что и куда вешается, что такое ge-0/0/0? что такое unit, что такое famaly?

Совершенно не понятно и не удобочитаемо, в отличии от микротика.

Дурака может стоит отключить? Как бы cisco like в названии интерфейса. Ge =1g номер шасси/номер слота/номер порта.

Unit припроритарная надстройка, в нутри коробки, ещё до влана обычно либо порядку используют либо совпадает с номером влана.

Show interface ge-0/0/0.0  выдаст информацию по логическому интерфейсу.

Это базовые вещи как /ip address add address=1.2.3.4/24 interface=ether1

Что такое ether1?

Вы вообще видели mx80 или asr1001 или se100? Я предполагаю, что нет т.к. религия не позволяет :(

Share this post


Link to post
Share on other sites
10 минут назад, pingz сказал:

номер шасси/номер слота/номер порта.

Вот видите, сложность настройки сразу, т.к. если у устройства нет шасси и нет слота, а только номер порта - сразу и конфиг меняется.

Share this post


Link to post
Share on other sites

@Saab95 нет это удобно если научился настраивать mx80 то сможешь настроить и mx960 или ex или qfx или srx, и наоборот :)

junos как на коммутаторах так и маршрутизаторах одинаковый.

 

З.ы. junos самый элегантный cli по сравнению со всем, что я работал и работаю.

Хотя у микротика мне нравится flow :)

 

Share this post


Link to post
Share on other sites
10 часов назад, Saab95 сказал:

Надо делать не гигабитные линки, а 10Г между коммутаторами и 1Г до всех пользователей.

ТС поставил задачу подобрать маршрутизатор в зарисованную сеть. Ваша же рекомендация требует замены коммутаторов доступа.

Трезвость рекомендации под большим вопросом, вы сами недавно приводили довольно скромные рассчеты по трафику, да и ТС уже привел примерные данные, гигабита тут на текущий момент достаточно, 10G в сжатых бюджетных рамках стоит рассматривать лишь на перспективу роста.

 

10 часов назад, Saab95 сказал:

Вы говорите немного не то, коммерческая поддержка с явным SLA это именно поддержка, а не сделать сеть удаленно. То есть должен быть системный администратор с определенным набором знаний. Но вторая сторона вопроса - за все надо платить, и за эту поддержку будет заплачена такая высокая стоимость, что оборудование золотым выйдет.

 

И в данном вопросе она не нужна, т.к. настроить микротики один раз не так сложно, вланы там и порты на коммутаторах настраиваются через винбокс средствами бриджа, там понять всю схему 10 минут и дальше все по маслу идет.

Вы категорически отказываетесь усваивать смысл написанного и продолжаете развивать тему. Мной уже сказано, что в данном конкретном случае коммерческая поддержка нецелесообразна. Случаи, когда она целесообразна, к сожалению, не знакомы поставщикам MikroTik, этот вопрос исчерпан.

 

10 часов назад, Saab95 сказал:

Ранее уже была циска с линксис, только дешевые варианты у нее это был всегда откровенный лютый китай в красивой упаковке. Нормально они не работали. И если посмотрите на приведенные мной решения на микротике, то оно достаточно бюджетное и даже дешевле представленных ранее длинков.

1) Тут совершается серьезная логическая ошибка, вы приравниваете качество продукции одного разработчика к аналогичным продуктам второго, по всей видимости, не имея представления о первом и основываясь лишь на своих субъективных доводах.

Важно заметить, что Linksys - это, действительно, не такая уж большая компания, купленная в последствии Cisco, качество продукции под сомнением. Fortinet же - это уже давно состоявшаяся компания с сильными решениями (не все у них идеально, но мы говорим про конкретные устройства). 

2) Маршрутизаторы Dlink, как уже отметили никто не предлагал, а упомянутые в схеме коммутаторы дешевле предложенных вами. Похоже на попытку увести внимание читателя от дельных предложений.

 

10 часов назад, Saab95 сказал:

Создать 3 влана это сложно? В случае использования простой схемы.

Да и если создавать по влану для всех - это тоже не сложно, и лучше реализовать такую схему, чем надеяться на программные плюшки, вида опции 82, которые иногда работают не адекватно.

