[Cynic]

Всем привет. Нужно подобрать устройство роутер или фаерволл, которое:

1) Имеет два WAN интерфейса;

2) Умеет переключатсья между провайдерами, если один линк падает;

3) Умеет делать IPsec;

4) Умеет переключаться между IPsec-пирами, в случае если один из них отказал;

5) Принадлежит известному вендору типа HP или Cisco;

6) Стоит в районе 600$;

Может у кто работал с какой нибудь чудо железкой и поделиться инфой )))

[Дятел]

7) чтобы по утрам варила кофе и подавала его в постель

[dignity]

Новое - не вариант

[Tosha]

Самое важное не сказали - какой трафик и сколько пакетов в секунду.

[DruGoe_DeLo]

Ну можно и cisco 2811 или там 3801

а можно и 7201

[Ivan Rostovikov]

Если бы не треббование "типа HP или Cisco" то я бы сказал - Mikrotik.

[uxcr]

Из нового juniper srx100. Но всё-таки лучше бу srx240.

[applx]

Всем привет. Нужно подобрать устройство роутер или фаерволл, которое:

1) Имеет два WAN интерфейса;

2) Умеет переключатсья между провайдерами, если один линк падает;

3) Умеет делать IPsec;

4) Умеет переключаться между IPsec-пирами, в случае если один из них отказал;

5) Принадлежит известному вендору типа HP или Cisco;

6) Стоит в районе 600$;

Может у кто работал с какой нибудь чудо железкой и поделиться инфой )))

 

 

EdgeRouter Lite (Ubiquiti) $120

[snark]

EdgeRouter Lite (Ubiquiti) $120

 

В условиях:

 

Принадлежит известному вендору типа HP или Cisco

[Saab95]

У вас просто засилье устаревших технологий, от них все и проблемы. С вашей задачей успешно справится Mikrotik RB1100AHx2, в бюджет как раз укладывается.

 

1) Имеет два WAN интерфейса;

 

Микротик имеет n-1 WAN интерфейсов в зависимости от количества портов.

 

2) Умеет переключатсья между провайдерами, если один линк падает;

 

Если включить OSPF то это не проблема.

 

3) Умеет делать IPsec;

 

IPsec устаревшая технология, ее успешно заменяет SSTP, который намного проще в настройке и не требует сертификатов.

 

4) Умеет переключаться между IPsec-пирами, в случае если один из них отказал;

 

Микротик может подключиться одновременно к 10 и более центральным железкам, со всеми установить связь и распределять нагрузку, если кто-то откажет простой будет минимальный.

 

5) Принадлежит известному вендору типа HP или Cisco;

 

Чем известнее вендор тем менее гибкие у него решения, и естественно дорогие.

 

6) Стоит в районе 600$;

 

RB1100AHx2 прокачивает по полгига трафика через туннели, а с шифрованием - 200мбит.

 

Может у кто работал с какой нибудь чудо железкой и поделиться инфой )))

 

Я работал с микротиком, на нем очень многое делается нажатием одной-двух кнопок в интерфейсе прямо из винды, обладатели известных вендоров строчат по кнопкам по полчаса что бы реализовать одинаковый функционал.

[nuclearcat]

IPsec устаревшая технология, ее успешно заменяет SSTP, который намного проще в настройке и не требует сертификатов.

Постарайтесь не вводить людей в заблуждение. Вы сейчас или намеренно соврали или показали свою дремучую неграмотность. Причем назвать SSTP лучше IPSEC - это просто феерический простите ***ец.

Вы хоть в курсе в чем колоссальная разница между IPSEC с сертификатами и очередным наколенным поделием от Microsoft именуемым SSTP? Особенно когда дело касается X.509.

И сколько видов инкапсуляции ipsec существует?

[Saab95]

IPsec устаревшая технология, ее успешно заменяет SSTP, который намного проще в настройке и не требует сертификатов.

Постарайтесь не вводить людей в заблуждение. Вы сейчас или намеренно соврали или показали свою дремучую неграмотность. Причем назвать SSTP лучше IPSEC - это просто феерический простите ***ец.

Вы хоть в курсе в чем колоссальная разница между IPSEC с сертификатами и очередным наколенным поделием от Microsoft именуемым SSTP? Особенно когда дело касается X.509.

