Ruter z 4x1Gbps LAN porti in VPN podporo

@trnvpeti - poglej si on Untangle link, ki sem ga dal. Good enougn, imho. Če pa hočeš, pa lahko tudi tam zapraviš nekaj €, za boljši občutek.

@trnvpeti - nehaj mutiti - več kot očitno imaš svoje mnenje o Ciscu in zdaj mene provociraš, da naj mojega povem, da boš lahko 'pameten'. Nekako mi ta tvoj pristop ni všeč. Seveda imam svoje mnenje o Cisco ASA tehnologiji, koneckoncev sem že povedal, da ni bila več konkurenčna, zaradi česar so šli v obnovo ASA proizvodov. Čeprav novi ASA proizvodi na prvi pogled izgledajo cool, pa pri bolj podrobnem ogledu ugotoviš, da brez doplačil v bistvu nisi dobil kaj dosti več, kot pri starih ASA napravah - razen bistveno višje prepustnosti in seveda nadgradljivosti. V osnovnem paketu dobiš še vedno samo SPI tehnologijo, za malo bolj poglobljen nadzor prometa pa moraš že posegati po dodatnih servisih. Je pa velika prednost, da ne rabiš več kupovati posebnih dragih kartic, da bi naprava zmogla IPS ali antivirus.
Vsekakor imaš določene funkcije, kjer je Cisco močen, imaš pa tudi niz funkcionalnosti, ki jo boš na Ciscu zaman iskal. Odvisno od okolja, kamor stvar postaviš, je to lahko prednost ali pa pomanjkljivost.
V velikem podjetju, kjer imajo postavljenih več namenskih rešitev (ločen IPS, antispam,...) marsikatero pomanjkljivost takointako rešuješ na neki drugi rešitvi. V malem podjetju, kjer rabiš čimbolj kompaktno rešitev tipa 'švicarski nož', pa znajo pomanjkljivosti postati problematične.
Seveda pa je tako, da nekdo, ki ni nikoli delal na ničemur drugem, kot na Cisco ASA napravah, te pomanjkljivosti ne bo niti videl, saj se je navadil, da stvari pač take so in se s tem ne obremenjuje. Podobno, kot če si vajen jesti nesoljeno hrano - sol ne pogrešaš in niti ne veš, kaj bi z njo. Če si pa vajen soljene in enkrat dobiš neslano na mizo, ti pa definitivno nekaj manjka.

Narobe si razumel.

Nič nismo zaprli in potem počasi odpirali. SMTP potrebujejo in je bil ves čas odprt. Preventivno smo blokirali smo le maile, ki bi imeli v to: headerju *@aol.com (od koder so prihajala not deliverable sporočila) in vključili antispam filter na outgoing mailu.

Istočasno smo v REAL TIME (nič tekstovnega iskanja po logih!) gledali, če se vzpostavljajo ali blokirajo kakšne outgoing SMTP povezave. Če bi se, bi videli tudi na katere naslove so se pošiljali maili. Da bi imeli te podatke tudi shranjene, smo vzpostavili tudi logiranje (v sql database in ne v syslog txt datoteko).

Zdaj mi pa ti povej, kaj od tega lahko narediš na Mikrotiku z orodji, ki so ob nakupu priložena in kaj od tega ne moreš naresti na mikrotiku niti če sam namestiš dodatke, ki jih napraskaš po internetu.

Verjemi - razlika JE. Drugače nebi bil nihče pripravljen plačati konkretne zneske za tovrstne rešitve.

Kaj smtp je na 25 portu? A je sploh kakšen SSL/TLS na vašem strežniku?

Mail server je pri providerju. Torej ti ne nuca mail.log, niti providerjev, ker takointako kaže samo na zunanjo adreso mreže.
From naslov pa je bil generični info@____ , ki ga uporabljajo vsi (poleg poimenskih naslovov).

Ok, razumem. Se pravi, connection monitor + L7 based filer... pa ga vloviš. Tudi z Mikrotikom.