Тут вас куда-то уносит. Про сложности в создании трех вланов не говорилось, это как раз нормально. Комментарий был вызван вашим предложением создавать отдельные вланы на каждый порт, что крайне непрактично для корпоративной сети.

И вот опять совершается уход в сторону. В корпоративной сети не нужна опция 82, это даже никто не предлагал. Достаточно выделить несколько вланов по типам устройств в сети, в идеале реализовать аутентификацию 802.1x.

 

10 часов назад, Saab95 сказал:

VPN клиенты должны куда-то подключаться. А для этого нужен белый адрес на устройстве. А наличие белого адреса это не безопасно. Именно по этой причине VPN делают на отдельных устройствах, к которым применяют более строгие ограничения на доступ. Если то же самое делать на основном роутере, то его надо обвешать запрещающими правилами и сильно уменьшить его производительность, что не очень то и хорошо.

Обычно идут от малого, если извне подключаются 10-20 человек, то зачем создавать сложности остальным 2000, которые работают изнутри сети?

Категорически не понятно где тут проблема. Мной было рекомендовано устройство, в основные задачи которого как раз входит обеспечение безопасности, политики настраиваются очень гибко, а главное - просто - пользователю не нужно учитывать что в какую цепочку попадает, абстракции существенно выше.

 

7 часов назад, Saab95 сказал:

Теперь начинайте давать советы по настройке этих устройств новичку в сетестроении=)

Согласитесь, микротик настроить в разы проще. И где там функционал богаче у конкурентов?

Не соглашусь, микротик настраивать проще только тем, кто уже имеет хороший опыт работы с ним. Многие другие разработчики не пытаются максимально расширять функционал, а оттачивают реально востребованный и сосредотачиваются на простоте конфигурации. От измерений длины команды в CLI воздержусь, простота в таких случаях заключается в качественных и понятных абстракциях и грамотном их отображении в GUI.

 

6 часов назад, Saab95 сказал:

Попробуйте в вебе открыть несколько интерфейсов сразу и графики с них посмотреть, одновременно несколько окошек пингов запустить и тесты скорости, ах да, еще снифер пакетов что бы посмотреть что там на неком интерфейсе происходит. Вот тогда и станет понятно чем винбокс лучше.

Вот это как раз пример задач, которые отлично переносятся на сторонние устройства при необходимости, а необходимость эта в простой и отлаженной сети крайне редка, если вообще возникает.

Share this post


Link to post
Share on other sites
1 hour ago, Saab95 said:

И что там они в веб интерфейсе увидят?

В SRXе увидят абсолютно всё. В т.ч. и графики, и пинги, и снифферы.

 

1 hour ago, Saab95 said:

Я писал про то, что задачи надо распределять, а именно вынести впн на устройства, подключенные к интернету, а внутренний роутер оставить только для локалки.

Аргументов я так и не услышал, кроме того, что микротики - небезопасные и тормознутые. Только вот у фортигейтов и srx такой проблемы почему-то нет, и разносить задачи в рамках сабжевого поста нет никакого смысла.

1 hour ago, Saab95 said:

Вот видите, сложность настройки сразу, т.к. если у устройства нет шасси и нет слота, а только номер порта - сразу и конфиг меняется.

У SRX320, который здесь обсуждали, как раз есть слоты. И все порты подписаны.

1 hour ago, Saab95 said:

В этой строчке вообще не понятно что и куда вешается...

Совершенно не понятно и не удобочитаемо, в отличии от микротика.

У микротика какая-то палка в начале. Совершенно непонятно и неудобочитаемо.

 

27 minutes ago, Victor Tkachenko said:

Достаточно выделить несколько вланов по типам устройств в сети, в идеале реализовать аутентификацию 802.1x.

И полить это всё SDN :)

Интересно, а некротик что-нибудь типа Cisco DNA умеет? Портов эдак тыщ на пять? Чтобы из контроллера, да в одном окошке? )))

Edited by dr Tr0jan

Share this post


Link to post
Share on other sites

Странно, что такая "топка" за Fortinet идёт:

1. Это такие же софт-балалайки, что и MT, без реального деления на Control и Dataplane. Под DDOS ложатся столь же легко.

