Forum » Kaj kupiti » Majhen router z OpenVPN podporo
Majhen router z OpenVPN podporo
FrEaKmAn ::
Pozdravljeni
Rabil bi en čim manjši router, ki nima (oz. ne potrebuje) WIFIja. Hkrati je za samo enega uporabnika z zelo malo prometa (cca 1GB/mesec). Mora pa podpirati OpenVPN.
Je pa to mišljeno, da se vgradi v eno škatlo. Na router se poveže računalnik, ki se nahaja znotraj nekega omrežja. Na potrebo bi pa preko VPN dostopal do računalnika. So pa ti računalniki v tovarnah, tako da če je router industrijski še toliko bolje.
Brskal sem, vendar sem nažalost našel samo konkretne oz. velike routerje z milijon funcionalnostmi. Lahko kdo prosim predlaga kakšen router, ki bi ustrezal prej omenjeni zahtevam?
Hvala
Rabil bi en čim manjši router, ki nima (oz. ne potrebuje) WIFIja. Hkrati je za samo enega uporabnika z zelo malo prometa (cca 1GB/mesec). Mora pa podpirati OpenVPN.
Je pa to mišljeno, da se vgradi v eno škatlo. Na router se poveže računalnik, ki se nahaja znotraj nekega omrežja. Na potrebo bi pa preko VPN dostopal do računalnika. So pa ti računalniki v tovarnah, tako da če je router industrijski še toliko bolje.
Brskal sem, vendar sem nažalost našel samo konkretne oz. velike routerje z milijon funcionalnostmi. Lahko kdo prosim predlaga kakšen router, ki bi ustrezal prej omenjeni zahtevam?
Hvala
SeMiNeSanja ::
Iščeš router, ki bi ga rad ponujal v sklopu neke rešitve, ki bi jo imel postavljeno v več tovarnah?
'Milijon funkcionalnosti' v takem primeru ni nujno slabost - koneckoncev ti jih ni treba vseh implementirati. Verjetno pa se tvoj pomislek nanaša na ceno take rešitve z 'miljon funkcionalnosti'?
Kakšna cena pa je še sprejemljiva? Po eni strani lahko imaš probleme, če je rešitev zelo 'cenena' in se izkaže za nezanesljivo. Če imaš veliko takih škatel naokoli, je lahko tudi vprašanje, če nebi bilo dobro imeti tudi možnost centralnega upravljanja.
Morda tudi OpenVPN ni tisto, kar iščeš - mogoče bi ti celo bolj ustrezal IPSec Site-2-Site VPN, tako da iz centralne točke lahko stalno zbiraš podatke s teh oddaljenih računalnikov 'v škatli'.
In kaj je zate pravzaprav 'veliko'? Iščeš tako malo stvarco, da bi jo lahko poleg ostale krame potlačil v računalniško ohišje? v takem primeru potem že lahko tudi začneš tuhtati o kakšnem virtualnem 'routerju'...
'Milijon funkcionalnosti' v takem primeru ni nujno slabost - koneckoncev ti jih ni treba vseh implementirati. Verjetno pa se tvoj pomislek nanaša na ceno take rešitve z 'miljon funkcionalnosti'?
Kakšna cena pa je še sprejemljiva? Po eni strani lahko imaš probleme, če je rešitev zelo 'cenena' in se izkaže za nezanesljivo. Če imaš veliko takih škatel naokoli, je lahko tudi vprašanje, če nebi bilo dobro imeti tudi možnost centralnega upravljanja.
Morda tudi OpenVPN ni tisto, kar iščeš - mogoče bi ti celo bolj ustrezal IPSec Site-2-Site VPN, tako da iz centralne točke lahko stalno zbiraš podatke s teh oddaljenih računalnikov 'v škatli'.
In kaj je zate pravzaprav 'veliko'? Iščeš tako malo stvarco, da bi jo lahko poleg ostale krame potlačil v računalniško ohišje? v takem primeru potem že lahko tudi začneš tuhtati o kakšnem virtualnem 'routerju'...
FrEaKmAn ::
1. Cenovno govorimo do 100€.
2. Ne, OpenVPN mora biti.
3. Majhnost je zame 10x15x3cm.. torej majhna škatlica, ki jo lahko namontiraš na steno...
2. Ne, OpenVPN mora biti.
3. Majhnost je zame 10x15x3cm.. torej majhna škatlica, ki jo lahko namontiraš na steno...
SeMiNeSanja ::
Če bi bil Mikrotik bolj easy za upravljat..... Tako pa je skrajno zoprn za postaviti filtre, definirat VPN,....
Žal pa za 100€ kaj drugega 'kolikor toliko pametnega' kot Mikrotik-a najbrž res ne bo dobil (če mora biti ločen HW).
Če pa se lahko igra z virtualizacijo, pa lahko na tistem PC-ju v virtualki poganja katerega od brezplačnih virtualnih firewall-ov. Mislim, da jih je ene par zunaj, ki omogočajo tudi SSL VPN kompatibilen z OpenVPN klienti.
Žal pa za 100€ kaj drugega 'kolikor toliko pametnega' kot Mikrotik-a najbrž res ne bo dobil (če mora biti ločen HW).
Če pa se lahko igra z virtualizacijo, pa lahko na tistem PC-ju v virtualki poganja katerega od brezplačnih virtualnih firewall-ov. Mislim, da jih je ene par zunaj, ki omogočajo tudi SSL VPN kompatibilen z OpenVPN klienti.
Miha 333 ::
Poglej tudi TP-Link TL-WR710N, gor lahko naložiš OpenWRT, ki podpira OpenVPN. Če je za vgradnjo, lahko kar vezje vzameš iz ohišja in ga vgradiš direktno v tvojo napravo.
SeMiNeSanja ::
Poglej tudi TP-Link TL-WR710N, gor lahko naložiš OpenWRT, ki podpira OpenVPN. Če je za vgradnjo, lahko kar vezje vzameš iz ohišja in ga vgradiš direktno v tvojo napravo.
Ti bi se zanašal na takšno 'pokrpano' zadevo, pri kateri nimaš ne podpore proizvajalca ne neke garancije, ko update firmware-a pride, če pride - za neko resno rešitev, ki jo ponujaš na trgu? Jaz nebi.
Obstaja pregovor 'nisem tako bogat, da bi kupoval poceni', ki v takem primeru še kako drži. Nezanesljiv router ti lahko zafura kompletno zadevo. Se boš rabil povezati, pa boš najprej nekoga poslal, da reštarta zadevo?
Če se greš nek profesionalizem, potem ne moreš tako grdo improvizirati z nekimi zasilnimi rešitvami brez podpore proizvajalca. Ko bo šlo kaj narobe, boš na koncu lahko šel kupiti nov router, če ti bo stranka sploh dala to možnost in ne bo vrgla vse skupaj ven in odšla do prvega konkurenta, ki je morda prvotno ponujal 2x višjo ceno - ampak se ni hecal z raznimi improvizacijami.
jukoz ::
SeMiNeSanja> "Če pa se lahko igra z virtualizacijo, pa lahko na tistem PC-ju v virtualki poganja katerega od brezplačnih virtualnih firewall-ov. Mislim, da jih je ene par zunaj, ki omogočajo tudi SSL VPN kompatibilen z OpenVPN klienti."
Haha, kle si ga pa konkretno biksnil. Zdej pa preberi še naslednjo svojo izjavo:
SeMiNeSanja> "Ti bi se zanašal na takšno 'pokrpano' zadevo, pri kateri nimaš ne podpore proizvajalca ne neke garancije, ko update firmware-a pride, če pride - za neko resno rešitev, ki jo ponujaš na trgu? Jaz nebi.
Obstaja pregovor 'nisem tako bogat, da bi kupoval poceni', ki v takem primeru še kako drži. Nezanesljiv router ti lahko zafura kompletno zadevo. Se boš rabil povezati, pa boš najprej nekoga poslal, da reštarta zadevo?
Če se greš nek profesionalizem, potem ne moreš tako grdo improvizirati z nekimi zasilnimi rešitvami brez podpore proizvajalca. Ko bo šlo kaj narobe, boš na koncu lahko šel kupiti nov router, če ti bo stranka sploh dala to možnost in ne bo vrgla vse skupaj ven in odšla do prvega konkurenta, ki je morda prvotno ponujal 2x višjo ceno - ampak se ni hecal z raznimi improvizacijami."
