Ahoj všichni,
Momentálně mám firmu s čtyřmi pobočkami.
Nastavena jako VPN mezi lokalitami pomocí Cisco 4331 pro připojení poboček k internetu, VPN a ZBF.
Jsem zvědavý, co ostatní používají za směrovače/firewally pro pobočky, které umožní bezpečné propojení míst.
Palo Alto, Silverpeak nebo Meraki, podle použití.
Pokud se vyhýbáte SD-WAN, PAN site to site je naprosto jednoduché. Route-based VPN jsou skvělé.
V poslední době experimentuji s Wireguardem. Zdá se být docela dobrý.
Mikrotik RB5009UG+S+IN na pobočkách a CCR2004-1G-12S+2XS jako centrální zařízení v jádru. Používáme WireGuard VPN a tyto věci jsou levné, snadno se konfigurují a fungují dobře. Linky jsou 1Gb nebo 2Gb s SMF propojením, takže jsou porty SFP+ nutné.
Kromě toho, že jsou dobře navržené a levné, sídlí v Lotyšsku a podporují Ukrajinu v boji za svobodu. Nemohu nepodporovat to…
Fortigates - skvělé za peníze - licence jsou trochu otravné, protože nedávno změnili své SKU výrobků.
Meraki pro pobočky.
Automatická VPN je naprosto jednoduchá. Doporučuji Palo na hranu datového centra, s MX v režimu passthrough. Používal jsem tuto topologii k nastavení zálohy v datovém centru.
Nevýhodou je, že meraki obvykle nefunguje dobře s VPN peer mimo meraki. Dá se to udělat, ale moje zkušenost je, že to často končí jako problém s konfigurací. Kdo chce použít URL jako peer ID u ne-meraki peeru, bude mít problém.
Netgate (pfSense) s OVPN.
Fortigate. Levné a s množstvím funkcí, ale zvláštní licence a chtějí vás zatáhnout hlouběji do jejich ekosystému, než MLM. Také procházejí obdobím s nekvalitní firmware kontrolou s mnoha CVE, které právě pouštějí ven.
Mikrotik může fungovat, ale je složitější na konfiguraci kvůli vysoké funkcionalitě. Navíc poslední dobou mají nějaké problémy s CVE.
Samozřejmě Watchguards, Sonicwalls a Sophos. To jsou takové, jaké jsou, přijmi je nebo je ignoruj. Jako Fortigate, pravděpodobně budeš chtít absolvovat školení od výrobců, aby jsi je opravdu pochopil.
Menší známý výrobce Peplink, který je zaměřen na SD-WAN a site-to-site. Velmi „bez blbostí“, snadno se konfiguruje, je extrémně spolehlivý, žádné konstantní CVE nebo aktualizace firmwaru. Má svůj vlastní VPN protokol, který nativně zvládá více WANů a zvyšuje spolehlivost spojení. A „prostě to funguje“ v reálném životě, není to marketingový fluff. Pokud potřebujete pokročilejší UTM, můžete snadno přidat UTM před nebo za Peplink a VPN zajistit na jeho úrovni.
Používali jsme Sophos UTM a jejich RED zařízení, velmi dobře pro méně než 10 poboček. Snadné nasadit a nakonfigurovat. Cena byla velmi dostupná, takže je možné mít na skladech náhradní zařízení. Měli jsme 2 UTM v aktivně pasivním režimu pro redundanci na hlavní/datové stanici.
Až jsme narostli do fáze, kdy bylo potřeba rychlejší a lépe řízené spojení s vícero lokalitami, rozhodli jsme se přejít na poskytovatele, který to zvládne za nás. Stále mi chybí jednoduchost řešení od Sophos.
Pokud máte malý rozpočet a nepotřebujete více než 15 míst, mohu osobně doporučit toto.
Právě jsme nasadili FortiGates v 6 pobočkách a přidali jedno do Azure pro přístup k prostředkům. Opravdu jsem ohromen technologickým zážitkem.
Neoblíbený názor, ale: UniFi Site Magic.
Fortigate 60Fs ve většině případů. Procházení internetem, M365, další SaaS aplikace. Nic zvláštního. Rychlost do 500 Mbps a 50 - 200 uživatelů.
Používáme buď Watchguardy nebo Meraki.
Přesunuli jsme se z Fortigate 300D na Aruba SD-Branch brány (model 9012).
Stejná funkčnost a zabezpečení za mnohem méně nákladů a složitosti.
Požadavky na pobočku jsou velmi základní. IPsec do hlavního datového centra pro interní aplikace a místní internet. Správa přes Aruba Central pro jednoduché a jednotné nasazení.
Máme licenci, která poskytuje firewall, IDS a webový filtr.
Fortigate! Dobrá podpora a skvělá rozšiřitelnost.
Máme 4 lokality. Používáme Sophos XGS 2300 na hlavní místo a XGS 136 na 3 pobočkách. Jsme s nimi opravdu spokojeni. HW a licence nejsou příliš drahé. Moje předchozí firma používala Palo Alto a byli to otravní.
Měli byste se opravdu zeptat na /r/networking, jestli je stále aktivní.
Ubiquiti právě spouští své sD-WAN.
Prodáváme firewally Sophos, takže využíváme jejich s2s, ale někteří zákazníci mají například Watchguardy nebo Drayteky od jiných providerů.
Jsme MSP a používáme Drayteky s LTE zálohou, také používáme Fortigaty.