Cześć do tej pory miałem skonfigurowane VPN (PPTP) Klient - Serwer , przyszła potrzeba zrobienia połączenia site to site (komputery mają się wzajemnie widzieć w obu zdalnych lokalizacjach)
zastanawiam się nad 2 routerami między TP-LINK R600VPN, Cisco RV130 i Mikrotik RB750 .
Teraz jaki sposób będzie najlepszy do site-to-site … protokół L2TP ? czy IPSEC z tego co wyczytałem L2TP jest protokołem do którego dokłada się IPSEC(dla bezpieczeństwa) , ale czy faktycznie musi być L2TP cz IPSEC sam w sobie też można skonfigurować jako VPN . ??? Jaką metode polecacie i jaki sprzęt z wymienionych
Może eoip na MT?
Pośród tych 3 najlepiej wziąć Mikrotika, ale nie takiego staruszka, a coś nowszego, wedle potrzeb.
Mikrotik jak najbardziej, ale do IPSec wybierz model ze sprzetowym szyfrowaniem w CPU, bo inaczej będziesz miał 100% CPU i transfer max 20Mb/s nawet na łączu 1/1Gb/s.
Do site to site najlepszy jest IPsec, choć trzeba umieć go skonfigurować. L2TP jest dobry i łatwiejszy w konfiguracji, ale lubi się rozpinać.
Możesz jeszcze wybrać VPN SSL (wyższej warstwy) - SSTP. Jeśli ISP blokuje ruch IPSec, to pozostaje Ci tylko VPN wyższej warstwy.
EoIP jest fajny, ale do site to site srednio się sprawdza. Dodatek IPSec jest biedny, a spinanie EoIP na tunelu IPSec nie ma sensu. Polityki i tak dadzą Ci dostęp do sieci, w ktorej ruch ma być szyfrowany.
Do tego zabawa z bridge’ami. Tunel się rozepnie, nie masz DHCP, albo je powielasz. Do każdego VLAN osobny bridge. Same problemy. Łatwo sobie zrobić bałagan w sieci, gdy ktoś tego nie ogarnia.
Wracając do IPSec jest szyfrowany i on sam w sobie zestawi połączenie vpn ?
A w przypadku L2TP to zestawienie połączenia vpn + ewentualnie też można dodać ipsec jako szyfrowanie?
i mówimy o połączeniu site to site narazie a co w przypadku gdyby pojawiła się opcja podpięcia jeszcze jednego połączenia czyli teraz odział - odział a w przyszłości odział-odział-odział ?
W przypadku l2tp to nie do końca site to site. Jeden router/firewall jest serwerem, reszta to klienci. W przypadku IPSec obie strony negocjują sposób wymiany kluczy, uwierzytelniania i zestawiają tunel. L2TP może wykorzystywać IPSec do szyfrowania parkietów IP. L2TP wykorzystując IPSec też negocjuje sposób wymiany kluczy i uwierzytelnianie i generuje polityki, dlatego jest go łatwiej skonfigurować, niż IPSeca. Polityka określa jakie pakiety (jaki ruch jest szyfrowany).
Jeśli masz, np. Mikrotika w centrali, to on może być koncentratorem VPN, wówczas zestawiasz kolejny tunel.
Zwróć uwagę na licencjonowanie systemu, ktory wykorzystasz, możesz mieć system, który pozwoli, np. na 50 tuneli, 200 lub bez limitu. Szczegolnie Cisco lubi brać dodatkowe opłaty za licencje na VPNy.
Czy kolega bierze pod uwagę rozwiązanie nie “sprzętowe” - czyli “routerowy” linux - np. IPFIRE ?
W domu to sobie można rzeźbić figurkę z brązu. W firmach, jeśli jest kasa na budowę infrastruktury, szkoda czasu na programowe wynalazki, potem to się mści i zostaje się nołlajfem
Już widziałem serwerownie, w których graciły się stare PCty lub wielkie serwery sprzed 20 lat z wynalazkami na Linuksie, a właściciele firm narzekali na problemy wydajnosciowe. Wydajny i dobry Mikrotik kupisz spokojnie za 200 złotych. Jest to małe, szybkie, wydajne i stabilne.
He he - uderz w stół… i od razu wiadomo kto czym się w domu zajmuje
Wracając do pozostałej treści… proponuję małą powtórkę z polskiej historii - jakie komputery, systemy, łącza do Internetu i rozwiązania informatyczne były dostępne w tamtym czasie (20 lat temu). Rok 1999/2000 to czas PII/PIII, WinNT/Win2000, Win98/WinMe, w r.1996 - dostęp do Internetu “wdzwaniany” 0202122, w r.1999 SDI, w r.2001 startuje Neostrada…
W tamtych czasach w Polsce, rozwiązania “pudełkowe” nie były tak powszechnie dostępne jak dziś, nie wspominając o cenach. Dostawało się od TPSA modem Sagem czy Cellpipe i dzieliło się SDI przy pomocy np. Freesco, NND… i in.
W tamtych czasach, te rozwiązania spełniały swoje zadanie, a po 20 latach, z uwagi na ogromne postępy w tej dziedzinie, mają prawo być mało wydajne.
I nie oszukujmy się - to, co teraz znajdujemy w różnych serwerowniach, albo słyszymy od “narzekających właścicieli”, nie stanowi ewidentnego dowodu na to, że rozwiązania “pudełkowe” są lepsze czy bardziej wydajne. Natomiast może stanowić dowód na to, że tamci właściciele, w odpowiednim czasie, nie zadbali o infrastrukturę IT - bo… najczęściej, chcieli zaoszczędzić…
O jakichś starych rozwiązaniach nie wspominam, bo do dziś widuję jakieś stare switche FE. Mówię o dzisiejszych rozwiązaniach, gdzie takiego MT można mieć za 200 PLN, a mimo to jakiś miłośnik software’owych rozwiązań lubi rzeźbić takie rozwiązania na PC albo na ESXi, bo jest taniej, bo po co przepłacać. Firma, gdy wie, że jest taka potrzeba, bez problemy wyda kasę - i tak wrzuca to sobie w koszty. Męczy się z tym badziewiem przez 2 lata, ucieka do innej firmy, a właściciel zostaje z gównem. Wkładasz takiego Mikrotika, konfigurujesz, zapominasz, klient zadowolony, nie wydzwania 4 razy w tygodniu, zapomina o istnieniu działu IT. Ty siedzisz i pykasz sobie w gierki, albo przeglądasz kotki w Internecie, bo wszystko działa i się nudzisz.
Wiesz, ja wolę się nudzić i przytulać za to hajs, niż zapierdalać jak pjoebany, bo coś działa niestabilnie, niewydajnie i wiecznie jest jakiś problem. Mam pod opieką 20 firm i mam spokój, bo wszystko działa stabilnie, nie muszę się stresować, że nagle 4 klientom wysypała się infrastruktura. Wolny czas mogę poświęcić na pozyskanie kolejnych 20 klientów.
Hajsy trzeba zarabiać jak najmniejszym nakładem pracy, a nie narzekać na zapierdol i że mało płacą.