И сколько видов инкапсуляции ipsec существует?

 

Смотрите. Я беру микротик ставлю в центре, беру другие и ставлю в офисах. Если нужна гарантированная доставка настраиваю SSTP, если нужно просто шифрование, с ним и простой L2TP справится. При этом достаточно иметь только статический белый адрес в центре. Если нужен резерв то 2 устройства в офисе подключаются к 2 (2-10) операторам. И какая разница что там с инкапсуляциями происходит, если поставленная задача передачи данных через публичные сети выполняется?

 

Конечно так можно делать если все оборудование свое и нет задачи подключиться к какому-то чужому и т.п. Там действительно без цисок и HP никак. Однако сейчас идет положительная тенденция отказа от цисок в малом и среднем бизнесе, т.к. решение на базе Mikrotik менее глючные, чем дешевые циски, обладают большими возможностями и производительностью при в разы более низкой стоимости.

[nuclearcat]

Что будет с вашим гарантированным SSTP при потерях 1%? :) Скорость несколько килобайт в секунду и пинги по 200-2000ms?

Не говоря о том, что разгоняться до 100 Мбит при задержке 50ms он будет долго и невесело. И не дай бог по нему внутри летают приложения по udp требующие low latency - кирдык им.

Про L2TP, циска его умеет получше чем Mikrotik, в режиме pseudowire, stateless. Mikrotik stateless принципиально не может.

 

Опять же, схема шифрования с CA намного гибче, авторизация может быть и точка-точка, и центр, но проверка валидности сертификатов идет через CA. Схема намного более безопасная чем radius chap, более легкая в настройке чем radius EAP-TLS, и более надежная на случай выхода из строя сервера CA (только временно не будут получены данные о отзыве сертификатов).

 

Ну и последний гвоздь, собственно главная фича шифрования, чтобы траффик оставался приватным. Приватный сертификат IPSec соединения из Циски неизвлекаем, чего не скажешь о микротиках :) Если я получу логин админа микротика на минутку, я могу спокойно слить сертификаты-пароли и дешифровать предварительно соснифленный зашифрованный траффик. Это даже если на Микротике запущен ipsec.

Учитывая что микротик позволяет запускать SSTP без сертификатов, и соответственно никакой аутентификации и нормальной инициации шифрования нет - (в лучшем случае давно поломанный CHAPv2 + MPPE) когда траффик убежит на сторону - такому горе-админу яйца отрежут, а потом тому кто его нанял :)

[srg555]

Cynic (Сегодня, 02:40) писал:

2) Умеет переключатсья между провайдерами, если один линк падает;

 

 

Если включить OSPF то это не проблема.

 

Щито? Если провайдер согласен поднять ospf c клиентом (в public routing table), то от такого провайдера надо сразу бежать куда больше. IGP между ISP или ISP-клиент в паблике это типичный пример "как не надо делать"

Edited May 24, 2013 by srg555

[Saab95]

Cynic (Сегодня, 02:40) писал:

2) Умеет переключатсья между провайдерами, если один линк падает;

 

 

Если включить OSPF то это не проблема.

 

Щито? Если провайдер согласен поднять ospf c клиентом (в public routing table), то от такого провайдера надо сразу бежать куда больше. IGP между ISP или ISP-клиент в паблике это типичный пример "как не надо делать"

 

Не с клиентом, а в туннелях через сеть оператора между центральным сервером и например, офисом.

[Cynic]

Из нового juniper srx100. Но всё-таки лучше бу srx240.

 

Я как раз на счёт srx100 думал. Но есть один вопрос: Поддерживаетли его OS возможность автоматического переключения VPN-peer'ов (имеется ввиду удалённая сторона) при выходе одного из них из строя?

Поясню. Например стоит с одной стороны srx100, а на другой стороне Cisco ASA. ASA подключена к двум провайдерам и соответственно имеет два публичных адреса. Предположим прицепился srx100 VPN'ом к AS'е через 1-го провайдера и работает себе. Тут у первого провайдера, что то случается и ASA переключается на второго провайдера. Сможет ли srx100 автоматически установить VPN с AS'ой через второго провайдера?

ASA к слову так делать умеет.

И вопрос про Juniper'ы на немного отвлечённую тему, при покупке большого количества (~50 шт), какую скидку (в %) может дать Juniper?