Ti mu torej predlagaš, da na PC naloži nek vbox/vmware/kvm/xen/karkoližepač... na katerem bo gnal virtualno fw distribucijo? A si prepričan da to komurkoli priporočaš?
Ti dam en zanimiv link:
http://marc.info/?l=openbsd-misc&m=1193...
Haha, kle si ga pa konkretno biksnil. Zdej pa preberi še naslednjo svojo izjavo:
SeMiNeSanja> "Ti bi se zanašal na takšno 'pokrpano' zadevo, pri kateri nimaš ne podpore proizvajalca ne neke garancije, ko update firmware-a pride, če pride - za neko resno rešitev, ki jo ponujaš na trgu? Jaz nebi.
Obstaja pregovor 'nisem tako bogat, da bi kupoval poceni', ki v takem primeru še kako drži. Nezanesljiv router ti lahko zafura kompletno zadevo. Se boš rabil povezati, pa boš najprej nekoga poslal, da reštarta zadevo?
Če se greš nek profesionalizem, potem ne moreš tako grdo improvizirati z nekimi zasilnimi rešitvami brez podpore proizvajalca. Ko bo šlo kaj narobe, boš na koncu lahko šel kupiti nov router, če ti bo stranka sploh dala to možnost in ne bo vrgla vse skupaj ven in odšla do prvega konkurenta, ki je morda prvotno ponujal 2x višjo ceno - ampak se ni hecal z raznimi improvizacijami."
Ti mu torej predlagaš, da na PC naloži nek vbox/vmware/kvm/xen/karkoližepač... na katerem bo gnal virtualno fw distribucijo? A si prepričan da to komurkoli priporočaš?
Ti dam en zanimiv link:
http://marc.info/?l=openbsd-misc&m=1193...
ezikielrage ::
SeMiNeSanja je izjavil:
Obstaja pregovor 'nisem tako bogat, da bi kupoval poceni', ki v takem primeru še kako drži. Nezanesljiv router ti lahko zafura kompletno zadevo. Se boš rabil povezati, pa boš najprej nekoga poslal, da reštarta zadevo?
Zakaj neznalci pametnujete o stvareh o katerih nimate popolnoma nobenega pojma?
https://downloads.openwrt.org/snapshots...
openwrt-ar71xx-generic-tl-wr710n-v1-squashfs-fa..> 18-Mar-2015 16:11
Če nisi mentalno prikrajšan se boš pozanimal kater poceni ruter lepo sodeluje z OpenWTR/DDWRT... ga kupil, poflešal, naštelal in pozabil nanj! Če delaš v IT moraš biti toliko sposoben in razgledan da premoreš tak podvig.
Mi resno dvigne pritisk ko se pljuva po poceni rešitvah, ker so kao slaba. Meni pa že pol leta laufa OpenWRT s Transmission, Samba, ADBlock... . Je pa res, da sem nesel ruter v Cerkev požegnat, morda zato dela tako lepo. Drugače ne vem kako bi si ti razlagal poceni ruter ki dela.
FrEaKmAn ::
1. TP-Link TL-WR710N zgleda zanimiv, vendar se ne bi ravno ubadal z dodatnimi nameščanji programov (garancija, podpora, ..).
2. Drugače se mi od Mikrotika zdijo zanimivo, bom probal dobiti enega v test.
3. SeMiNeSanja, hvala ampak cenovno preveč.
Kot referenco, mi npr uporabljamo http://geneko.rs/en/products/m2m-produc... v primeru, če rabimo zraven še GPRS. Stvar deluje zelo dobro, stane nas okoli 200€.
2. Drugače se mi od Mikrotika zdijo zanimivo, bom probal dobiti enega v test.
3. SeMiNeSanja, hvala ampak cenovno preveč.
Kot referenco, mi npr uporabljamo http://geneko.rs/en/products/m2m-produc... v primeru, če rabimo zraven še GPRS. Stvar deluje zelo dobro, stane nas okoli 200€.
pegasus ::
SeMiNeSanja je izjavil:
Če bi bil Mikrotik bolj easy za upravljat..... Tako pa je skrajno zoprn za postaviti filtre, definirat VPN,...Skrajno zoprne so vse clicky web zadeve. Mikrotik je približno toliko zoprn kot vse naziva "router" vredne naprave (cisco, juniper, ...), torej enostaven za pogovarjat se z njim in enostaven za avtomatizirat. Seveda pomaga, če veš, kaj se z njim pogovarjat ;)
jukoz ::
misek> Verjetno se je v sedmih letih stanje izboljšalo?
Misliš? Imaš hosta, ki ima n število neznanih bugov. In nanj naložiš program ki lahko posega po HW in ima m število neznanih bugov. In v ta program naložiš guesta, ki ima o število neznanih bugov.
Da ne bo pomote, zagovarjam virtualizacijo tam, kjer je smiselna. Na FWjih prav gotovo ni.
Misliš? Imaš hosta, ki ima n število neznanih bugov. In nanj naložiš program ki lahko posega po HW in ima m število neznanih bugov. In v ta program naložiš guesta, ki ima o število neznanih bugov.
Da ne bo pomote, zagovarjam virtualizacijo tam, kjer je smiselna. Na FWjih prav gotovo ni.
gorjanc ::
Sam za info Mikrotik podpora za OpenVPN je bolj boga. Nima podprtega UDPja in LZO stiskanja, obvezno probaj če je kompatibilen z ostalo tvojo infrastrukturo.
Mikrotik se je iz neznanega razloga odločil da postavi razvoj OpenVPna v routerOS na stranski tir, kar lahko vidiš tudi na njihovih forumih.
Mikrotik se je iz neznanega razloga odločil da postavi razvoj OpenVPna v routerOS na stranski tir, kar lahko vidiš tudi na njihovih forumih.
Jakka ::
Router za enega uporabnika, 1GB mesečnega prometa in podporo OpenVPN... 100€.
Kaj ne bi bil WRT54GL s Tomato firmware-om, ki odpira OpenVPN dobra odločitev? Zakaj?
Stane 45€ in stvar obstaja že desetletje - z razlogom - deluje. V zgoraj omenjenem okolju se najbolje obnesejo zanesljive rešitve, ki preverjeno delajo. Si upam trdit, da bo mnogo bolj zanesljiv kot ti današnji usmerjevalniki, ki se rojevajo kot po tekočem traku. Pa zagotovo bo še kar nekaj časa v prodaji - kar za večino trenutnih usmerjevalnikov ne bi rekel (ohranjaš homogenost sistema). Potrebam po zmogljivosti pa tudi zadovolji.
In s custom FW-jem zadeva deluje zelo stabilno. Tomato firmware zadnja leta praktično nima bugov. Bo pa deloval v okolju, kjer deluje PC. Če industrijsko okolje ni za PC, tudi za router ni.
In ker je v igri več lokacij. Rabiš dober koncept namestitve in vzdrževanja: primeren hardware (tudi dobavljiv še eno obdobje), enostavna vzpostavitev, vzdrževanje in enostavna zamenjava v primeru odpovedi.
Ker verjetno rabiš delovanje sistema z čimmanj izpada, tudi rabiš kakšen router na zalogi - že skonfiguriran in pripravljen na zamenjavo. Cenejša varjanta, lažje to imaš in lažje stroškovno upravičiš.
Je pa karkoli konkretnejšega tako ali tako težko predlagati. Zgornja rešitev se mi zdi dobra predvsem z vidika administriranja, cena je bolj na drugem mestu, a tudi odraža dejanske potrebe (razmerje zahteve/cena).
Tajnici tudi ne kupiš gejmerskega računalnika, ker ima eno zahtevano funkcionalnost že privzeto?
Kaj ne bi bil WRT54GL s Tomato firmware-om, ki odpira OpenVPN dobra odločitev? Zakaj?
Stane 45€ in stvar obstaja že desetletje - z razlogom - deluje. V zgoraj omenjenem okolju se najbolje obnesejo zanesljive rešitve, ki preverjeno delajo. Si upam trdit, da bo mnogo bolj zanesljiv kot ti današnji usmerjevalniki, ki se rojevajo kot po tekočem traku. Pa zagotovo bo še kar nekaj časa v prodaji - kar za večino trenutnih usmerjevalnikov ne bi rekel (ohranjaš homogenost sistema). Potrebam po zmogljivosti pa tudi zadovolji.