2. С уязвимостями все в порядке, в том смысле что их было до хрена и полно было откровенно тупых дыр: https://www.cvedetails.com/vulnerability-list/vendor_id-3080/Fortinet.html .

3. Тут что-то сказали про простоту их конфигурации? Ха-ха, одно приключение с настройкой политик и NAT для VPN-клиентов порадует так, что три цепочки iptables в МТ покажутся легкой прогулкой.

4. OVPN не поддерживается, а родной VPN-клиент страшен, как атомная война (и может поднасрать в систему).

 

Топикстартеру: WiFi Controller однозначно делать отдельным устройством, заложенный у вас CAPSMAN весьма ресурсоемок.

Share this post


Link to post
Share on other sites
29 минут назад, dr Tr0jan сказал:

Интересно, а некротик что-нибудь типа Cisco DNA умеет? Портов эдак тыщ на пять? Чтобы из контроллера, да в одном окошке? )))

сейчас Вам предложат 500 микротов каждый с каждым + скрипты)

Share this post


Link to post
Share on other sites

@Saab95 Спасибо за развернутый ответ, рекомендацию.

 

8 часов назад, Saab95 сказал:

Про центральный роутер пока не ясно - нужно уточнить каким образом будут подключаться провайдеры и какая у них скорость

Провайдеры подключаться так как им скажут, но на скорости 60-100Мбит вполне хватит обычного RJ45

 

По сути предложенного вами почти все понятно но:

1. Не лучше ли поток с камер вывести в 1Гбит ВЛАН?

2. Телефонию, т.к. питаются от своего БП, завести в 326 роутеры уменьшив тем самым кол-во 328 - они дороже:)

В итоге у меня получилось 326 х 8 шт., а 328 х 3 шт. ... правда 5 портов для ПК пока не хватает )))) 

 

Есть еще вопросы.. не очень понятно , что происходит в центре )

1. Правильно ли я понимаю, что CRS317-1G-16S+RM, в который сводим все коммутаторы на разводке + серверов, подключаем 10Г к CCR-1036-8G-2S+ 8 x RJ45 ?... т.е. в нем (1036) определяю все ВЛАНы ? Какие еще функции на нем лежат?

2. Далее к 1036 подключаем CCR1009-7G-1C-1S+, к которым цепляем провайдера, поднимаем - Фаервол, ВПН, НАТ и пр ? Но зачем их 2-ва... ведь можно использовать под ВАНы любые из его 8-ми портов?

 

 

 

 

 

 

 

 

1 час назад, jffulcrum сказал:

Топикстартеру: WiFi Controller однозначно делать отдельным устройством, заложенный у вас CAPSMAN весьма ресурсоемок.

Да, если дойдет именно до CAPSMANa...  присматриваюсь к EDIMAX PRO. Спасибо )

Share this post


Link to post
Share on other sites
44 минуты назад, nic_123 сказал:

Спасибо за развернутый ответ, рекомендацию.

На вашем месте я бы не слушал эти рекомендации...

Share this post


Link to post
Share on other sites
1 час назад, nic_123 сказал:

Провайдеры подключаться так как им скажут, но на скорости 60-100Мбит вполне хватит обычного RJ45

Если скорость такая маленькая, и дать интернет они смогут через выделение статического IP, то можно обойтись и одним устройством, например CCR1009 с SFP+ портом, коммутатор с серверами в этом случае подключите к основному коммутатору.

 

1 час назад, nic_123 сказал:

2. Телефонию, т.к. питаются от своего БП, завести в 326 роутеры уменьшив тем самым кол-во 328 - они дороже:)

Если телефоны не требуют питания по витой паре - можно использовать обычные коммутаторы без подачи питания.

 

1 час назад, nic_123 сказал:

1. Правильно ли я понимаю, что CRS317-1G-16S+RM, в который сводим все коммутаторы на разводке + серверов, подключаем 10Г к CCR-1036-8G-2S+ 8 x RJ45 ?... т.е. в нем (1036) определяю все ВЛАНы ? Какие еще функции на нем лежат?