Plus, mail provider bi moral zahtevati avtentikacijo uporabnika. Precej nespametno je takole odpreti port 25 na golo zaupanje do nekega omrežja, kjer nimaš neposredne kontrole nad clienti.

mhm... out of the box, brez poglobljenega znanja sistema, zmore vsak Janez Novak 15 minut po razpakiranju zadeve?

Brez ne čisto trivialnega znanje o networku, tega Janez Novak ne zmore. Niti s tvojo uber-stupid-user-frendly opremo ne. Ker pač ne razume, kaj se dogaja. Ko pa enkrat razumeš, maš pa samo še orodja, ki zahtevajo nekaj več privajanja in ona, ki ga ne. In ta druga so ponavadi tudi manj fleksibilna.

@NeMeTko - sej razumem tvojo poanto. Sam, v osnovi si me vprašal, če MT omogoča tak in tak pristop k reševanju težav. In sem ti pač odgovoril, da ga. Z built in orodji, ni treba ničesar hekat gor.
V kakšnih SOHO okoljih je to čisto spodobna rešitev. Večja in bolj standardizirana okolja pa imajo pač drugačna pravila.

@Daedalus - tudi SOHO okolja postajajo zahtevnejša - v okviru svojih finančnih zmožnosti.

Dokler se gre za enega, do tri zaposlene, se v začetni fazi zagotovo ne obremenjuješ preveč in zavestno sprejmeš rizik da bo morda tudi kdaj kaj šlo narobe in oceniš, da morebitna škoda ne presega vrednosti, ki bi opravičila nakupa neke rešitve, ki stane več kot 100€.

Vendar tudi takšno okolje lahko z leti začne ugotavljati, da rešitev za 100€ ni tisto, kar bi jih zadovoljilo. Se soočajo s kakšnimi problemčki, ko se zadeva 'zašteka', pa potem morajo klicati nekoga, da preveri kaj se dogaja, itd. itd. Ko na koncu seštejejo koliko časa so izgubili zaradi 'drobnih sitnosti', ugotovijo, da jih je tista rešitev v bistvu stala več kot le 100€. Če se potem občasno dogajajo še 'čudne reči', ki jih ne zmore nihče pojasniti, pa je dokaj logično, da bo tudi troglava ekipa začela razmišljati o neki malo bolj zanesljivi varianti, pa tudi če jih bo stala 600€ ali še kaj več.

Nesramno pa je, če potem nekdo trdi, da si nekoga po domače povedano 'nategnil', ker si mu prodal high-end rešitev, ko je enkrat imel dovolj teh 'drobnih nevšečnosti'.

NeMeTko je 31. avg 2012 ob 11:31 izjavil:

@Daedalus - če imaš odprt sistem, na katerem v bistvu teče Linux, lahko nanj namestiš več ali manj poljubno dodatno programje, s pomočjo katerega bi lahko stvar pripravil malodane tudi do kuhanja kave. Vendar je to 'eksperimentalni' pristop in ne produkcijski, hkrati pa meji na primerjanje hrušk in banan. Točno veš, da tak sistem zlepa nebi preživel ICSA, EAL ali FIPS certifikacije.

Na drugi strani imaš zaprte certificirane sisteme, ki zmorejo izključno to, kar dobiš out of the box, ali pa lahko pri proizvajalcu dokupiš kot opcijo.

V tem primeru so vse komponente preverjene in med seboj usklajene, ne potrebuješ niti 5% tistega znanja, ki ga rabiš na odprtem sistemu, da nekako skombiniraš dodatno kodo, ki jo poiščeš na netu. Če bi ovrednotil svoje znanje z realno ceno in seštel vse ure, ki jih potrebuješ, da stvar out of the box pripraviš do primerljive funkcionalnosti, bo ta reč prišla bistveno dražje, ali pa v najboljšem primeru tam nekje v rangu komercialne rešitve - pa še vedno ne bo certificirana po nobenem standardu.