In s custom FW-jem zadeva deluje zelo stabilno. Tomato firmware zadnja leta praktično nima bugov. Bo pa deloval v okolju, kjer deluje PC. Če industrijsko okolje ni za PC, tudi za router ni.
In ker je v igri več lokacij. Rabiš dober koncept namestitve in vzdrževanja: primeren hardware (tudi dobavljiv še eno obdobje), enostavna vzpostavitev, vzdrževanje in enostavna zamenjava v primeru odpovedi.
Ker verjetno rabiš delovanje sistema z čimmanj izpada, tudi rabiš kakšen router na zalogi - že skonfiguriran in pripravljen na zamenjavo. Cenejša varjanta, lažje to imaš in lažje stroškovno upravičiš.
Je pa karkoli konkretnejšega tako ali tako težko predlagati. Zgornja rešitev se mi zdi dobra predvsem z vidika administriranja, cena je bolj na drugem mestu, a tudi odraža dejanske potrebe (razmerje zahteve/cena).
Tajnici tudi ne kupiš gejmerskega računalnika, ker ima eno zahtevano funkcionalnost že privzeto?
SeMiNeSanja ::
Jezus, se oglašujete 'home networking majstri' in drugim kvasite, da nimajo pojma.
Kakršenkoli response je brezvezen.
Najbolj me pa pogrejejo tisti pametnjakoviči, ki v življenju niso izprobali več kot ene rešitve in potem propagirajo, da je vse ostalo shit.
Optimalne rešitve jaz tu ne vidim - karkoli bo, bo kompromis, ki ga diktira cenovna zahteva.
Kakršenkoli response je brezvezen.
Najbolj me pa pogrejejo tisti pametnjakoviči, ki v življenju niso izprobali več kot ene rešitve in potem propagirajo, da je vse ostalo shit.
Optimalne rešitve jaz tu ne vidim - karkoli bo, bo kompromis, ki ga diktira cenovna zahteva.
pegasus ::
Ja, takih je največ, zato lahko preglasijo vse inteligentne odgovore ... demokracija pač. Welcome to idiocracy.
Ribič ::
Jaz imam sicer tole zadevo doma. Gor namestiš pfSense požarni zid, pa imaš super router s podporo za OpenVPN.
http://www.pcengines.ch/alix2d13.htm
lp
http://www.pcengines.ch/alix2d13.htm
lp
Jakka ::
SeMiNeSanja, res ni optimalne rešitve, ker tak out-of-the-box router ne obstaja. In nismo vsi samo 'home networking majstri', eni znamo tudi logiko uporabit, prisluhnit željam in najti eno pametno KONKRETNO rešitev, upoštevajoč celoten koncept namestitve in vzdrževanja takšnega sistema.
Bi pa zelo rad slišal tvojo konkretno rešitev za do 100€ na lokacijo. Ter seveda kaj je tako slabega pri moji.
Je pa vedno možna rešitev stvar zahtev in njena smiselnost glede na okoliščine in zmožnosti.
Da pa drugim kvasim, da nimajo pojma pa verjetno ni letelo name?
Bi pa zelo rad slišal tvojo konkretno rešitev za do 100€ na lokacijo. Ter seveda kaj je tako slabega pri moji.
Je pa vedno možna rešitev stvar zahtev in njena smiselnost glede na okoliščine in zmožnosti.
Da pa drugim kvasim, da nimajo pojma pa verjetno ni letelo name?
SeMiNeSanja ::
@Jakka - prvo, kar sem OP-u v zasebnem sporočilu napisal, je bilo to, da je premalo povedal o svoji rešitvi (celoti, ki jo ponuja 'tovarnam'). Navedel sem, da je velika razlika, če ponuja neko rešitev, ki stane nekaj 10kEUR, ali npr. 2kEUR.
Tudi sem navedel, da se ne ve, ali se gre za kakšno kritično zadevo, ali za 'kar nekaj', kar lahko tudi kakšen dan ne dela, pa ne bo panike.
Če lahko izpad ali nezmožnost dostopa, da bi izvedel nek vzdrževalni poseg povzroči 'tovarni' škodo v višini nekaj 10kEUR, je nedopustno nekaj 'improvizirati', da bi prišparal par 100EUR, saj se ti taka škrtost lahko vrne kot bumerang v obliki izgube zaupanja, slabe reklame, po možnosti pa še odškodninskih tožb.
Povsem druga zgodba pa je, če se gre za nek 'kiosk' oz. 'infoterminal' na katerem si delavci ogledujejo kakšno bo vreme naslednji dan. Če taka 'nepomembna' stvar kakšen dan ne dela, se bo pač pogledalo skozi okno, koliko je oblakov na nebu. Tu si lahko privoščiš improviziranje in razne home grade rešitve brez centralnega management-a, logiranja,.......
Kot vse kaže, se gre v OP-ovem primeru za nekaj, kar ni 'kritične narave', pri čemer ni tako pomembno, ali ima zadaj podporo nekega proizvajalca, popravke varnostnih lukenj,....
'Stvari', ki so sposobne agirati kot 'router' imaš kot trave in listja. Od kitajca dobiš 'router' za tak drobiž, da ti ni jasno, kako ga uspejo za to ceno narisat, ne pa še zgradit in dostaviti do tebe. Zanimivo, da za domačo rabo potem ne kupiš routerja za 10EUR, ampak si izbiraš takega, ki se cenovno nahaja nekje med 40 in 100EUR. Torej ti je očitno jasno, da ni kar 'vse' dovolj dobro za doma? Zakaj potem za poslovno rabo ne uporabiš istega kriterija? Po kateri logiki mora za poslovno rabo biti 'dovolj dobro' tisto, kar uporabljaš doma? Se ti ne zdi, da bi tu morali biti kriteriji še za par korakov višji?
Tudi sem navedel, da se ne ve, ali se gre za kakšno kritično zadevo, ali za 'kar nekaj', kar lahko tudi kakšen dan ne dela, pa ne bo panike.
Če lahko izpad ali nezmožnost dostopa, da bi izvedel nek vzdrževalni poseg povzroči 'tovarni' škodo v višini nekaj 10kEUR, je nedopustno nekaj 'improvizirati', da bi prišparal par 100EUR, saj se ti taka škrtost lahko vrne kot bumerang v obliki izgube zaupanja, slabe reklame, po možnosti pa še odškodninskih tožb.
Povsem druga zgodba pa je, če se gre za nek 'kiosk' oz. 'infoterminal' na katerem si delavci ogledujejo kakšno bo vreme naslednji dan. Če taka 'nepomembna' stvar kakšen dan ne dela, se bo pač pogledalo skozi okno, koliko je oblakov na nebu. Tu si lahko privoščiš improviziranje in razne home grade rešitve brez centralnega management-a, logiranja,.......
Kot vse kaže, se gre v OP-ovem primeru za nekaj, kar ni 'kritične narave', pri čemer ni tako pomembno, ali ima zadaj podporo nekega proizvajalca, popravke varnostnih lukenj,....
'Stvari', ki so sposobne agirati kot 'router' imaš kot trave in listja. Od kitajca dobiš 'router' za tak drobiž, da ti ni jasno, kako ga uspejo za to ceno narisat, ne pa še zgradit in dostaviti do tebe. Zanimivo, da za domačo rabo potem ne kupiš routerja za 10EUR, ampak si izbiraš takega, ki se cenovno nahaja nekje med 40 in 100EUR. Torej ti je očitno jasno, da ni kar 'vse' dovolj dobro za doma? Zakaj potem za poslovno rabo ne uporabiš istega kriterija? Po kateri logiki mora za poslovno rabo biti 'dovolj dobro' tisto, kar uporabljaš doma? Se ti ne zdi, da bi tu morali biti kriteriji še za par korakov višji?
Zgodovina sprememb…
- spremenilo: SeMiNeSanja ()
Jakka ::
Se popolnoma strinjam s tabo v vseh pogledih. Glede na napisano sem pa že takoj domneval, da tukaj ne gre za neko hudo kritično stvar. Če bi bila stvar ključna za poslovanje, avtor sploh ne bi tukaj spraševal o rešitvah in imel takšnih zahtev.
