[ALEX_SE]

Добрый день! Посоветуйте железку, пожалуйста.

2 порта WAN Eternet (с поддержкой L2TP/IPSEC) для подключения к провайдерам (белые IP). 4-6 портов LAN 100Mbps.

Коммутация или роутинг между LAN-портами не нужно. Исходящий трафик (имеется в виду доступ из LAN в интернет) не нужен.

То есть на входе надо firewall с 2 линками (на случай отказа одного провайдера что бы можно было подключится ко второму). На выходе несколько ethernet-портов.

Цель железки. Есть несколько IP-подсетей которые объеденены L3-коммутаторами (трафик между сетями разрешен только по нескольким портам между несколькими железками в основном сети изолированы правилами).

Хочется иметь девайс внутренние порты LAN которого подключатся к этим IP-подсетям и в зависимости от того кто авторизовался через VPN на шлюзе снаружи давать ему полный прозрачный доступ к той или иной подсети.

Необходимо чисто для технических нужд (удаленное подключение администраторов разных сетей к своему оборудованию минуя общий шлюз в интернет и L3-маршрутизаторы), пользовательский трафик через этот шлюз ходить не будет. Скорость VPN до 50Mbps больше в принципе нет необходимости.

Бюджет думаю до 200 баксов. Что подойдет? Какие-нибудь DSR, Zywall, juniper а может микротика хватит?

 

 

[VolanD666]

11 часов назад, ALEX_SE сказал:

Добрый день! Посоветуйте железку, пожалуйста.

2 порта WAN Eternet (с поддержкой L2TP/IPSEC) для подключения к провайдерам (белые IP). 4-6 портов LAN 100Mbps.

Коммутация или роутинг между LAN-портами не нужно. Исходящий трафик (имеется в виду доступ из LAN в интернет) не нужен.

То есть на входе надо firewall с 2 линками (на случай отказа одного провайдера что бы можно было подключится ко второму). На выходе несколько ethernet-портов.

Цель железки. Есть несколько IP-подсетей которые объеденены L3-коммутаторами (трафик между сетями разрешен только по нескольким портам между несколькими железками в основном сети изолированы правилами).

Хочется иметь девайс внутренние порты LAN которого подключатся к этим IP-подсетям и в зависимости от того кто авторизовался через VPN на шлюзе снаружи давать ему полный прозрачный доступ к той или иной подсети.

Необходимо чисто для технических нужд (удаленное подключение администраторов разных сетей к своему оборудованию минуя общий шлюз в интернет и L3-маршрутизаторы), пользовательский трафик через этот шлюз ходить не будет. Скорость VPN до 50Mbps больше в принципе нет необходимости.

Бюджет думаю до 200 баксов. Что подойдет? Какие-нибудь DSR, Zywall, juniper а может микротика хватит?

 

 

Берите микрот, можно два даже.

[jffulcrum]

В такие деньги либо микрот, либо TPLink (типа TL-ER6120). Если хочется нормального SSL VPN, поддержки и всяких излишеств вроде управления по SNMP - то бюджет лучше увеличить в два раза и смотреть на какой-нибудь Fortigate двухзначный или Huawei AR600-серии.

[VolanD666]

31 минуту назад, jffulcrum сказал:

В такие деньги либо микрот, либо TPLink (типа TL-ER6120). Если хочется нормального SSL VPN, поддержки и всяких излишеств вроде управления по SNMP - то бюджет лучше увеличить в два раза и смотреть на какой-нибудь Fortigate двухзначный или Huawei AR600-серии.

Я бы с вами не согласился. У микрота можно скрипты пилить, в этом его плюс, если хотелки нестандартные.

[ALEX_SE]

Какой микрот именно? И в чем разница с ТПлинком?

Хотелки я указал, других нету и не будет.

[pingz]

@ALEX_SE возьми rb750(попробовать), ну или сразу rb4011 

У микротика большое комьюнити и большую часть вопросов можно легко загуглить.

Есть консоль  и гуй в начале удобно клацать мышкой.

Большая часть сетевых протоколов и настроек есть из коробки.

