Router czy UTM


(dadag90) #1

Witam,

proszę o radę. Mam kupić router do firmy (max 3500zł) i nie wiem czy zainwestować w Router Cisco C892FSP-K9 czy w Zyxel ZyWALL USG110 UTM Bundle, a może po prostu kupić TP-LINK TL-ER6120. Mała firma, ale siedzimy są w dwóch biurach oddalonych od siebie. Potrzebuję mieć VPN między biurami.


(roobal) #2

Żadnych TP Linków i ZyXeli. TP Link nie nadaje się do poważnych zastosowań. Urządzenia tego producenta są strasznie zabugowane i potrafią w sieci takie cyrki wyprawiać, że masakra. Jeśli masz całą sieć w Cisco, to możesz wziąć to Cisco.

Od siebie polecam Mikrotik CCR1009-7G-1C-1S+ https://routerboard.com/CCR1009-7G-1C-1Splus

Mam z tym urządzeniem do czynienia w dużych sieciach i sprawuje się bardzo dobrze i masz wszystko to co oferuje Ci Cisco (poza ich własnościowymi protokołami). Jak potrzebujesz jeszcze wifi, to spokojnie zostanie Ci kasa na 3-pack Unifi UAP-AC-LR.


(dadag90) #3

Nie mam w sieci CISCO tylko switche HP, natomiast mam router TP-linka niestety. Czy wiesz może czy w tym mikrotiku jest VPN IPSec? Nigdzie nie mogę tego doczytać. Może uda mi się wymienić od razu dwa routery :slight_smile:


(Luc3k) #4

A co byś powiedział na takie rozwiązanie: https://www.senetic.pl/product/ASA5506-K9
Jest to zapora klasy UTM. Dokupując do tego urządzenia licencje powinieneś się zmieścić w 3500 zł. Jedyną wadą jest to, że licencje się odnawia co roku/co trzy/co pięć lat.


(roobal) #5

Oczywiście, że w Mikrotiku jest IPSec. MT w licencji na poziomie 4 oferuje takie usługi VPN:

  1. PPTP;
  2. SSTP;
  3. L2TP/IPSec;
  4. OpenVPN;
  5. IPSec/IKE;
  6. IPIP;
  7. GRE;
  8. EoIP, EoIP/IPSec.

Nie ma sensu kupować Cisco. Mikrotik oferuje to samo, a nawet więcej w ramach tej samej licencji i kosztuje 3 razy mniej. Lepiej tę kasę spożytkować na inne urządzenia, np. AP od Ubiquiti. Zwłaszcza, że w sieci nie ma żadnego Cisco.

Mikrotik ma tzw. poziomy licencji. Przy opisie urządzenia podany jest poziom licencji. W większości przypadków jest to poziom 4 i 5. Na stronie Mikrotika możesz wyczytać co dany poziom licencji oferuje. VPNy są dostępne od 4 poziomu.

Router, który Ci podałem na 100% ma IPSec, bo mam go w dwóch sporych firmach (licencja level 6). Poza tym nie spotkałem jeszcze MT bez usług VPN, nawet w routerach typowo SoHo. Wszystkie z jakimi miałem do czynienia miały licencję level 4 minimum.


(Luc3k) #6

Zaciekawił mnie ten Mikrotik z tego względu, że poszukuję do firmy zapory/routera.
W wielkim skrócie potrzebujemy zapory spełniającej następujące założenia:

  1. Urządzenie musi być bramą do internetu z translacją NAT oraz serwem DHCP dla
    dwóch fizycznych sieci (192.168.1.0/24 oraz 10.0.0.0/16)
  2. System antywirusowy i antyspamowy, monitoring sieci, filtrowanie URL, IPS,
  3. Kształtowanie i ograniczanie przepustowości łącza (QoS) ze względu na niską
    przepustowość. Obecne łącze ze względu na ograniczone warunki techniczne osiąga
    zaledwie prędkość w granicach 16-18 Mbit/s. W planach jest instalacja
    światłowodu.
  4. Obsługa tuneli VPN.
    Czy powyższy model posiada funkcjonalność zarządzania pasmem QoS?

(roobal) #7

RouterOS w MT to tak naprawdę Linux z ich autorskim CLI. MT oferuje wszystko oprócz punktu 2. Być może MT ma w swojej ofercie takie urządzenia, ale nie miałem z nimi nigdy do czynienia. Możesz się też rozejrzeć po urządzeniach Ubiquiti. Ten producent też oferuje routery i prawdopodobnie zapory. Sporo osób chwali sobie EdgeRouter. MT to typowy router. Posiada zaporę, NAT (linuksowy iptables), QoS (HTB itp.), bandwith limit i wszystkie typy VPN, o czym pisałem wyżej. Przy wyższych poziomach licencji masz też VRRP, a nawet wirtualizację (w zależności od modelu możesz uruchomić do 8 VM).


(Luc3k) #8

Przydało by mi się takie kompleksowe rozwiązanie - nie mam już czasu na dłubanie w Linuxie.
Jaki jest stopień trudności jeśli chodzi o konfigurację takiego routera?
Cenowo model który podałeś jest naprawdę atrakcyjny.


