Межетесвой экран Mikrotik?

Question

[Евгений Денисов]

Принято решение перейти частично на оборудование Mikrotik. В роли головного устройства в сети использовать будем следующим девайс RB1100AHx2 далее по этажам более бюджетные GS-2200-48 от D-Link.
Вопрос что установить на границу сети? Требование:
Доступ в интернет до 75Мбит\с с фильтрацией трафика(по правилам, какие то типы трафика запрещены в принципе).
100 коннектов OpenVPN каждый со скоростью до 4 Мбит\с.
Поддержка DMZ.
Поддержка VLAN навсякий случай.
Ну естественно стандартные фичи в виде NAT,DHCP не буду озвучивать.

Comments

[Ильяс]

GS-2200-48, вероятно, от ZyXel

[Евгений Денисов]

id2669099: Ой да канешн Zyxel

Answer 1

[Сергей]

75 мегабит в инет и 4х100 коннектор впн? А откуда коннекты?

Comments

[Евгений Денисов]

Скорость доступа в интернет пока 75 Мбит\с. А с ростом кол-ва VPN будет расти и скорость доступа в интернет. Да и 4мбит\с это просто со 100% запасом взято в пики.

[Сергей]

download2.mikrotik.com/news/news_73.pdf Вот тут описывается
hEX (revision 3) ...
• IPsec hardware acceleration ~450 Mbps • Same form factor

На опенвпн свет клином сошёлся?)

[Евгений Денисов]

Сергей: Не не сошелся. Можно и IPsec использовать. Просто OpenVPN как-то показался дружелюбнее.

[Сергей]

FortiWiFi-60E можно посмотреть в сторону подобных игрушек. Но ценник у них соотвествующий. У Керио в следующем году обещали боксовое решение ... да ещё и с вай-фай. Всегда есть масса вариантов)

[Сергей]

https://www.fortinet.com/content/dam/fortinet/asse...

[Сергей]

www.kerio.ru/products/kerio-control

[Евгений Денисов]

Сергей: Цена на все конечно очень интересная)

Answer 2

[Дмитрий]

Mikrotik не умеет нормально OpenVpn и врядли будет. Эту роль лучше поднять на линукс в виртуалке. Я бы вам посоветовал на границу поставить PfSense. Там и OVPN есть изкаропки.

Comments

[Евгений Денисов]

Вас понял благодарю! Либо как вариант собственный прокси(для статистики) с межсетевым и поддержкой OpenVPN.

[Клёвый Админ]

я советую, так же обратить внимание на https://openvpn.net/index.php/access-server/downlo... если вопрос лицензий (или поиска решени на руборде) вас не смущает. Прекрасное решение работающее из коробки и легко интегрирующееся с АД.

[Сергей]

Евгений Быченко: аццкие цены). А продует наверное интересный

[Сергей]

Продукт*

[Клёвый Админ]

Сергей: он отличный, цены же либо смущают \ либо лечат. Лекарство есть. Для небольшого количества одновременных подключений (а там конкурентные лицензии) очень годно.

[Евгений Денисов]

Евгений Быченко: Посмотрю что за продукт вечерком отпишусь!

[Евгений Денисов]

Евгений Быченко: Судя по описаниям продукт действительно отличный. Но и дорогой:(

[Клёвый Админ]

Евгений Денисов: всё так

Answer 3

[nimbo]

sstp можно прям на микроте поднять, сертификаты в доверенные компы разливать.
у 1100ahx2 большой запас по мощностям.

Comments

[Евгений Денисов]

sstp не подходит по ряду причин!
1. Клиенты будут как роутеры(небольшие офисы) в лице Asus D-Link и прочие, здесь с OpenVPN как-то споручнее получается.
2. Клиенты так же будут с бродячими ноутбуками, и вот здеьс как раз OpenVPN очень пригодится для передачи маршрутов на клиента(дабы не грузить VPN канал не нужными вещами).

Выходит нужно унифицированный VPN на мой взгляд OpenVPN показался удобнее. Может у Вас другая точка зрения на этот счет есть?

у 1100 модели запас по мощностям так как он будет головой в серверной, после него уже везде бюджетные D-Link L2

[nimbo]

Евгений Денисов: 1. в такой ситуации лучше l2tp. он точно есть везде. однако на винде последнее время хотят l2tp+ipsec и тут есть нюансики.
2. аналогично

[Евгений Денисов]

nimbo: Ок проверю работу L2TP в моей среде.
И все таки допустим L2TP,тогда что поставить на границу чтобы хватило производительности для всех задач описанных выше?

[nimbo]

Евгений Денисов: как вариант ccr1009 - дешевле чем 1100 по крайней мере.

Answer 4

[shaytan]

Если на туннелях будет шифрование, то для ваших запросов, я думаю, что лучше взять модель мощнее. Что-то из CR серии.