Ravno zato se mi je zdelo tudi 100€ preveč za takšno rešitev glede na potrebe - škoda da se nabavlja nekaj predimenzioniranega samo zaradi ene funkcije.
Routerjev je res kot listja, vprašanje je predvsem v zanesljivosti in zmogljivosti. In ravno po teh kriterijih sem predlagal WRT54GL - zanesljiv je (verjetno mi ni treba obrazloževat zakaj), zmogljiv pa tudi dovolj? Pa tudi dostopen, bi rekel da jih bodo še kar nekaj let prodajali (če jih že ~13 let, vsaj 10 let pa v enaki obliki).
Za domačo rabo je pa enako, treba je gledat zahteve, potrebe, zmogljivost opreme in zanesljivost. Da zadeva deluje kot uporabniki želijo in da ni težav. Kot v poslovnem svetu. Cena gor ali dol, najprej so vedno zahteve in dejanske potrebe.
Ravno zato nisem predlagal nekega TPlink-a za 20€, ampak preverjeno zanesljivo zadevo, ki se mi ob takšnih željah (ključna stvar) zdi ustrezna tudi za poslovno okolje, kjer so zahteve glede zanesljivosti normalno da višje kot doma.
Saj eni vemo, kako se stvarem streže, zato tudi tak predlog. V primeru ključnosti tega sistema za delovanje "tovarne" bi bilo pa tako ali tako potrebno obvezno implementirati rešitev s popolnoma drugačnim konceptom.
Ravno zato se mi je zdelo tudi 100€ preveč za takšno rešitev glede na potrebe - škoda da se nabavlja nekaj predimenzioniranega samo zaradi ene funkcije.
Routerjev je res kot listja, vprašanje je predvsem v zanesljivosti in zmogljivosti. In ravno po teh kriterijih sem predlagal WRT54GL - zanesljiv je (verjetno mi ni treba obrazloževat zakaj), zmogljiv pa tudi dovolj? Pa tudi dostopen, bi rekel da jih bodo še kar nekaj let prodajali (če jih že ~13 let, vsaj 10 let pa v enaki obliki).
Za domačo rabo je pa enako, treba je gledat zahteve, potrebe, zmogljivost opreme in zanesljivost. Da zadeva deluje kot uporabniki želijo in da ni težav. Kot v poslovnem svetu. Cena gor ali dol, najprej so vedno zahteve in dejanske potrebe.
Ravno zato nisem predlagal nekega TPlink-a za 20€, ampak preverjeno zanesljivo zadevo, ki se mi ob takšnih željah (ključna stvar) zdi ustrezna tudi za poslovno okolje, kjer so zahteve glede zanesljivosti normalno da višje kot doma.
Saj eni vemo, kako se stvarem streže, zato tudi tak predlog. V primeru ključnosti tega sistema za delovanje "tovarne" bi bilo pa tako ali tako potrebno obvezno implementirati rešitev s popolnoma drugačnim konceptom.
Daniel ::
Mikrotik Map2n. Sicer ima tudi Wifi, a ima tudi poln RouterOS sistem. Malce naštudiraj sistem in zagotovo ti ne bo žal.
SeMiNeSanja ::
Dejansko je škoda, da OP tako skopari z informacijami za kakšno aplikacijo se gre in koliko takšnih 'škatel' misli razpostaviti oz. prodati. Bi bilo bistveno lažje oceniti ali ga sračka s škrtarjenjem, ali pa dejansko ne rabi niti routerja in bi bilo dovolj že, če bi na PC-ju vključil SSH in pozaprl ostale porte za dostop od zunaj.
Tudi količina teh sistemov je lahko dokaj pomemben podatek. Par Mikrotikov se že da na roke administrirat, če pa gre zadeva tja proti stotim, pa res nebi bil rad v koži tistega, ki bi moral to kolobocijo držati v šahu. Poznam Mikrotik uporabnike, ki so si pulili lase, ko so morali na enemu porihtat malo bolj zahteven komplet firewall pravil in par VPN povezav. Da pa imaš kakšno stotnijo teh sicer prav luštkanih napravic, pa je treba samo, da se spremeni IP naslov centralnega VPN vozlišča, da koga zgrabi panika.
Poleg tega tudi dvomim, da ima kdo od vas postavljen Mikrotik, ki bi imel kakšnih 100 firewall rulov, pa da se v tisti kolobociji kriptičnih pravil še kaj znajde. Tam do 10 pravil stvar še gre, kar je več, pa postane mukotrpno.
S tem se tudi v precejšnji meri zoža uporabnost na golo ROUTER funkcionalnost in 'minimalistično' firewall zaščito za dokaj namenske sisteme z zelo omejeno funkcionalnostjo, npr. IP telefonijo (govorimo o poslovni rabi, ne domači).
Če ima podjetje v svoji požarni pregradi vsega 10 pravil, je to lep pokazatelj, da nekdo bodisi ne obvlada svojega posla, ali pa je grdo zanemaril svoje dolžnosti in omrežje izpostavil nepotrebnim tveganjem.
Tudi količina teh sistemov je lahko dokaj pomemben podatek. Par Mikrotikov se že da na roke administrirat, če pa gre zadeva tja proti stotim, pa res nebi bil rad v koži tistega, ki bi moral to kolobocijo držati v šahu. Poznam Mikrotik uporabnike, ki so si pulili lase, ko so morali na enemu porihtat malo bolj zahteven komplet firewall pravil in par VPN povezav. Da pa imaš kakšno stotnijo teh sicer prav luštkanih napravic, pa je treba samo, da se spremeni IP naslov centralnega VPN vozlišča, da koga zgrabi panika.
Poleg tega tudi dvomim, da ima kdo od vas postavljen Mikrotik, ki bi imel kakšnih 100 firewall rulov, pa da se v tisti kolobociji kriptičnih pravil še kaj znajde. Tam do 10 pravil stvar še gre, kar je več, pa postane mukotrpno.
S tem se tudi v precejšnji meri zoža uporabnost na golo ROUTER funkcionalnost in 'minimalistično' firewall zaščito za dokaj namenske sisteme z zelo omejeno funkcionalnostjo, npr. IP telefonijo (govorimo o poslovni rabi, ne domači).
Če ima podjetje v svoji požarni pregradi vsega 10 pravil, je to lep pokazatelj, da nekdo bodisi ne obvlada svojega posla, ali pa je grdo zanemaril svoje dolžnosti in omrežje izpostavil nepotrebnim tveganjem.
AndrejO ::
Mimo tvojega nakladanja o RouterOS, ima ta težave s svojo OpenVPN implementacijo in to je tisto, kar ga najbolj drži nazaj.
Ostalo je tvoja fikcija. Od tistega o fiktivnih težavah pri upravljanju 100+ RotuerOS škatlic, pa do tistega o zanemarjanju dolžnosti. Hej, še sam imam na celem kupu požarnih zidov po dvoje ali troje pravil. Verjetno res ne obvladam svojega posla, mar ne?
Mimogrede, spremeniti neko nastavitev na X napravah v najbolj butalski izvedbi zahteva 5min za expect skripto in toliko časa, kolikor hitro lahko omrežje "pogoltne" X povezav. Če si amaterji pulijo lasišča zaradi svoje nesposobnosti upravljanja omrežij z več napravami, kot imajo prstov, je to samo in zgolj dokaz njihovega amaterizma, ne pa kritika RotuerOS-a.
Kot alternative za el-cheapo Mikrotik RB750 (rang 40 EUR) pa se lahko pogleda še Ubiquiti ERLite-3 (rang 100 EUR). Za odprtokodno varianto (če bi kdo hotel VM) pa je na voljo še VyOS (naslednik Vyatta Core).
Ostalo je tvoja fikcija. Od tistega o fiktivnih težavah pri upravljanju 100+ RotuerOS škatlic, pa do tistega o zanemarjanju dolžnosti. Hej, še sam imam na celem kupu požarnih zidov po dvoje ali troje pravil. Verjetno res ne obvladam svojega posla, mar ne?
