[pawel40]

Все таки решил делать на микротиках. Но как у них дела обстоят со стабильностью? Не рвется ipsec при отсутствии данных?

 

Зачем вам ipsec если оборудование микротик? У него есть SSTP и L2TP с шифрованием, этого более чем достаточно, работает без всяких сертификатов и т.п. На практике вообще шифрование редко кто использует, т.к. никому в инете не нужны ваши данные. Обычно в ТЗ всегда указывают что требуется шифрование, однако потом по каналу гоняют обычный интернет в центр, или телефонию, которая опять же из центра идет в открытом виде на сервер провайдера, в итоге шифруют 99 процентов данных, которые вообще этого не требуют, что только загружает процессоры и повышает стоимость оборудование. После общения с вменяемыми заказчиками все переводится на схему без шифрования основного количества трафика, и только по нужным направлениям (например доступ к корпоративным базам данных и т.п.) идет отдельное шифрованное соединение.

Это так завуалированно сааб признался что микротик не тянет шифрование.

[-Pave1-]

Зачем вам ipsec если оборудование микротик? У него есть SSTP и L2TP с шифрованием, этого более чем достаточно, работает без всяких сертификатов и т.п.

 

SSTP - удобная технология для remote-access доступа, не более.

 

Для site-to-site VPN - IPSec технология более безопасная, зрелая, стабильная и производительная.

Аргумент про одноразово потраченные лишние 15-30 минут на настройку - действительно достойный аргумент!

 

Про шифрование L2TP - неа, не слышал. Разве что только в IPSec его заворачивают.

 

все переводится на схему без шифрования основного количества трафика, и только по нужным направлениям (например доступ к корпоративным базам данных и т.п.) идет отдельное шифрованное соединение.

 

И как вы это делаете? :)

Разные vrf для разных классов, или ручками все сеточки указываете, что шифровать - а что нет?

И при малейшем изменении сети каждый раз по новой на всех маршрутизаторах все прописывать?

А если их больше 10?

 

И вы это действительно считаете хорошим дизайном?

 

PS

Шифрование - не только скрытие передаваемой информации. Это еще защита целостности, защита от вторжения в сеть.

Нешифрованный GRE тунель - это просто ахренительнейшая дыра в безопасности, с точки зрения несанкционированного доступа.

Изменено 18 июня, 2013 пользователем -Pave1-

[Saab95]

все переводится на схему без шифрования основного количества трафика, и только по нужным направлениям (например доступ к корпоративным базам данных и т.п.) идет отдельное шифрованное соединение.

 

И как вы это делаете? :)

Разные vrf для разных классов, или ручками все сеточки указываете, что шифровать - а что нет?

И при малейшем изменении сети каждый раз по новой на всех маршрутизаторах все прописывать?

А если их больше 10?

 

И вы это действительно считаете хорошим дизайном?

 

Легко - каждый удаленный офис создает 2 туннеля, один на адрес маршрутизатора без шифрования, там L2TP соединения, второй SSTP на адрес второго центрального маршрутизатора, производительного, для обработки шифрованного трафика. Первый маршрутизатор по OSPF вливает маршрут 0.0.0.0/0, второй маршрутизатор с шифрованием вливает маршруты на внутреннюю сеть, например 10.10.0.0/16. На устройствах в офисах вообще ничего настраивать не надо. При количестве устройств как раз более 10 (например 100-200) это очень удобная схема, которая позволяет иметь единый типовой конфиг на всех офисных устройствах, легко масштабировать сеть, добавляя дополнительные центральные маршрутизаторы.

[tits]

А вы вкурсе если нагрянет проверка в вашу организацию, и регуляторы посмотрят на ваши openvpn микротики и т.п приблуды с ололо шифрованием то вас по статье могут?

Изменено 19 июня, 2013 пользователем tits

[Danuuk]

Советую посмотреть на H3C, они же HP. Их MSR900 умеет своеобразный full-mesh называемый DVPN, надежные и простые как гвоздь. В одной построенной сети их поставили около 120, ни одной проблемы за год непосредственно с ними связанными не было. В другой сети, через них подключено около сотни офисов по России, тоже всё отлично и без проблем. В каждом офисе под два канала, ipsec, bgp, всё шуршит и никто уже не помнит как оно настраивалось.

[digsi]

tits если организация не работает с гостайной, но она может любой тип использовать шифрования для своих целей

[zi_rus]

для своих целей - да, пока это не касается персональных данных

[Saab95]

для своих целей - да, пока это не касается персональных данных

 

Это все фигня, определить есть или нет шифрование нельзя без вмешательства в работу оборудования.