Če to delaš zase, ljubiteljsko, s tem ni nič narobe. Nasprotno - stvar je pohvalna v vsakem pogledu. Da pa to postavljaš v neko podjetje za prvo obrambno linijo, je pa tudi rizik za postavljalca, saj se na koncu lahko še celo soočiš s tožbo podjetja, če pride do vdora in ti dokažejo, da tvoja 'doma spacana' rešitev ni odigrala vloge, ki bi jo morala, ali pa bognedaj, da je kompromitacijo šele omogočila.

Po drugi strani pa tudi v podjetjih na notranjih omrežjih kdaj potrebujemo dodatne varnostne naprave. Odvisno od narave potreb, je lahko v takem scenariju nek mikrotik idealna poceni rešitev, saj ponavadi zahteve na tem nivoju niso tako stroge.

Res ne vem, zakaj je tako teško razumeti, da ni vsaka rešitev primerna za vsako okolje. Tako, kot ne greš z avtom orati njivo, ali s traktorjem na cestne dirke. Obstajajo določeni mednarodno uveljavljeni standardi, ki jih preprosto ne moreš zadovoljiti z odprtimi rešitvami že iz samega osnovnega razloga - ker so ODPRTI in se na takem sistemu mimogrede znajde nekaj, kar ima lahko gromozansko varnostno luknjo. Roko na srce - kako pa prilagajaš tak odprti sistem? Imaš določen problem, ki ga ne moreš rešiti s sistemom kakršen je in greš po forumih iskati možne rešitve in dodatke. Najdeš eden, dva namiga možne rešitve, si potegneš dol kodo in jo namestiš. Pri tem redko veš, kdo je to reč programiral, koliko je stara, če je 'vodotesna'. Več, ko takih dodatkov namestiš, več imaš možnosti, da se vmes znajde kakšno gnilo jajce. Če to delam zase, bog pomagaj, shit happens. Če pa to delaš za stranko ali podjetje, pa je to na nek način neodgovorno in amatersko.

Hm, sicer nimam primerov iz networking okolja, ti pa lahko dam kar nekaj primerov iz avtomatizacije, kjer raznorazne certificirane zadeve velikih proizvajalcev ne delujejo tako kot morajo. Pa jih nekako nihče ne gre tožit zaradi tega (vsaj ne v Sloveniji oz slo firme). Zakaj? Zato ker je to pač siemens/abb/katerakolifirmažepač in tako pač delajo.
Pri mrežni opremi pa ni nič drugače. Če mi zlikovci vdrejo v omrežje preko cisco* opreme bom naredil kaj? Tožil cisco? Mam pol rajši "doma spacane" linux/bsd rešitve, ki jih nek admin redno spremlja in odpravlja bug-e kot pa da čakam da nekdo najde exploit v ciscotu in vdre v vse inštalacije na svetu na isti način. Poleg tega lahko tistega admina ki mi je postavil "doma spacan" fw/karkoližepač naderem kaj hudiča mi je prodal. Za dušo to zelo pomaga, če ne drugega.
Sicer pa, vzemimo iranske centrifuge: kaj so rekli iz siemensa? Ne bomo odpravljali napak. Pa ni napaka v delovanju krmilnikov, temveč v komunikaciji krmilnikov in nadzornih sistemov.

* cisco, janipur/karkoližepač

Če jim je zalilo klet je nekdo naredil mal preveč neumnosti. Podvojen IP ne more in ne sme vplivati na delovanje krmilnika - le nima povezave mora met kak rezervni režim v katerem bi moral vedeti kakšen je pretok in koliko časa je lahko odprt ta in ta ventil...
V praksi bolj vidim da se dogaja to, da se kupi neko opremo (krmilnike...) pri kateri se najde po n letih bug, ki ga proizvajalec ne odpravi. Dela se škoda, nepotrebne obrabe materiala itd, vzdrževalci/inžinirji/odgovorni pa v stilu "jah, to je pač ...(poljubni veliki proizvajalec opreme)". Nihče ne gre težit proizvajalcu.
In pri mrežni opremi ni nič drugače. Al pa pri proizvajalcih česarkolidrugega (moj primer - gsm se mi je obešal, odgovor s servisa: "bo treba vzeti v zakup da se ga vgasne 1x dnevno")