Mimogrede, spremeniti neko nastavitev na X napravah v najbolj butalski izvedbi zahteva 5min za expect skripto in toliko časa, kolikor hitro lahko omrežje "pogoltne" X povezav. Če si amaterji pulijo lasišča zaradi svoje nesposobnosti upravljanja omrežij z več napravami, kot imajo prstov, je to samo in zgolj dokaz njihovega amaterizma, ne pa kritika RotuerOS-a.
Kot alternative za el-cheapo Mikrotik RB750 (rang 40 EUR) pa se lahko pogleda še Ubiquiti ERLite-3 (rang 100 EUR). Za odprtokodno varianto (če bi kdo hotel VM) pa je na voljo še VyOS (naslednik Vyatta Core).
SeMiNeSanja ::
Huh, čisti mazohizem tole pisarjenje skript za vsako spremembo posebej.
Saj ne rečem, da se. Verjetno si zadevo tudi optimiziraš, če to delaš vsak dan.
Lahko si tudi shranjuješ že uporabljene skripte in potem malo popraviš za naslednjo uporabo. Ampak to je še vedno mazohizem!
Potem se pa malo zatipkaš v tisti famozni skripti in imaš celega hudiča...
Kaj pa ljudje kot OP, ki mu je router nek 'nebodigatreba' in ima fokus popolnoma na nečem drugem? Za takega je to popolni overkill.
To z dvema firewall praviloma na vstopu v omrežje pa lahko samo rečem WTF!
Ali absolutno pretiravaš, ali si imel router pred nečem, kar s svetom komunicira samo po enem samem portu (ne vem, kaj bi to lahko bilo), ali pa res ne veš, kaj delaš.
Jaz sem striktni zagovornik egress filtriranja - in mi ne boš nakvasil, da z dvema praviloma 'varuješ' omrežje. Lahko pa z dvema napačnima praviloma poteptaš vse, čemur se reče 'varnost'.
Saj ne rečem, da se. Verjetno si zadevo tudi optimiziraš, če to delaš vsak dan.
Lahko si tudi shranjuješ že uporabljene skripte in potem malo popraviš za naslednjo uporabo. Ampak to je še vedno mazohizem!
Potem se pa malo zatipkaš v tisti famozni skripti in imaš celega hudiča...
Kaj pa ljudje kot OP, ki mu je router nek 'nebodigatreba' in ima fokus popolnoma na nečem drugem? Za takega je to popolni overkill.
To z dvema firewall praviloma na vstopu v omrežje pa lahko samo rečem WTF!
Ali absolutno pretiravaš, ali si imel router pred nečem, kar s svetom komunicira samo po enem samem portu (ne vem, kaj bi to lahko bilo), ali pa res ne veš, kaj delaš.
Jaz sem striktni zagovornik egress filtriranja - in mi ne boš nakvasil, da z dvema praviloma 'varuješ' omrežje. Lahko pa z dvema napačnima praviloma poteptaš vse, čemur se reče 'varnost'.
AndrejO ::
SeMiNeSanja je izjavil:
Huh, čisti mazohizem tole pisarjenje skript za vsako spremembo posebej.
Če imaš pet škatel, potem je čisto vseeno kaj počneš in s čim to počneš. Tudi, če enoprstno klikaš.
Če imaš hipotetičnih 100 škatel, potem pa si prisiljen, da delo avtomatiziraš tako ali drugače. Verjetno te ne bo nihče dolgo prenašal, če boš vsako stvar ročno popravljal, ker je takšno delo preprosto predrago in preveč podložno napakam.
SeMiNeSanja je izjavil:
Lahko si tudi shranjuješ že uporabljene skripte in potem malo popraviš za naslednjo uporabo. Ampak to je še vedno mazohizem!
Nope. To je v bistvu razlika med začetnikom in nekom, ki je že dal skozi omrežja z nekaj sto ali pa nekaj tisoč napravami, ki jih je potrebno držati pod kontrolo.
SeMiNeSanja je izjavil:
Potem se pa malo zatipkaš v tisti famozni skripti in imaš celega hudiča...
Zato se ne solira in ne dela sprememb v petek popoldne.
SeMiNeSanja je izjavil:
Kaj pa ljudje kot OP, ki mu je router nek 'nebodigatreba' in ima fokus popolnoma na nečem drugem? Za takega je to popolni overkill.
Če bo imel dve škatli je popolnoma vseeno kaj bo počel. Če jih bo imel 100, potem ni šans, da bo preživel brez nakupa ali razvoja lastne rešitve za avtomatizacijo. Če zapade v slednji scenarij, potem so naprave, ki imajo CLI ter "enotno" konfiguracijo prav blažen žegen, ker lahko njihovo upravljanje avtomatiziraš na poljubno drage ali poceni načine.
SeMiNeSanja je izjavil:
To z dvema firewall praviloma na vstopu v omrežje pa lahko samo rečem WTF!
Ali absolutno pretiravaš, ali si imel router pred nečem, kar s svetom komunicira samo po enem samem portu (ne vem, kaj bi to lahko bilo), ali pa res ne veš, kaj delaš.
Jaz sem striktni zagovornik egress filtriranja - in mi ne boš nakvasil, da z dvema praviloma 'varuješ' omrežje. Lahko pa z dvema napačnima praviloma poteptaš vse, čemur se reče 'varnost'.
Jaz sem striktni zagovornik, da moraš storiti natančno to, kar je potrebno za zagotovitev varnosti, nič več in nič manj. Imeti požarni zid z manj pravili, kot je prstov na eni roki, ni nič nezaslišanega. Tako, kot tudi ni nič nezaslišanega imeti požarni zid s 30.000 pravili in več.
Dajati pavšalne izjave o temu kako nekaj splošno velja, je pač slaba ideja. RouterOS ima prednosti in slabosti, vendar odprtost za enostavno upravljanje, ki je primerljivo z ostalo "enterprise" omrežno opremo, zagotovo ni pomanjkljivost. Vsaj jaz tega ne vidim kot minus.
ToniT ::
Jaz imam sicer tole zadevo doma. Gor namestiš pfSense požarni zid, pa imaš super router s podporo za OpenVPN.
http://www.pcengines.ch/alix2d13.htm
lp
Uporabljam 11 takih routerjev za VPN povezave. Delajo v nulo že kar nekaj let.
gorjanc ::
Če te ovirajo omejtive OpenVpn na routerOS. Imaš opcijo naložit virtualni router na njega z OpenWrt ki ima polno OpenVpn podporo, zadeva testirano deluje.
Sam upravljam z mrežo 40+ mikrotikov ki se povezujejo na centralni server z routerOS OpenVpnom, in zadeva deluje BP. Moraš paziti pa da je zadeva kompatibilna z ostalo opremo!
Sam upravljam z mrežo 40+ mikrotikov ki se povezujejo na centralni server z routerOS OpenVpnom, in zadeva deluje BP. Moraš paziti pa da je zadeva kompatibilna z ostalo opremo!
Mesar ::
Jaz imam sicer tole zadevo doma. Gor namestiš pfSense požarni zid, pa imaš super router s podporo za OpenVPN.
http://www.pcengines.ch/alix2d13.htm
lp
Uporabljam 11 takih routerjev za VPN povezave. Delajo v nulo že kar nekaj let.
Kolko pa si dal za to? $ / škatlico? Pa 256Mb rama ti je malo malo če hočeš recimo SNORT gor... drugače pa vrh glave
Če prav vidim slike lahko prenosniške pomnilniške module gor zložiš? Mmmm
Your turn to burn!
ToniT ::
Če prav vidim slike lahko prenosniške pomnilniške module gor zložiš? Mmmm
Ne. To je miniPCI slot.
SeMiNeSanja ::
@Andrejo - jaz govorim o hruškah, ti pa o bananah.
Ne vem, kaj imaš v razpon 0-100 naprav (o čemer se najbrž gre v OP-ovem primeru) mešat rešitve, ki si jih postavijo ISP-ji za upravljanje tisočev tistih routerčkov za domačo rabo, ki so na stežaj odprti.
Ker hrušk in banan ne velja mešati, preostanka tvojega komentarja ne bom komentiral.