Но, нужно не забывать, что это софт роутер и и результатов не стоит ждать как от juniper, cisco и т.д. цена в этом же сегменте будет х2-4, относительно микротика, но бытует шутка "нужно больше микротиков", некоторых схемах используют 2 и более коробки, когда на cisco и juniper и подобных это все взлетит на одной.

 

З.ы. я не агетирую за микротик выбирать вам. Но микротик дёшево сердито, для начинающего сетевика огонь первых пару лет будите считать лучшей железкой, пока не возникнет более серьезная задача.

[ShyLion]

8 minutes ago, pingz said:

@ALEX_SE относительно микротика, но бытует шутка "нужно больше микротиков", некоторых схемах используют 2 и более коробки, когда на cisco и juniper и подобных это все взлетит на одной.

Справедливости ради - все яйца в одной корзине и на цисках-жуниперах тоже не всегда хорошо работают и лучше разделять на отдельные компоненты.

В частности когда два разных инета - лучше два отдельных роутера, хоть микрот хоть циску. Гораздо меньше подводных камней и больше пространства для маневра.

[ALEX_SE]

35 minutes ago, ShyLion said:

В частности когда два разных инета - лучше два отдельных роутера, хоть микрот хоть циску.

В чем лучше? принципиальная разница не очень понятна. Работаю с одним провом и работаю. Сломался - подключился ко второму.

Балансировки нет и не нужно такой задачи не стоит и никогда не станет. Клиенты внутри сети данный шлюз для доступа в инет пользовать не будут от слова совсем.

Нужен ТОЛЬКО удаленный VPN. Из хотелок - установка туннеля с определенной сеткой (куда подключен соотв. внутренний ethernet) в зависимости от того кто подключился. Вот такая хотелка.

[SOFTOLAB]

15 minutes ago, ALEX_SE said:

В чем лучше? принципиальная разница не очень понятна. Работаю с одним провом и работаю. Сломался - подключился ко второму.

Балансировки нет и не нужно такой задачи не стоит и никогда не станет. Клиенты внутри сети данный шлюз для доступа в инет пользовать не будут от слова совсем.

Нужен ТОЛЬКО удаленный VPN. Из хотелок - установка туннеля с определенной сеткой (куда подключен соотв. внутренний ethernet) в зависимости от того кто подключился. Вот такая хотелка.

Тогда микротик ваш выбор.

[Saab95]

В таком случае микротика хватит, т.к. админы так же могут дома у себя поставить микротик и заходить под нужной учеткой впн на внутренние ресурсы, и одновременно в интернет иметь доступ.

Если у вас в центре 2 IP адреса для подключения, то нужно ставить 2 микротика, т.к. маркировать соединения, смотреть откуда пришло - куда вернуть ответ, занимает ресурсы процессора и производительность падает. Когда 2 устройства ничего не надо, достаточно просто иметь копию логинов и паролей учеток.

[ALEX_SE]

13 hours ago, Saab95 said:

В таком случае микротика хватит, т.к. админы так же могут дома у себя поставить микротик и заходить под нужной учеткой впн на внутренние ресурсы, и одновременно в интернет иметь доступ.

Что мешает делать то же самое без микротика дома или на телефоне? :) 

 

13 hours ago, Saab95 said:

Если у вас в центре 2 IP адреса для подключения, то нужно ставить 2 микротика, т.к. маркировать соединения, смотреть откуда пришло - куда вернуть ответ, занимает ресурсы процессора и производительность падает.

Это излишество. На сколько оно падает? 50 мегабит достаточно кроме того редко работает сразу несколько человек - это скорее как резервная система на случай работ на основном VPN-шлюзе или на L3-роутере. Что бы иметь возможность подключиться к оборудованию внутри него. Чем ставить 2 микротика с тем же успехом можно поставить один аппаратный шлюз подороже.

 

И опять же какой микротик с этим справится?

[ShyLion]

17 hours ago, ALEX_SE said:

В чем лучше? принципиальная разница не очень понятна.

Например тем, что нет необходимости мониторить доступность инета через основоного оператора, не нужно играть дефолтом.