Если у вас интернет входящий суммарно 100+100 то хватит и CCR1009, соответственно он будет обслуживать удаленных клиентов по VPN, и предоставлять IP адреса компьютерам, wi-fi клиентам и телефонам. Так же на нем будет блокировка доступа из сети компьютеров на вайфай, камеры и телефоны. И из других сетей так же что бы не ходили куда не следует, так же будет ограничение скорости, что бы все компы разом не заняли весь входящий канал интернета.

 

1 час назад, nic_123 сказал:

2. Далее к 1036 подключаем CCR1009-7G-1C-1S+, к которым цепляем провайдера, поднимаем - Фаервол, ВПН, НАТ и пр ? Но зачем их 2-ва... ведь можно использовать под ВАНы любые из его 8-ми портов?

Это уже на надо при малых каналах внешнего интернета. 2 написал предполагая что у вас большие скорости интернета будут.

 

1 час назад, nic_123 сказал:

Да, если дойдет именно до CAPSMANa...  присматриваюсь к EDIMAX PRO. Спасибо )

Не надо никаких едимакс, используйте точки доступа микротика просто с одним одинаковым SSID и все будет отлично работать. Про капсман не верно пишут, его можно и на CCR1009 развернуть, при необходимости. Кроме всего вайфай микротика дешевле.

 

 

Share this post


Link to post
Share on other sites
34 минуты назад, Saab95 сказал:

Про капсман не верно пишут

Алё, гараж, про это сам производитель пишет везде, и на MUM была целая панель.

Share this post


Link to post
Share on other sites
14 часов назад, dr Tr0jan сказал:

В SRXе увидят абсолютно всё. В т.ч. и графики, и пинги, и снифферы.

Сааб не видел веб-морду джуна. Особенно современную версию, с графиками и дашбордами

14 часов назад, Saab95 сказал:

Вот видите, сложность настройки сразу, т.к. если у устройства нет шасси и нет слота, а только номер порта - сразу и конфиг меняется.

просто у mikrotik'а нет больших устройств. Используются стопки из 5+, когда вменяемые вендоры используют одно.

Share this post


Link to post
Share on other sites
14 часов назад, jffulcrum сказал:

Странно, что такая "топка" за Fortinet идёт:

1. Это такие же софт-балалайки, что и MT, без реального деления на Control и Dataplane. Под DDOS ложатся столь же легко.

2. С уязвимостями все в порядке, в том смысле что их было до хрена и полно было откровенно тупых дыр: https://www.cvedetails.com/vulnerability-list/vendor_id-3080/Fortinet.html .

3. Тут что-то сказали про простоту их конфигурации? Ха-ха, одно приключение с настройкой политик и NAT для VPN-клиентов порадует так, что три цепочки iptables в МТ покажутся легкой прогулкой.

4. OVPN не поддерживается, а родной VPN-клиент страшен, как атомная война (и может поднасрать в систему).

Ни в коем случае не топлю за Fortinet, Juniper SRX тоже отлично справится, лишь предлагаю адекватную альтернативу.

1. Действительно, младшие модели по факту софтроутеры, но тут речь про небольшую корпоративную сеть, а не операторскую, она в любом случае ляжет под DDoS.

2. Уязвимости есть у всех, важно на сколько быстро они выявляются и закрываются.

3. Вопрос похоже субъекитвный, никаких проблем не возникало ни с политиками, ни с NAT для VPN, просто ставится галочка и добавляются нужные разрешающие правила.

4. Можно использовать стандартный IPSec клиент винды и т.п, а SSL-VPN вообще без клиента поднять можно.

 

Может это плохой опыт со старыми версиями? В FortiOS 6 многое изменилось.

Share this post


Link to post
Share on other sites
14 часов назад, nic_123 сказал:

ведь можно использовать под ВАНы любые из его 8-ми портов?

Я тебе в самом начале скинул ссылку на балансировку на микротике почитай поймёшь 

Share this post


Link to post
Share on other sites
36 минут назад, pingz сказал:

Я тебе в самом начале скинул ссылку на балансировку

Спасибо, что напомнили.. еще не успел ознакомиться.

 

 

 

В 01.06.2020 в 14:07, pingz сказал:

Железо новое или б\у

Новое.. бюджет уже приподняли, 300 - 400 думаю переварят

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now