Ne vem, kaj imaš v razpon 0-100 naprav (o čemer se najbrž gre v OP-ovem primeru) mešat rešitve, ki si jih postavijo ISP-ji za upravljanje tisočev tistih routerčkov za domačo rabo, ki so na stežaj odprti.
Ker hrušk in banan ne velja mešati, preostanka tvojega komentarja ne bom komentiral.
AndrejO ::
SeMiNeSanja je izjavil:
Ne vem, kaj imaš v razpon 0-100 naprav (o čemer se najbrž gre v OP-ovem primeru) mešat rešitve, ki si jih postavijo ISP-ji za upravljanje tisočev tistih routerčkov
Zelo enostavno: več kot 10, imel boš avtomatizacijo. Bolje zate, da takrat v rokah nimaš stvari, ki so zgolj point & click. To je ena izmed resnic IT-ja v splošnem (stvar je lahko usmerjevalnik, stikalo, IoT senzor, strežnik, navidezni strežnik, ...). Danes si pač nihče več ne želi privoščiti nekoga, ki zapravlja čas s klikanjem. Za to imamo računalnike in ljudi s ščepcem pameti, ki jim znajo pojasniti kaj je njihovo delo.
Ko boš za svoj kruhe primoran vzdrževati eno samo omrežje s 100 usmerjevalniki na 100 lokacijah, boš to hitro spoznal. Pa preden pozabiš, številko 100 si ti sam privlekel ven kot nekaj, kjer RouterOS ni uporaben. Ravno nasprotno. Šele takrat postane uporaben. Pred tem lahko klikaš tudi po čemerkoli drugem.
SeMiNeSanja je izjavil:
za domačo rabo, ki so na stežaj odprti.
Lep poskus. Kakšne so pa tvoje reference in kje jih lahko preverim?
SeMiNeSanja je izjavil:
Ker hrušk in banan ne velja mešati, preostanka tvojega komentarja ne bom komentiral.
Bolje, da ne. Nekako se mi dozdeva, da nimaš izkušenj niti z RouterOS niti z upravljanjem več kot nekaj malega naprav v ne preveč razvejanem omrežju.
SeMiNeSanja ::
@AndrejO - zakaj se obnašaš, kot da še nikoli nebi slišal za rešitve, ki poleg 'point and click' podpirajo tudi CLI?
Zakaj se obnašaš, kot da še nikoli nisi slišal za sisteme centralnega upravljanja, kjer ustvariš nek template s spremembani, ki jih potem z enim point&click apliciraš na skupine stotih ali tisočih naprav?
Zakaj se obnašaš, kot da še nikoli nisi slišal za rešitve, ki podpirajo tako CLI, kot tudi učinkovito point&click centralno upravljanje?
Sorry, ko se gre za učinkovitost, CLI ni vedno sveti gral, sploh če nisi ravno nek ISP, ki ima dovolj kadrov, da si lahko vzame čas in napiše svoje lastno upravljalsko okolje.
Zakaj se obnašaš, kot da še nikoli nisi slišal za sisteme centralnega upravljanja, kjer ustvariš nek template s spremembani, ki jih potem z enim point&click apliciraš na skupine stotih ali tisočih naprav?
Zakaj se obnašaš, kot da še nikoli nisi slišal za rešitve, ki podpirajo tako CLI, kot tudi učinkovito point&click centralno upravljanje?
Sorry, ko se gre za učinkovitost, CLI ni vedno sveti gral, sploh če nisi ravno nek ISP, ki ima dovolj kadrov, da si lahko vzame čas in napiše svoje lastno upravljalsko okolje.
AndrejO ::
SeMiNeSanja je izjavil:
@AndrejO - zakaj se obnašaš, kot da še nikoli nebi slišal za rešitve, ki poleg 'point and click' podpirajo tudi CLI?
Zato, ker je OP jasno povedal, da je cenovno omejen. CLI a-la RouterOS mu omogoča, da lahko kadarkoli kasneje doda avtomatizacijo, pač glede na čas, ki ga ima in sredstva, ki jih je za to pripravljen potrošiti.
Če smo že pri temu, RouterOS je natančno takšna rešitev, ki si se jo ti odločil popljuvati z nekimi flancami, ki kažejo predvsem to, da stvari morda malo približno poznaš. Razen morda iz druge ali tretje roke.
To je tudi povzetek vsega, kar sem želel povedati: nabijaš v tri k*** in se delaš pametnega, čeprav nimaš ne znanja, ne izkušenj.
SeMiNeSanja ::
@AndrejO - jaz vem veliko bolje, kot ti, o čem govorim. Žal pa ti letaš tako visoko, da si domišljaš, da si edini, ki karkoli ve, da si 'merodajen' glede na tvoje 'izkušnje'. Pri tem pa še vedno ne kapiraš, da jaz govorim o čisto drugi zadevi kot ti.
Pravzaprav sem vedno žalosten, ko vidim človeka, ki misli, da je že videl vse, kar je na tem svetu vredno pogledat, da tisto kar je kaj vredno pride izključno od peščice proizvajalcev s katerimi je doslej delal.
Še bolj žalostno pa je, da tak človek potem drugim očita, da bluzijo, nabijajo, da so amaterji,........... - ker pravzaprav niti ne razume o čem govorijo.
Pa si ne mislim pokvariti Rd s tvojim duvanjem o tvojih izkušnjah. Največji si, največ veš, nihče ti ne seže do kolen. Vsi smo popolni amaterji, ti pa si kvazi božanstvo, razsvetljen. Klanjam se ti.
Zadovoljen in srečen zdaj? In nehaj nabijat že enkrat!
Pravzaprav sem vedno žalosten, ko vidim človeka, ki misli, da je že videl vse, kar je na tem svetu vredno pogledat, da tisto kar je kaj vredno pride izključno od peščice proizvajalcev s katerimi je doslej delal.
Še bolj žalostno pa je, da tak človek potem drugim očita, da bluzijo, nabijajo, da so amaterji,........... - ker pravzaprav niti ne razume o čem govorijo.
Pa si ne mislim pokvariti Rd s tvojim duvanjem o tvojih izkušnjah. Največji si, največ veš, nihče ti ne seže do kolen. Vsi smo popolni amaterji, ti pa si kvazi božanstvo, razsvetljen. Klanjam se ti.
Zadovoljen in srečen zdaj? In nehaj nabijat že enkrat!
Mesar ::
> Sorry, ko se gre za učinkovitost, CLI ni vedno sveti gral, sploh če nisi ravno nek ISP, ki ima dovolj kadrov, da si lahko vzame čas in napiše svoje lastno upravljalsko okolje.
Command Line Interface je že vmesnik. Nebom se preveč zapletal v te vajine borbe sem pa sam ugotovil nekaj druga, da je na trgu ogromno rešitev, ki ima GUI in CLI ampak je problem, da nekatere stvari v GUI ni/ne delajo tako kot bi si sam želel/... in si na koncu kljub vsemu prisiljen CLI uporabljat.
M$jev SBS in vse kar zraven pride in PowerShell je en tak odličen primer...
Da ne govorimo o tem, da je večina teh GUI tako ali tako izdelana polovičarsko, recimo ni filtrov, če so pa ni custom filtrov... kdo bo pol scrollal po straneh logov... nihče ker jih lahko grepaš... key key key key...
> Zakaj se obnašaš, kot da še nikoli nisi slišal za rešitve, ki podpirajo tako CLI, kot tudi učinkovito point&click centralno upravljanje?
V idealnih okoljih, v realnih pa imaš kup vse žive svinjarije skup namešane in ti na koncu tako ali drugače ~10% naprav dela probleme...
Command Line Interface je že vmesnik. Nebom se preveč zapletal v te vajine borbe sem pa sam ugotovil nekaj druga, da je na trgu ogromno rešitev, ki ima GUI in CLI ampak je problem, da nekatere stvari v GUI ni/ne delajo tako kot bi si sam želel/... in si na koncu kljub vsemu prisiljen CLI uporabljat.
M$jev SBS in vse kar zraven pride in PowerShell je en tak odličen primer...
Da ne govorimo o tem, da je večina teh GUI tako ali tako izdelana polovičarsko, recimo ni filtrov, če so pa ni custom filtrov... kdo bo pol scrollal po straneh logov... nihče ker jih lahko grepaš... key key key key...
