Ahoj všichni,
Mám současně čtyři pobočky.
Nastaveno jako VPN typu site-to-site s Cisco 4331 směrovači pro připojení k internetu na pobočkách, VPN a ZBF.
Zajímá mě, jaké jiní používají směrovače/firewally, které umožňují bezpečně propojit lokality.
Palo Alto, Silverpeak nebo Meraki, podle případu použití.
Pokud se vyhýbáš SD-WAN, site-to-site PAN je neuvěřitelně jednoduché. VPN založené na routách jsou skvělé.
V poslední době zkouším Wireguard. Zdá se být docela dobrý.
U branchových lokalit používáme Mikrotik RB5009UG+S+IN a CCR2004-1G-12S+2XS jako koncentrátor v centrále. Používáme VPN na bázi WireGuard a tyto věci jsou levné, snadno konfigurovatelné a dobře fungují. Linky jsou 1Gb nebo 2Gb s přechody SMF, takže jsou požadovány SFP+ porty.
Kromě toho, že jsou dobře navržené a levné, mají sídlo v Lotyšsku a podporují Ukrajince v jejich boji za svobodu. Není možné nepodpořit to…
Fortigaty - super za tu cenu - licence jsou trochu otravné, protože nedávno změnili jejich produktové SKU.
Meraki na pobočkách.
Autovpn je úplná jednoduchost. Doporučuji Palo pro okraj datového centra, s MX v režimu passthrough. Tuto topologii jsem využil k nastavení selhání datového centra.
Nevýhoda je, že Meraki obecně nerad spolupracuje s ne-Meraki VPN partnery. Může to být provedeno, ale moje zkušenost je, že to často končí jako problém při konfiguraci. Modlete se, pokud chcete použít URL jako ID peeru k ne-Meraki peerovi.
Netgate (pfSense) s OVPN.
Fortigate. Levné a funkčně bohaté, ale divné licencování a chtějí vás vtáhnout více do svého ekosystému než MLM. Navíc mají problém s firmwarem a chybami CVE.
Mikrotik může fungovat, ale může být složité ho konfigurovat kvůli široké škále funkcí. Nedávno měli také několik problémů s CVE.
Samozřejmě Watchguard, Sonicwall a Sophos. To je, co je, vem nebo vem ne. Stejně jako Fortigate, pravděpodobně budete potřebovat jejich školení, abyste je opravdu pochopili.
Méně známý vydavatel, ale začal jsem používat Peplink, hlavně pro SD-WAN a site-to-site. Jsou velmi „bez blbostí“, snadno se konfigurovají a jsou extrémně spolehlivé, žádné trvalé CVE nebo špičková firmware aktualizace. Mají svůj vlastní VPN protokol, který nativně řeší více WAN a zlepšuje spolehlivost připojení. Funguje to „přímo v reálném životě“, není to marketingová nesmysl. Pokud potřebujete pokročilejší UTM funkce, snadno přidáte UTM, například Fortigate, před nebo za Peplink a necháte VPN spojení na Peplinku.
Použili jsme Sophos UTM a jejich RED zařízení a velmi dobře fungovalo pro méně než 10 poboček. Snadná nasazení a konfigurace. Náklady byly velmi nízké, takže by bylo levné mít na skladě záložní zařízení.
Používali jsme 2 UTM v režimu aktivní / pasivní pro redundanci v hlavní/datacentrové lokalitě.
Až jsme začali růst, potřebovali jsme rychlejší a spravovanější přístup s několika místy, tak jsme přejili na poskytovatele, který to řeší za nás. Stále však postrádám jednoduchost řešení od Sophosu.
Pokud je váš rozpočet malý a nepotřebujete více než 15 míst, jednoznačně doporučuji.
Právě jsme nasadili Fortigate v 6 lokalitách a přidali jeden v Azure pro přístup k prostředkům. Opravdu jsme nadšení z té technologie.
Nespokojený názor, ale: UniFi Site Magic.
Fortigate 60F v mnoha případech. Přístup na internet, M365, další SaaS služby. Nic složitého. Kanály do 500 Mbps a 50-200 uživatelů.
Používáme buď Watchguard nebo Meraki. Watchguard je jednoduchý na nastavení.
Přestoupili jsme z Fortigate 300D na Aruba SD-Branch brány (model 9012).
Stejná funkčnost a zabezpečení za mnohem nižší cenu a složitost.
Požadavky našich poboček jsou celkem jednoduché. IPSec do hlavního datacentra pro interní aplikace a místní internet. Správa v Aruba Central pro snadné a jednotné nasazení.
Máme licenci, která poskytuje firewall, IDS a webfiltr.
Fortigate! Dobrá podpora a skvělá rozšiřitelnost.
Máme 4 lokality. Používáme Sophos XGS 2300 v hlavní lokalitě a XGS 136 ve třech pobočkách. Jsme s nimi velmi spokojení. Hardware a licence nejsou příliš drahé. Moje předchozí společnost používala Palo Alto a byl to problém.
Měli byste se opravdu zeptat na /r/networking, jestli je stále aktivní.
Ubiquiti právě představuje své SDWAN.
Sdwan s Veloclouds
3 připojení, cloudové rozhraní pro správu a odchod. To je příliš jednoduché.
Prodáváme firewally Sophos, proto využíváme jejich VPN, ale někteří zákazníci mají zařízení jako Watchguard a Draytek od jiných MSP.