Chystáme se nahradit náš současný firewall a zajímá nás, co všichni používáte a proč se vám vaše volba líbí/nepálí nebo proč jste právě zvolili to, co používáte? Momentálně máme více než 50 VPN připojení.
Díky!
Firewally od Palo Alto Networks to udělají téměř idiotsky, ale jsou drahé, série 3200 by byla ideální do HA páru. Fortigate jsou dobrá alternativa, protože vše, co děláte, je jádrové sítě a nic složitého, pravděpodobně vám stačí 100e nebo dokonce 80f.
Fortigate jsou bohaté na API a mají podporu jak pro ansible, tak pro terraform, pokud chcete VPN spravovat pomocí kódu.
Palo Alto. Tak neuvěřitelně jednoduché.
SRX, jednoduché, velmi rychlé, bez problémů.
Juniper SRX firewally pro nás. Úžasné jednotky, které běží jak naše VPN tunely, tak MPLS WAN, zatímco směrují naši LAN na hlavní pobočce. Velmi nákladově efektivní.
Nechám začít dolů hlasování. Jsme velmi spokojení s Cisco ISR a DMVPN.
pfsense. Mám 8 poboček připojených pomocí IPsec.
Palo Alto. Celkem jednoduché. Nikdy jsem moc nepracoval s Cisco ASA, ale šéf ho nesnáší.
Palo Alto 5520 v HA páru. Skvělé funkce, skvělá podpora + dokumentace.
FortiGate - jednoduché nastavení, nejlepší rozhraní, skvělý CLI, dobré hardware, nejlepší cena na trhu.
PlaoAlto je také dobré, ale velmi drahé.
Cisco ASA - no, přišel jsem ze světa Cisco, ale je opravdu z minulého století. A ceny a licenční poplatky jsou směšné.
Také od minulého týdne je to cca 180 dní, než lze objednat jakékoli zařízení od Fortinet a 365 dní od Cisco.
Máme Fortigate 100f (HA) na uzlech a Fortigate 40f na vzdálených místech, jsou úžasnou hodnotou a zvládnou přenos několika GB IPsec s stovkami tunelů na uzlu, nic v této cenové kategorii nemůže konkurovat.
Pokud více inklinujete k open source, mohu doporučit VyOS.
Podporuje řadu protokolů - IPSEC, Wireguard, OpenVPN,…
Historicky máme u většiny zákazníků ASA, ale vše postupně nahrazujeme Fortigate. Někteří si ale stále nechávají ASA kvůli VPN, dokud nejsou úplně EOL, nebo je nahrazují zařízeními Firepower s kódem ASA.
Fortigate.
Konfigurace VPN IPSEC phase1-interface
Konfigurace VPN IPSEC phase2-interface
Konfigurace systému rozhraní tun01
Konfigurace směrovače BGP xxxxx
A máte dynamicky směrovaný IPSEC tunel pro site-to-site přenos.
Pro podnik: juniper srx. Neuvěřitelně jednoduché a spolehlivé. A OS s připravenými příkazy a obnovami bez výpadku je skvělé.
Pokud jste trochu více experimentální: vyos je skvělý a zdarma (a můžete koupit podporu). Mám několik sestav s WireGuard mesh VPN a ospf. Nemohu být šťastnější. 
Doporučil bych buď Fortigate nebo Palo. Osobně se mi líbí všechny funkce, které od Fortigate dostáváte za tu cenu, a v dnešním trhu s dodavateli to lze získat rychleji než Palo. Palo je samozřejmě „vůdce bezpečnosti“ a funguje stejně dobře, ale zaplatíte za to. Preferuji také podporu od Fortinet více než od Palo, jsou snazší a rychlejší k dosažení podle mých zkušeností.
Fortigate. ASIC-akcelerace přináší mnohem větší hodnotu, než jakýkoli jiný dodavatel, když přijde na IPSEC. Také podporuje správné elephant flows přes IPSEC pro DCI, což je pro nás požadavek.
Cisco ASR pro site-to-site. Dříve jsem používal Cisco ASA a také Fortigate. Můj favorit je Fortigate.
Sonicwall. Nemám zkušenosti s jinými platformami, ale sonicwally nejsou špatné.
Vím, že se OP ptal na zařízení, ale není žádná láska k linuxovému VM běžícímu jakékoli VPN softwaru, který máte rádi?