Помощь с выбором оборудования?

Question

[Никита Решетняк]

Доброго времени суток!

Хотели бы заменить текущие шлюзы на PfSence оборудованием Mikrotik помогите пожалуйста с подбором оборудования.

Текущая конфигурация
1 провайдер 5 IP адресов. За одним из них находится Exchange за другим Ip телефония.
100 пользователей внутри сети
15 удаленных офисов планируем поднять GRE туннели
Приблизительно около 40 OVPN клиентов

Для себя выбрал в качество головного MikroTik CCR1009-7G-1C-1S+ для регионов MikroTik hEX S.

PS. Просто у меня 3 машины с ПФсенс каждой отдается свой IP каждая обслуживает что то своё. Один для nextcloud один под exchange один для остальной сети. Машины конечно виртуальные но в стойке место занимает вполне физическая. Да и в принципе я более привык к микротику, некоторые вещи по pfsense я не до конца понимаю.

PS. Хотел попробовать циско, но там ценник уж очень высок, боюсь что не пройдет

Comments

[Valentin Barbolin]

Возможно для филиалов стоит выбрать модель с WIFI ?
MikroTik hEX S. - MikroTik hAP ac

Для основного офиса, я бы взял по мощнее
MikroTik CCR1009-7G-1C-1S+ - MikroTik CCR1016

[Дмитрий Шицков]

Приблизительно около 40 OVPN клиентов

Вы ведь в курсе ограничений и позиций Микрота по части ovpn?

[Никита Решетняк]

Дмитрий Шицков, Не совсем, но региональные клиенты будут цепляться к региональным тикам

[Дмитрий Шицков]

Никита Решетняк, функционал ovpn в Микротиках очень ограниченный - нет пуша роутов, нет работы по UDP и проч. Т.е. не поддерживает все те же функции, что и десктопный/серверный openvpn.

[Никита Решетняк]

Дмитрий Шицков, В принципе я как то настраивал его уже, и с офиса в GRE до RDS доходило, в принципе именно это и нужно, в крайнем случае останется один из ПФов как спрут, если что можно будет ОВПН заворачивать в него

Answer 1

[CityCat4]

Hex S не бери. Эта хрень теряет данные на встроенном накопителе - закинул туда что-то или бэкап сделал - захожу через месяц - а там пусто!
Если совсем по дишману - брать 951-й, если с бюджетом не особо напряг - 450G или аналог (модель не новая, но хорошая, шустрая, 5 гигабитных портов)
У нас в качестве "башки" стоит CCR1016-12S-1S+

Comments

[Denis Melnikov]

про hex s , я бы так не сказал. Спокойно тянул порядка 100 хостов (+30-50 wifi устройств , через capsman), 7 тунелей, 30 вланов. Бекапы хранить на самом устройстве, мне кажется глупость еще та. Скриптами делаем и кидаем на почту или еще куда то.
Так что hex, чудо штука за свои деньги.

[Дмитрий]

На новых микротиках с флешкой 16 мб корневой каталог теперь монтируется в виртуальный диск в оперативной памяти. Чтобы сохранить файл перманентно, нужно залить его в каталог /flash
По задаче я бы взял RB1100AHx4 в центр (если трафик до гигабита) и RB750Gr3 в филиалы. Именно HEX S оправдан, только если явно необходимо принимать оптический линк (причем для xPON он все равно не подойдет).
А RB450G уже совсем старый, и после нескольких лет эксплуатации на платах могут вспухать конденсаторы.

[CityCat4]

Дмитрий, Интересно, накуа это придумали. RB1100 конечно неплохая машинка, надо смотреть как по нагрузке будет. Насчет же RB450G - может мне просто повезло - с 2016 года полет нормальный, причем примерно два года работал без корпуса, лежа просто в картонной коробке, а по нему бегало десять тысяч тараканов ;D

[kprohorow]

hEX и hEX S хороши апраратным шифрованием и возможностью развернуть там dude буде это понадобится.

Answer 2

[Евгений]

CCR1009 есть опасность что задеприкейтят, в центр я бы поставил 1100 или 4011, если есть сервер то можно и CHR поставить, а по клиентам hex s или hap ac2.
И конечно максимально быстро отказался бы от OVPN. Данные девайсы имеют встроенную поддержку хардварного шифрования , стомегабитные туннели легко держат. Но наOVPN это конечно не распространяется. Если провайдеры не вставляют палок в колеса можно юзать L2TP, если вставляют то айписек