[ALEX_SE]

6 minutes ago, ShyLion said:

Например тем, что нет необходимости мониторить доступность инета через основоного оператора, не нужно играть дефолтом.

А зачем мне его мониторить? Ну не подключился к одному адресу - активировал подключение к другому..

Дефолтом то же нет необходимости играть - через этот канал инет раздаваться не будет никогда.

[ShyLion]

Если в роутер сунуто два инет-провайдера, как он должен выбирать куда роутить траффик?

[ALEX_SE]

Это проблемы самого роутера, в моем случае роутить туда откуда он пришел то есть с каким провом поднят туннель.

Юзера через этот шлюз ходить не будут никогда, потому этот функционал (балансировка или резервирование исходящего канала) и не учитываю так как он не нужен.

[ShyLion]

1 hour ago, ALEX_SE said:

в моем случае роутить туда откуда он пришел то есть с каким провом поднят туннель

Полиси роутинг? Как это сделать на циске например?

[ALEX_SE]

Это легко делается даже на венде с TMG, как это на циске делается я не в курсе, не интересовался.

Да и зачем оно мне если изнутри сети юзеры ходить через эту железку не будут от слова вообще никогда.

 

[nemo_lynx]

У меня именно для таких же целей, как у ТС, стоят микротики hex lite (rb750). Хватает за глаза и за уши - eoip поверх l2tp/ipsec, подключаешься и получаешь полный L2-доступ в нужный влан. Я, например, дома смотрю IPTV (мультикаст) из сети, которая находится в 2000 км от меня.

[ShyLion]

21 minutes ago, ALEX_SE said:

Это легко делается даже на венде с TMG, как это на циске делается я не в курсе, не интересовался.

Да и зачем оно мне если изнутри сети юзеры ходить через эту железку не будут от слова вообще никогда.

 

При чем здесь "изнутри" ? У роутера как у любого хоста есть таблица маршрутизации и без спецаильных настроек он роутить пакеты будет на шлюз по умолчанию НЕВЗИРАЯ на адрес ИСТОЧНИКА.

Эти специальные настройки называются _полиси роутинг_ и он сопряжен с рядом недостатков и особенностей для каждого вендора, "даже на венде".

 

[ALEX_SE]

Я об этом в курсе и как оно называется то же знаю. Когда дело дойдет тогда и буду разбираться.

Пока интересуюсь каким оборудование оптимально решить данную задачу :)

 

[SOFTOLAB]

1 hour ago, ALEX_SE said:

Я об этом в курсе и как оно называется то же знаю. Когда дело дойдет тогда и буду разбираться.

Пока интересуюсь каким оборудование оптимально решить данную задачу :)

 

Вам уже кучу раз сказали что микротик ваш выбор.

Что брать смотрите сами, можно и HEX S, если портов хватит, можно и что то подороже, типо RB4011.

[ALEX_SE]

21 minutes ago, SOFTOLAB said:

Вам уже кучу раз сказали что микротик ваш выбор. 

Что брать смотрите сами, можно и HEX S, если портов хватит, можно и что то подороже, типо RB4011. 

Спасибо :) Устраивает.

[Saab95]

В 24.07.2020 в 12:25, ShyLion сказал:

Эти специальные настройки называются _полиси роутинг_ и он сопряжен с рядом недостатков и особенностей для каждого вендора, "даже на венде".

Ага, конкретно на микротике он требует создания некоторого количества правил, которые занимают ресурсы устройства. И получается так, что по цене / производительность окажется выгоднее купить 2 более дешевых устройства, чем одно дорогое, которое все равно прокачает меньшую скорость через себя.

[nemo_lynx]

19 часов назад, Saab95 сказал:

Ага, конкретно на микротике он требует создания некоторого количества правил, которые занимают ресурсы устройства. И получается так, что по цене / производительность окажется выгоднее купить 2 более дешевых устройства, чем одно дорогое, которое все равно прокачает меньшую скорость через себя.

Да, да, Мэтр! Мы помним - на каждую TCP-сессию отдельный микротик. На пинги тоже отдельный. А udp вообще не использовать - это устаревшая технология.

[VolanD666]

В русском языке нет единственного числа для слова микротики, мы поняли.