Kakorkoli, takšne ali drugačne certificirane naprave ne pomagajo ko pride do vdora. Treba je delati na aktivnem varovanju. To da kupiš cisco opremo (ali katerkokoli drugo, tudi "doma spacano"), jo namontiraš in pustiš naslednji 5 let pri miru ti ne pomaga nič. Redno je potrebno gledati kaj se dogaja tko na tvoji opremi kot širše, in odpravljati varnostne grožnje. Pri večini podjetji je problem v tem, da kupijo neko superduber zadevo, potem pa jo nihče ne pipa več. Če ne obvladajo svoje opreme, je potrebno nekoga najeti za to.

Preden da se popolnoma skregate in predebatirate vse možno, bi bil tudi jaz vesel enostavnega odgovora na zastavljeno vprašanje. :)

Sam npr. bi rad preko Interneta povezal 3 ločena omrežja s samo nekaj PC-ji. Torej rad bi kupil 3 wireless routerje z možnostjo VPN, da bi potem lahko nastavil npr.:
- lokacija 1 bi imela IP-je od xxx.xxx.xxx.50-99
- lokacija 2 bi imela IP-je od xxx.xxx.xxx.100-149
- lokacija 3 bi imela IP-je od xxx.xxx.xxx.150-199
Vse 3 lokacije bi bile kot eno lokalno omrežje, vsak PC vidi vsakega.

Dovolj so 100MB porti, prometa ne bo veliko, željena stabilnost in čim nižja cena (do cca 100 EUR na KOM).

Hvala za pomoč in predloge!

Saj vem da me bo NeMeTko grdo gledal ker ga drezam, če želiš povezat med sabo domača omrežja in mislite kaj prenašati med seboj npr.filme lastne produkcije z velikostmi 700MB+ in so ta omrežja v internet povezana z dovolj hitro linijo (npr. optika) ti za VPN povezavo odsvetujem večino routerjev, ki se flashajo na dd-wrt/tomato, bi bil tukaj bolj primeren zgoraj omenjeni Mikrotik.

Večinoma problem tiči v tem, da je promet med temi omrežji kriptiran predno se pošlje čez morje interneta. CPU v teh routerjih to prenaša do neke meje. Če kupiš "zverinco", ki laufa 600MHz arm CPU (večina mid-range so nekje na 480MHz) ti bo spustil skozi nekje 25Mbit prometa čez VPN povezavo, med tem mu pa pokuriš večino resourcev in zelo vplivaš na kvaliteto ostale komunikacije, tukaj pridejo enterprise rešitve bolj do izraza. Za majhno količino prometa ali počasnejše linije pa ni ravno problema.

OmegaBlue je 31. avg 2012 ob 15:51 izjavil:

Saj vem da me bo NeMeTko grdo gledal ker ga drezam, če želiš povezat med sabo domača omrežja in mislite kaj prenašati med seboj npr.filme lastne produkcije z velikostmi 700MB+ in so ta omrežja v internet povezana z dovolj hitro linijo (npr. optika) ti za VPN povezavo odsvetujem večino routerjev, ki se flashajo na dd-wrt/tomato, bi bil tukaj bolj primeren zgoraj omenjeni Mikrotik.

Motiš se !
Morda ne boš verjel, vendar se strinjam s tabo.

Tudi sam sem mu napisal, da za domačo rabo ima širok izbor cenejše opreme. Tudi drži, da je IPSec procesorsko zahteven (rešitve za 700+€ imajo vgrajeno HW enkripcijo, če jo nimajo, niso vredne svojega denarja!). Mikrotik je v tem oziru zagotovo opcija vredna podrobnejšega ogleda, če to rabi za domačo hobby varianto.