> Zakaj se obnašaš, kot da še nikoli nisi slišal za rešitve, ki podpirajo tako CLI, kot tudi učinkovito point&click centralno upravljanje?
V idealnih okoljih, v realnih pa imaš kup vse žive svinjarije skup namešane in ti na koncu tako ali drugače ~10% naprav dela probleme...
Your turn to burn!
SeMiNeSanja ::
@Mesar - če zgodovinsko pogledaš razvoj požarnih pregrad (ne low end routerjev), je večina teh rešitev pričela z CLI vmesnikom. Pri teh rešitvah je CLI primarni način konfiguriranja, s pomočjo katerega lahko opraviš 100% vzdrževalnih posegov. Kar ne moreš urediti preko CLI, v pravilu tudi drugače ne moreš.
Z pojavom home grade routerjev so postali popularni spletni vmesniki za konfiguriranje. Visoka priljubljenost tovrstnega 'point&click' upravljanja pri uporabnikih, ki jim to ni vsakodnevni kruh, je sčasoma spletne vmesnike uvedel tudi pri 'resnejših' požarnih pregradah. Pogosto (še danes!) se preko spletnega vmesnika ne da vsega skonfigurirati, temveč moraš za določene reči še vedno v CLI.
V vmesnem času pa so se pričele pojavljati še druge rešitve, ki so bile v osnovi koncipirane za konfiguriranje preko namenskih Windows aplikacij. Nekatere od teh v začetku niso imele ne CLI-ja, niti spletnega vmesnika. VSE kar se je dalo skonfigurirati, se je dalo skonfigurirati preko Windows aplikacije.
Sčasoma so tudi te rešitve dobile spletne in CLI vmesnike, tako da so si danes rešitve vse bolj podobne, če jih gledamo 'iz aviona'.
Jaz delam že 15 let z rešitvijo, ki je pričela svojo pot izključno z Windows aplikacijo za konfiguriranje in moram vedno znova ugotavljati, da pri nas ljudje preprosto NOČEJO spoznati karkoli, kar ni ali najcenejše ali najdražje, pa sploh ni pomembno, če je po ocenah vseh uveljavljenih analitikov rešitev med vodilnimi v svetu.
Rešitev uporabljajo za outsourcing varnosti pri zahtevnejših strankah veliki svetovni ISP-ji od Deutsche Telekom preko Telefonike, Entel-a pa vse do China Telekom-a. Tu ne govorimo o upravljanju 1000 strank z 2 pravili ampak o 1000+ strankah z 50-500+ pravili na požarni pregradi - pa ne le goli stateful packet filtering, temveč polni obseg UTM storitev vključno z DPI inšprekcijo prometa - tudi https.
CLI super - ampak ima svoje meje. Dokler se ukvarjaš samo z preprostimi pravili, kakršna imaš na Mikrotiku, se da z njim naresti vse kar rabiš, ko pa greš enkrat na nivo NextGen požarnih pregrad, pa CLI preprosto ni več 'tisto' orodje, s katerim narediš 'vse'.
Če primerjaš Mikrotik CLI in nek NextGen firewall, se obseg sveh nastavitev in opcij poveča za faktor 50-100. Vse to obvladati pod CLI je praktično nemogoče.
Kdor je pred 20 leti upravljal kakšne routerje (Cisco&Co), dobro ve, da se je takrat na veliko zporabljalo tudi tftp za 'upload' predpripravljene konfiguracije.
Danes, kot da se je pozabilo na te metode, s pomočjo katerih si lahko pripravil ustrezne konfiguracije že tedne predenj si jih moral implementirati.
Rešitve, s katerimi delam, ta princip 'offline' editiranja konfiguracij še danes uporabljalo kot primarnega. Lepo v miru narediš vse spremembe na konfiguracijski datoteki, ko si zadovoljen, pa vse to 'naložiš' na firewall.
Filtriranje logov, ki ga ti omenjaš, da ga pogrešaš, imam na voljo že vsaj 10+ let! In to v realnem času, po želji tudi z regexp izrazi.
Support stranke, ki ji 'nekaj ne dela' je popolnoma nekaj drugega, kot iskanje po zgodovinskih logih. Preprosto nastaviš ustrezne filtre in naročiš stranki, da naj ponovi problematično zadevo. Ker imaš realtime prikaz prometa, ti s pomočjo filtrov pokaže točno tisto, kar potrebuješ za odpravo problema.
Ampak kot že ves čas govorim, gibljemo se tu v popolnoma drugi kategoriji rešitev in povsem drugih varnostnih konceptih, kot o njih govori AndrejO - pa se mu ne da dopovedat, da primerja hruške in banane.
Z pojavom home grade routerjev so postali popularni spletni vmesniki za konfiguriranje. Visoka priljubljenost tovrstnega 'point&click' upravljanja pri uporabnikih, ki jim to ni vsakodnevni kruh, je sčasoma spletne vmesnike uvedel tudi pri 'resnejših' požarnih pregradah. Pogosto (še danes!) se preko spletnega vmesnika ne da vsega skonfigurirati, temveč moraš za določene reči še vedno v CLI.
V vmesnem času pa so se pričele pojavljati še druge rešitve, ki so bile v osnovi koncipirane za konfiguriranje preko namenskih Windows aplikacij. Nekatere od teh v začetku niso imele ne CLI-ja, niti spletnega vmesnika. VSE kar se je dalo skonfigurirati, se je dalo skonfigurirati preko Windows aplikacije.
Sčasoma so tudi te rešitve dobile spletne in CLI vmesnike, tako da so si danes rešitve vse bolj podobne, če jih gledamo 'iz aviona'.
Jaz delam že 15 let z rešitvijo, ki je pričela svojo pot izključno z Windows aplikacijo za konfiguriranje in moram vedno znova ugotavljati, da pri nas ljudje preprosto NOČEJO spoznati karkoli, kar ni ali najcenejše ali najdražje, pa sploh ni pomembno, če je po ocenah vseh uveljavljenih analitikov rešitev med vodilnimi v svetu.
Rešitev uporabljajo za outsourcing varnosti pri zahtevnejših strankah veliki svetovni ISP-ji od Deutsche Telekom preko Telefonike, Entel-a pa vse do China Telekom-a. Tu ne govorimo o upravljanju 1000 strank z 2 pravili ampak o 1000+ strankah z 50-500+ pravili na požarni pregradi - pa ne le goli stateful packet filtering, temveč polni obseg UTM storitev vključno z DPI inšprekcijo prometa - tudi https.
CLI super - ampak ima svoje meje. Dokler se ukvarjaš samo z preprostimi pravili, kakršna imaš na Mikrotiku, se da z njim naresti vse kar rabiš, ko pa greš enkrat na nivo NextGen požarnih pregrad, pa CLI preprosto ni več 'tisto' orodje, s katerim narediš 'vse'.
Če primerjaš Mikrotik CLI in nek NextGen firewall, se obseg sveh nastavitev in opcij poveča za faktor 50-100. Vse to obvladati pod CLI je praktično nemogoče.
Kdor je pred 20 leti upravljal kakšne routerje (Cisco&Co), dobro ve, da se je takrat na veliko zporabljalo tudi tftp za 'upload' predpripravljene konfiguracije.
Danes, kot da se je pozabilo na te metode, s pomočjo katerih si lahko pripravil ustrezne konfiguracije že tedne predenj si jih moral implementirati.
Rešitve, s katerimi delam, ta princip 'offline' editiranja konfiguracij še danes uporabljalo kot primarnega. Lepo v miru narediš vse spremembe na konfiguracijski datoteki, ko si zadovoljen, pa vse to 'naložiš' na firewall.
Filtriranje logov, ki ga ti omenjaš, da ga pogrešaš, imam na voljo že vsaj 10+ let! In to v realnem času, po želji tudi z regexp izrazi.
Support stranke, ki ji 'nekaj ne dela' je popolnoma nekaj drugega, kot iskanje po zgodovinskih logih. Preprosto nastaviš ustrezne filtre in naročiš stranki, da naj ponovi problematično zadevo. Ker imaš realtime prikaz prometa, ti s pomočjo filtrov pokaže točno tisto, kar potrebuješ za odpravo problema.
