pawel40 Опубликовано 17 июня, 2013 · Жалоба Все таки решил делать на микротиках. Но как у них дела обстоят со стабильностью? Не рвется ipsec при отсутствии данных? Зачем вам ipsec если оборудование микротик? У него есть SSTP и L2TP с шифрованием, этого более чем достаточно, работает без всяких сертификатов и т.п. На практике вообще шифрование редко кто использует, т.к. никому в инете не нужны ваши данные. Обычно в ТЗ всегда указывают что требуется шифрование, однако потом по каналу гоняют обычный интернет в центр, или телефонию, которая опять же из центра идет в открытом виде на сервер провайдера, в итоге шифруют 99 процентов данных, которые вообще этого не требуют, что только загружает процессоры и повышает стоимость оборудование. После общения с вменяемыми заказчиками все переводится на схему без шифрования основного количества трафика, и только по нужным направлениям (например доступ к корпоративным базам данных и т.п.) идет отдельное шифрованное соединение. Это так завуалированно сааб признался что микротик не тянет шифрование. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
-Pave1- Опубликовано 18 июня, 2013 (изменено) · Жалоба Зачем вам ipsec если оборудование микротик? У него есть SSTP и L2TP с шифрованием, этого более чем достаточно, работает без всяких сертификатов и т.п. SSTP - удобная технология для remote-access доступа, не более. Для site-to-site VPN - IPSec технология более безопасная, зрелая, стабильная и производительная. Аргумент про одноразово потраченные лишние 15-30 минут на настройку - действительно достойный аргумент! Про шифрование L2TP - неа, не слышал. Разве что только в IPSec его заворачивают. все переводится на схему без шифрования основного количества трафика, и только по нужным направлениям (например доступ к корпоративным базам данных и т.п.) идет отдельное шифрованное соединение. И как вы это делаете? :) Разные vrf для разных классов, или ручками все сеточки указываете, что шифровать - а что нет? И при малейшем изменении сети каждый раз по новой на всех маршрутизаторах все прописывать? А если их больше 10? И вы это действительно считаете хорошим дизайном? PS Шифрование - не только скрытие передаваемой информации. Это еще защита целостности, защита от вторжения в сеть. Нешифрованный GRE тунель - это просто ахренительнейшая дыра в безопасности, с точки зрения несанкционированного доступа. Изменено 18 июня, 2013 пользователем -Pave1- Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 19 июня, 2013 · Жалоба все переводится на схему без шифрования основного количества трафика, и только по нужным направлениям (например доступ к корпоративным базам данных и т.п.) идет отдельное шифрованное соединение. И как вы это делаете? :) Разные vrf для разных классов, или ручками все сеточки указываете, что шифровать - а что нет? И при малейшем изменении сети каждый раз по новой на всех маршрутизаторах все прописывать? А если их больше 10? И вы это действительно считаете хорошим дизайном? Легко - каждый удаленный офис создает 2 туннеля, один на адрес маршрутизатора без шифрования, там L2TP соединения, второй SSTP на адрес второго центрального маршрутизатора, производительного, для обработки шифрованного трафика. Первый маршрутизатор по OSPF вливает маршрут 0.0.0.0/0, второй маршрутизатор с шифрованием вливает маршруты на внутреннюю сеть, например 10.10.0.0/16. На устройствах в офисах вообще ничего настраивать не надо. При количестве устройств как раз более 10 (например 100-200) это очень удобная схема, которая позволяет иметь единый типовой конфиг на всех офисных устройствах, легко масштабировать сеть, добавляя дополнительные центральные маршрутизаторы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tits Опубликовано 19 июня, 2013 (изменено) · Жалоба А вы вкурсе если нагрянет проверка в вашу организацию, и регуляторы посмотрят на ваши openvpn микротики и т.п приблуды с ололо шифрованием то вас по статье могут? Изменено 19 июня, 2013 пользователем tits Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Danuuk Опубликовано 19 июня, 2013 · Жалоба Советую посмотреть на H3C, они же HP. Их MSR900 умеет своеобразный full-mesh называемый DVPN, надежные и простые как гвоздь. В одной построенной сети их поставили около 120, ни одной проблемы за год непосредственно с ними связанными не было. В другой сети, через них подключено около сотни офисов по России, тоже всё отлично и без проблем. В каждом офисе под два канала, ipsec, bgp, всё шуршит и никто уже не помнит как оно настраивалось. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
digsi Опубликовано 20 июня, 2013 · Жалоба tits если организация не работает с гостайной, но она может любой тип использовать шифрования для своих целей Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zi_rus Опубликовано 20 июня, 2013 · Жалоба для своих целей - да, пока это не касается персональных данных Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 20 июня, 2013 · Жалоба для своих целей - да, пока это не касается персональных данных Это все фигня, определить есть или нет шифрование нельзя без вмешательства в работу оборудования. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...