Vendar pa se bojim, da se pri njemu ne gre za domačo/hobby/eksperimentalno rabo.

V datasheetu niso nič napisali o IPSec troughputu...bi se pa ja lahko malo potrudili? Drugače pa tale, ki si ga omenil sodi že v malo višji razred, saj stane 430€?

Drugače pa je s temu ultra hitrimi zadevami tako, kot se za router spodobi: da je ultra hiter, saj je bil narejen točno za to, da čim hitreje prestavlja pakete s porta na port. Tu ni kaj diskutirati - žalostno bi bilo, če tudi to nebi zmogel.

Drugo pa je, če gremo na ultra hitro stvar obešati UTM funkcionalnost, da bi dobili nekakšen UTM firewall. IPS in predvsem AV sta prava speedkillerja. Npr. Fortigate 1240B: 44Gbit/s firewall prepustnosti. Wau!....pogledaš nekaj vrstic nižje - AV prepustnost na proxiju 0,9 Gbit/s ?!? WTF! Glede na to, da je večina prometa http, uporabniki nimajo prav nič od tistih impozantnih 44Gbit, ampak se morajo tepsti za tisto preostalo žalost od 0,9 Gbit/s AV prepustnosti (razen če jo ne izklopiš? Samo čemu potem kupovati tako reč?). Pa tudi če AV izklopiš, ti IPS ne bo spustil več kot 5 Gbit/s - tega pa najbrž ne boš izklapljal? Pri vsem tem zadeva stane tam nekje okoli 25.000€....

Na Routerbord dvomim, da boš šel navešati UTM funkcije (takoj bi se znašel v dilemi, kako to kakovostno izvesti). Ločen IPS sistem zahteva svoje, tudi če ga postaviš na Linuxu s freeware-om, boš še vedno moral imeti kolikor tolkikor pametno mašino za to, v switchanih omrežjih pa to spet potegne svoje probleme s seboj (port mirroring, prepustnost,...?). Komercialne rešitve računajo kar lep znesek za IPS signature - se lahko zaneseš, da so tiste 4free vsaj kolikortoliko na nivoju plačljivih?
AV tudi najbrž ne boš implementiral na routerboardu. Komercialne variante mislim da zanj ni, kakšen ClamAV je pa bolj tako-tako, nekako po sistemu 'bolje kot nič'.
Potem imamo antispam. Spet ista zgodba. Lahko se zaneseš na blackliste, ampak moraš najti nekaj, kar zna vsaj tri blackliste prekontrolirati, da ti ne meče preveč legitimne pošte v spam. Ups - spam lahko samo označiš, da je spam, ali pa ga zbrišeš (bognedej) že na prehodu. Torej moraš najti še rešitev za spam karanteno. Potem imaš še možnost mail whitelistinga. Obup od rešitve. Poskusi uporabiti t-2 mail relay pa poslati mail na sistem z whitelistingom. Popeniš vsakič posebej. Torej bomo še za filtriranje maila postavili ločen sistem?

....in tako se nadaljuje z ostalimi UTM funkcijami...

Če je firma velika, bo zagotovo tendirala k temu, da si postavi specializirane IPS sisteme, antispam, Websense in druge rešitve, saj omogočajo bistveno bolj granularno nastavljanje in boljši nadzor.
Malo podjetje, pa je postavljeno pred izbiro: router (nič UTM funkcionalnosti) - UTM rešitev - parcealne rešitve.
Zadnje odpade, ker je predrago in preveč intenzivno za vzdrževati. Ostane izbira med nekim routerjem in UTM rešitvijo. Vse ali nič, take it or leave it.

Z veliko modrosti in iznajdljivosti se seveda da tudi kaj scoprati. Vendar to ni nikoli isto, kot nek UTM sistem, ki je optimiziran že pri proizvajalcu, zahteva veliko znanja in potrpljenja, in se ponavadi konča z nalepko 'ne šlataj dokler dela!'. Ponavadi samo ena oseba ve, kako je to zadevo spravila skupaj. Če ta zapusti firmo, lahko stvar rata resen problem.