Ampak kot že ves čas govorim, gibljemo se tu v popolnoma drugi kategoriji rešitev in povsem drugih varnostnih konceptih, kot o njih govori AndrejO - pa se mu ne da dopovedat, da primerja hruške in banane.
Ribič ::
Kolko pa si dal za to? $ / škatlico? Pa 256Mb rama ti je malo malo če hočeš recimo SNORT gor... drugače pa vrh glaveTo ni mišljeno za snort. Če želiš še snort, potem raje vzami PC Engines APU, ki je nekaka nadgradnja, paše pa v isto ohišje:
http://www.pcengines.ch/apu1d4.htm
lp
AndrejO ::
SeMiNeSanja je izjavil:
@AndrejO - jaz vem veliko bolje, kot ti, o čem govorim. Žal pa ti letaš tako visoko, da si domišljaš, da si edini, ki karkoli ve, da si 'merodajen' glede na tvoje 'izkušnje'. Pri tem pa še vedno ne kapiraš, da jaz govorim o čisto drugi zadevi kot ti.
Jaz govorim o temu, da je škatla za 40 EUR primerna rešitev za OP-a s čemer se ti nisi strinjal, nestrinjanje pa si utemeljil z zelo čudnimi stališči, ne pa s podatki ali lastnimi izkušnjami. Lepo od tebe, da o temu ne želiš govoriti, jaz želim samo poskrbeti, da bo tisti del, kjer si zabluzil, jasno označen kot bluzenje.
SeMiNeSanja je izjavil:
Še bolj žalostno pa je, da tak človek potem drugim očita, da bluzijo, nabijajo, da so amaterji,........... - ker pravzaprav niti ne razume o čem govorijo.
No, pa poglejva tukajšnjo žalost:
Par Mikrotikov se že da na roke administrirat, če pa gre zadeva tja proti stotim, pa res nebi bil rad v koži tistega, ki bi moral to kolobocijo držati v šahu.
Mikrotik ima glede upravljanja vse, kar potrebuješ in upravljanje 100 naprav ne bo predstavljalo nič večjih težav, kot pa upravljanje poljubnih 100 naprav kakšnega drugega proizvajalca.
Poznam Mikrotik uporabnike, ki so si pulili lase, ko so morali na enemu porihtat malo bolj zahteven komplet firewall pravil in par VPN povezav.
Izkušnje iz tretje roke. Iz prve roke lahko povem, da niso konfiguracija pravil na RouterOS nič bolj ali manj zahtevna, kot pa na Cisco PIX, Cisco ASA, starih NetSecreen ali pa novih SRX škatlah. Dejansko me je do sedaj najbolj razočaral CheckPoint, ki ga že od l. 2007 naprej več nisem želel gledati. Ni imel vmesnika s katerim bi lahko učinkovito upravljal več kot nekaj škatel. RouterOS, kot rešitev za 40 EUR, je v tem pogledu popolnoma konkurenčna.
Poleg tega tudi dvomim, da ima kdo od vas postavljen Mikrotik, ki bi imel kakšnih 100 firewall rulov, pa da se v tisti kolobociji kriptičnih pravil še kaj znajde.
Been there, done that že leta nazaj. Pa jih nisem postavil jaz, pa nisem imel težav z njihovim razumevanjem (itak nimam pojma kaj je "kriptično pravilo" - filter je filter) in tudi naslednji, ki jih je prevzel za menoj, kolikor vem, nima z njimi težav iz naslova "kolobocija" ali "kriptično". Torej stvari delajo in znova ne odstopajo od tega, kako to počno drugi proizvajalci.
Če ima podjetje v svoji požarni pregradi vsega 10 pravil, je to lep pokazatelj, da nekdo bodisi ne obvlada svojega posla, ali pa je grdo zanemaril svoje dolžnosti in omrežje izpostavil nepotrebnim tveganjem.
Na firmi imam danes požarne pregrade na robu omrežja, ki imajo 2 ali 3 pravil, kar je natančno toliko, kolikor je potrebno. Nič več in nič manj. Dajati b.v. izjave o temu koliko pravil mora imeti neka naprava, brez jasne navedbe v kakšni vlogi je ta naprava, kaj je njena primarna funkcija in čemu služi, je nabijanje. V praksi najdeš vse in reči, da eno pravilo pomeni neodgovornost, pomeni, da nisi pomislil na vse možnosti.
Če imaš v podjetju npr. škatlo preko katere se CNC nadzor preko VPN povezuje izključno s centralno lokacijo od koder prenaša podatke ali pa se iz centralne lokacije ta računalnik vzdržuje, koliko potrebuješ pravil? Več kot 10? Morda jih ima celo 11. Neodgovorno?
Zakaj sem podal takšen primer? Si opazil, da je OP povedal nekaj o računalnikih v tovarnah?
SeMiNeSanja je izjavil:
Pa si ne mislim pokvariti Rd s tvojim duvanjem o tvojih izkušnjah. Največji si, največ veš, nihče ti ne seže do kolen. Vsi smo popolni amaterji, ti pa si kvazi božanstvo, razsvetljen. Klanjam se ti.
Drugi niso zapisali zavajajočih izjav s katerimi poskušajo diskvalificirati možno rešitv na podlagi neutemeljenega ugibanja namesto vsaj približno preverljivih dejstev.
SeMiNeSanja je izjavil:
Kdor je pred 20 leti upravljal kakšne routerje (Cisco&Co), dobro ve, da se je takrat na veliko zporabljalo tudi tftp za 'upload' predpripravljene konfiguracije.
Danes, kot da se je pozabilo na te metode, s pomočjo katerih si lahko pripravil ustrezne konfiguracije že tedne predenj si jih moral implementirati.
Na srečo se ni pozabilo, temveč se je to samo še "pospešilo". Edina razlika je, da se danes več uporabljata scp in sftp. Varnost in to...
SeMiNeSanja je izjavil:
Rešitve, s katerimi delam, ta princip 'offline' editiranja konfiguracij še danes uporabljalo kot primarnega. Lepo v miru narediš vse spremembe na konfiguracijski datoteki, ko si zadovoljen, pa vse to 'naložiš' na firewall.
Resnici na ljubo jaz temu še vedno rečem CLI, čeprav to res nima nič z neposrednim tipkanjem ukazov v terminalu. Pa da te še malo zbodem: RouterOS omogoča prenos popravka konfiguracije in njeno aktivacijo na napravi.
SeMiNeSanja je izjavil:
Support stranke, ki ji 'nekaj ne dela' je popolnoma nekaj drugega, kot iskanje po zgodovinskih logih. Preprosto nastaviš ustrezne filtre in naročiš stranki, da naj ponovi problematično zadevo. Ker imaš realtime prikaz prometa, ti s pomočjo filtrov pokaže točno tisto, kar potrebuješ za odpravo problema.
RouterOS: ima in deluje čisto fino.
SeMiNeSanja je izjavil:
Ampak kot že ves čas govorim, gibljemo se tu v popolnoma drugi kategoriji rešitev in povsem drugih varnostnih konceptih, kot o njih govori AndrejO - pa se mu ne da dopovedat, da primerja hruške in banane.
Razen tega, da RouterOS, ki si ga ti tako zelo dal v nič, še vedno izpolnjuje večino tega, kar si opisal kot "druga kategorija rešitev". Je pa res, da regexp filtra na logih nima.
Si morda opazil, da se nimam nikakršnih težav strinjati z vsem, kar zapišeš in niso bučke, ker kažejo dejansko znanje in razumevanje, morda tudi izkušnje?
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Domači VPN (strani: 1 2 3 )Oddelek: Omrežja in internet | 24448 (10296) | Daniel |
» | Kateri router za VPN ?Oddelek: Pomoč in nasveti | 7020 (5704) | SeMiNeSanja |
» | Z OpenVPN-jem ven iz MPLS-ja? (strani: 1 2 )Oddelek: Omrežja in internet | 15609 (14553) | SeMiNeSanja |
» | Router, ki zmore 1 gbps routed prometa (strani: 1 2 3 )Oddelek: Omrežja in internet | 22282 (18847) | SeMiNeSanja |
» | Cisco bi kupcem njihovih usmerjevalnikov samovoljno odklapljal internet (strani: 1 2 )Oddelek: Novice / Zasebnost | 19827 (15983) | Daedalus |