 

У вас просто засилье устаревших технологий, от них все и проблемы. С вашей задачей успешно справится Mikrotik RB1100AHx2, в бюджет как раз укладывается.

 

1) Имеет два WAN интерфейса;

 

Микротик имеет n-1 WAN интерфейсов в зависимости от количества портов.

 

2) Умеет переключатсья между провайдерами, если один линк падает;

 

Если включить OSPF то это не проблема.

 

3) Умеет делать IPsec;

 

IPsec устаревшая технология, ее успешно заменяет SSTP, который намного проще в настройке и не требует сертификатов.

 

4) Умеет переключаться между IPsec-пирами, в случае если один из них отказал;

 

Микротик может подключиться одновременно к 10 и более центральным железкам, со всеми установить связь и распределять нагрузку, если кто-то откажет простой будет минимальный.

 

5) Принадлежит известному вендору типа HP или Cisco;

 

Чем известнее вендор тем менее гибкие у него решения, и естественно дорогие.

 

6) Стоит в районе 600$;

 

RB1100AHx2 прокачивает по полгига трафика через туннели, а с шифрованием - 200мбит.

 

Может у кто работал с какой нибудь чудо железкой и поделиться инфой )))

 

Я работал с микротиком, на нем очень многое делается нажатием одной-двух кнопок в интерфейсе прямо из винды, обладатели известных вендоров строчат по кнопкам по полчаса что бы реализовать одинаковый функционал.

 

Про IPsec полный гон, корпоративные стандарты ни кто не отменял, а всё шифрование работает примерно одинаково.

А в остальном, интересно сколько Вам платят за столь не навязчивую рекламу )))

[srg555]

Cynic (Сегодня, 02:40) писал:

2) Умеет переключатсья между провайдерами, если один линк падает;

 

 

Если включить OSPF то это не проблема.

 

Щито? Если провайдер согласен поднять ospf c клиентом (в public routing table), то от такого провайдера надо сразу бежать куда больше. IGP между ISP или ISP-клиент в паблике это типичный пример "как не надо делать"

 

Не с клиентом, а в туннелях через сеть оператора между центральным сервером и например, офисом.

 

А где в ТЗ сказано, что единственная его задача - поднять тунель до центрального офиса? С чего Вы решили что эта железка не будет использоваться как шлюз в интернет для локального офиса?

[uxcr]

Cynic

google: juniper srx ipsec failover

Что-то там было ещё про dead-peer-detection

По скидкам не подскажу, я тоже клиент а не продавец.

Edited May 26, 2013 by uxcr

[nuclearcat]

Если не ошибаюсь

Я как раз на счёт srx100 думал. Но есть один вопрос: Поддерживаетли его OS возможность автоматического переключения VPN-peer'ов (имеется ввиду удалённая сторона) при выходе одного из них из строя?

Вроде на джунах в отличии от Микротиков есть человеческое скриптование.

http://www.juniper.net/us/en/community/junos/script-automation/library/event/track-ip/

Там даже есть root shell.

На цисках есть TCL, даже на L3 свитчах.

[Saab95]

Cynic (Сегодня, 02:40) писал:

2) Умеет переключатсья между провайдерами, если один линк падает;

 

 

Если включить OSPF то это не проблема.

 

Щито? Если провайдер согласен поднять ospf c клиентом (в public routing table), то от такого провайдера надо сразу бежать куда больше. IGP между ISP или ISP-клиент в паблике это типичный пример "как не надо делать"

 

Не с клиентом, а в туннелях через сеть оператора между центральным сервером и например, офисом.

 

А где в ТЗ сказано, что единственная его задача - поднять тунель до центрального офиса? С чего Вы решили что эта железка не будет использоваться как шлюз в интернет для локального офиса?

 

Ну так микротик может работать и как шлюз, и даже может перенаправлять часть запросов в интернет через центральный сервер, а другую через локального провайдера. И в качестве резерва можно USB 3G модем воткнуть, или йоту, тогда в каждом офисе например будут 2 кабельных и один резервный беспроводной оператор, что позволит при глобальных отказах иметь хоть какую-то связь с центром. А запитать его в случае чего можно и от батареек, если в офисе есть ноутбуки, то даже при отключении электричества можно еще часа 3-4 продолжать работать.