Ja, tisti routerboard je krasen - če ga uporabiš na zanj primeren način in imaš v obziru vse ostale aspekte. Ni pa 'kompaktna rešitev' za več problematik, ki jih moraš imeti na koncu dneva pokritih.

Skratka, če stvar uporabljaš s pametjo in odgovornostjo ni napačna. Žal pa marsikdo od samega navdušenja prehitro pozabi na pamet in odgovornost in pozabi, da ima v roki router in ne kompleksno varnostno rešitev.

Ne vem, ali govoriš o Untangle 'Lite' varianti, Standard ali Premium paketu.

Lite in Standard paketa me ne prepričata. Za domačo rabo morda, ne pa za poslovno.

Če govorimo o Untangle premium paketu, pa ta ni ravno poceni. Pri 1-10 PCjih te pride triletni paket $1260 na spletu, po koliko se prodaja pri nas, pa ne vem. Običajno so EMEA cene kar tam okoli 1:1 US cene v evrih. K tej ceni moraš še prišteti ceno PC-ja in dodatnih mrežnih kartic, morda še kakšne wifi kartice. Če hočeš imeti 6 in več ethernet vmesnikov, rabiš že specialne mrežne kartice, sicer nimaš dovolj slotov na matični plošči. Skupaj si hitro na 1500€. Če gremo še korak višje, na 50 uporabnikov, se gibljemo nekje med 2500 in 3000€ za sistem za tri leta.

Na prvi pogled Premium paket izgleda dokaj zaključena zadeva, vendar ko malo bolj podrobno pogledaš, se izkaže, da je zadeva bistveno precenjena. Če imaš resno stranko, ti nebi priporočal Untangle Premium paketa, ker preprosto preplačaš stvari. Za enak denar lahko dobiš bolj kakovostno, zrelejšo rešitev z appliancem vred - brez omejevanja po številu uporabnikov.
Cenovno najbolj kritičen je Premium paket med 11 in 25 uporabniki, saj ti ne nudijo opcije za manj kot 50. Pri takem številu uporabnikov je njegova cena najmanj 50% višja od kakšne druge UTM rešitve, ki nudi primeren appliance za 20 uporabnikov brez omejevanja po številu dejanskih uporabnikov.

Če govorimo o 'all inclusive' paketih z naročnino za 3 leta dobiš med 2200€ in 2500€ tele igračke.
Za tam nekje do 50 uporabnikov bi to moralo zadoščati?

Ker je podpora dokaj redka, razen v kakših 3rd party firmwarih. Pa še tam je ponavadi EoIP implementiran kot PPTP med dvema routerjema in je kompatibilnost med posameznimi vendorji vprašljiva. Včasih še malo slabše, brez enkripcije.

Svoje "privatne" komunikacije raje ne bi tresel po širnem internetu brez vsaj nekega šifriranja :)

Pri meni pač ne letijo argumenti "kdo pa to rabi", "a maš kej za skrivat", "itak noben ne bo gledal kaj delaš". Če gre stvar po mojih privat žicah hočem da tudi ostane tako dokler ne doseže cilja.

Seveda obstaja možnost za tiste ki bi radi to uporabljali.

Še enkrat odogovor na vprašanje v prvem postu. D-Link serije DSR. Relativno ugodna cena, enostavno za nastavit (torej vzdrževanje je poceni), vse možne VPN standarde in celo eden redkih, ki s Ciscotom 5505 side to side VPN vzpostavi.
Vse je super pri sestavljanju PC firewalla/routerja, če imaš čas se s tem igračakati.

Sem se odločil za Mikrotika... Mislim, da mi bo zadeva služila več kot odlično.

Gre se za preprosto omrežje, 2 pcja, tiskalnik in en NAS ter povezava v internet. Mislim, da tukaj nakup opreme za 1000€ ni upravičen.

Matej