(roobal) #9

MT możesz zarządzać z CLI, składnia jest bardzo prosta. Jak wolisz GUI, to zarządzasz aplikacją o nazwie Winbox lub przez WWW. WWW i WInbox wyglądają tak samo, jednak apka jest wygodniejsza i możesz w niej mieć zapisane wiele urządzeń. Sam RouterOS możesz przetestować instalując demo systemu na VirtualBox. Demo jest w pełni funkcjonalne, można z niego korzystać 24h, jednak po wyłączeniu systemu licznik się zatrzymuje, więc spokojnie możesz testować kilka dni.


(Luc3k) #10

Czy to jest to demo oprogramowania routera: http://demo2.mt.lv/webfig/
?


(roobal) #11

Tak, to jest live demo. Jednak to tylko panel WWW. Stad pobierzesz sobie obraz ISO systemu, ktory mozesz zainstalowac na VirtualBox (instalacja zajmuje gora 5 minut) lub pobrac obraz VDI, ktory podlaczasz sobie tylko do dowolnego hypervisora, obslugujace wirtualne dyski vdi.

Gdy odpalisz sobie system z ISO lub VDI, z tej samej strony pobierasz Winbox. Gdy bedziesz w tej samej podsieci lub bedziesz mial routing do VMki, to Winbox sam znajdzie Ci wszystkie urzadzenia MT. Do MT mozna logowac sie na 3 sposoby. Przez IPv4, IPv6 lub MAC adres (ta ostatnio opcja przydaje sie, gdy urzadzenie nie ma przypisanego IP lub zgubi adres). Bardzo przydatne jest tez logowanie sie po IPv6, bo router zawsze bedzie mial przypisany adres lokalny.


(Luc3k) #12

Na pierwszy rzut oka soft wygląda dosyć skomplikowanie, aczkolwiek intuicyjnie. Waham się pomiędzy ASA 5506-X a tym Mikrotikiem, który zasugerowałeś.


(Luc3k) #13

Jako, że pracujesz już z tym routerem czy mogę mieć jeszcze jedno pytanie:
Mianowicie czy da się na nim zrobić różne zakresy dhcp?
10.0.0.1-100 /adresy statyczne z przypisanymi mac adresami/
10.0.1.1-100 /adresy dynamiczne bez przypisanych mac adresów/

Teraz odnośnie kształtowania pasma QoS: czy do zakresu 10.0.1.1-100 da się przypisać określoną prędkość, której dany użytkownik nie przekroczy, np. 256 KB/s?


(MatX_) #14

Oczywiście, że obie rzeczy da się zrobić bez problemu.
Mikrotik ma bardzo duże możliwości co do kształtowania ruchu i co najważniejsze praktycznie wszystko da się wyklikać w GUI, trzeba tylko wiedzieć co chce się zrobić.


(roobal) #15

Tak. Na MT możesz mieć VLANy i tym samym musisz mieć wiele podsieci na routerze. DHCP obsłguje wszystkie podsieci jakie mu ustawisz. Pule możesz ustawiać jakie chcesz. Na MT masz bandwith limit i QoS. Na pierwszy rzut oka RouterOS może wydawać się skomplikowany, ale składnia CLI jest równie banalna jak CLI Cisco. Jak trochę popracujesz w GUI, to nic nie będzie dla Ciebie skomplikowane.

Dokładnie jak pisał kolega wyżej. Od siebie dodam tylko, że sky is the limit :wink:

Jedyne z czym MT ma problem to BGP. Mój znajomy jest ISP i narzekał na działanie BGP i musiał w tym celu postawić specjalnie Debiana z Quagga. Oprócz tego spotkałem się z opinią, że właśnie BGP średnio działa na MT. Tak poza tym, to z nie ma z nim żadnych problemów.


(Luc3k) #16

Chyba mnie przekonaliście. Widzę, że router ma wejście na kartę sd - czy można ją wykorzystać np. na zapisywanie logów połączeń użytkowników?
Czy do tego modelu dokupuje się jeszcze jakieś dodatkowe poziomy licencji?


(dadag90) #17

mam jeszcze pytanie, może głupie. Gdzie są w tym routerze (Mikrtotik) wejścia WAN? Czy któryś ethernet przeznacza się na WAN?


(Luc3k) #18

Sam sobie konfigurujesz, który port ma być WAN, a który LAN.


(MatX_) #19

Dokładnie tak, a portów WAN możesz sobie skonfigurować ile chcesz, możesz ustawić też load balancing pomiędzy nimi. Dodam tylko, że takie rzeczy oferuje nawet router MT za 90 zł, więc cała magia tkwi w systemie i wcale nie trzeba wydawać tysięcy dla takiej funkcjonalności :slight_smile:


(dadag90) #20

wydaje mi się że jest inna klasa sprzętu też niż tylko funkcjonalność :wink: nie wiem czy obsłuży duży ruch sieciowy router za 90zł

dzięki za odpowiedzi. zamawiam miktotika :slight_smile: