Какие не дорогие Cisco роутер с VPN IPSec?

Question

[dobromin]

Здравствуйте! Необходима циска или уж на крайняк аналог, цель это впн клиенты, фаервол. смотрел из серии роутеров dlink microtic tplink много комментариев касающихся конкретно впн типо плохо работает скорость маленькая итд. Также сам знаю и верю живут домашние железки не долго.

Comments

[Дмитрий]

О каких объемах идет речь? Ширина канала, pps, сколько из них нужно шифровать? Какое количество клиентов VPN или речь про site-to-site? Правила Firewall в каком количестве (сотни, тысячи, сотни тысяч)?

Могу лишь добавить, что всегда нужно четко отличать универсальные решения (на примере микротика) и узкоспециализированные (например, ASA). Если канал широкий, то не отделаешься простой моделькой за 4-5тыс., чтобы она еще и шифровала без пробуксовки. Например RB1100AHX2 вполне хорош для шифрования за счет аппаратной поддержки. Наверняка есть и что-то по-новее из линейки CCR, их я вживую не видел.

[dobromin]

нет все гораздо проще, 20 человек, для доступа к 1С по терминалки соответственно vpn с шифрованием. Почему ругаюсь на домашние роутеры от того что они в плане впн никогда не соответствуют заявленным. глючат сгорают итд. в практике dlink asus из самых рекомендованных, сгорали за год или за полтора, есть еще linksys cisco модель точно не озвучу но тоже один из топовых. 2 года, но потом отвалился. сейчас работает. Соответственно рисковать вообще не хочется, сколько можно мурыжить эти роутеры. конечно согласен железка от 20тр будет работать долго и без глюков. но что есть бюджетней под данные требования.

Answer 1

[Кот Абсолютный]

Это микротик-то "домашняя железка"? Рыдаль... IPSec там из коробки, настроить конечно не то чтобы в два клика - но можно подумать циска строится так.

Comments

[Кот Абсолютный]

dobromin: Его не бывает без IPSec :)
[pupkin@MikroTik] /ip ipsec>
IP security supports secure (encrypted) communications over IP networks

.. -- go up to ip
export -- Print or save an export script that can be used to restore configuration
installed-sa -- Currently installed security associations
key --
mode-config --
peer -- IKE peer configuration
policy -- Security policies
proposal -- phase2 IKE proposal settings
remote-peers -- Remote peers
statistics --
user --

[dobromin]

CityCat4: да я уже посмотрел. спасибо. есть ли у вас практика с микротиком, как впн сервер, отваливаются ли впн клиенты хорошая ли скорость. хотелось бы исключить риски.

[dobromin]

это все никс виноват он меня сбил, там в фильтре если выбрать ipsec то микротик отсутствует.

[Кот Абсолютный]

dobromin: на openvpn не пробовал, на чистом IPSec у меня к работе подцеплена домашняя сетка микротик-микротик, работает круглосуточно без проблем. Тестировал линух (strongswan) - проблем не было. Андроид и винду не проверял - тогда в микротике не было IKEv2, сейчас есть, но с тех пор я все время не найду потестить, хотя задача висит

Answer 2

[Сергей]

2911R-SEC/K9
Модель подбирайте под ваши нужды, но важно заказывать с security лицензией, либо она в комплекте, либо приобретается отдельно.

Comments

[Сергей]

Igorjan: разрешение фсб не требуется, заполняется EUS-соглашение в котором ты гарантируешь что не будешь применять в военных целях. Но об этом поставщик расскажет.

[dobromin]

Igorjan: Сергей: как то года три назад покупал 891 cisco так вот в ней в ее os не было ipsec. так я что сделал зарегистрировался на циско ком, указал свою модель, толи по серийнику толи еще как, точно не помню. но точно не по ключу от по, у меня ничего такого не было с ней не выдали. так вот после регистрации, были доступны версии IOSa но не все какие то активны для скачивания какие то нет. и из активных там была с маркировкой K9 а к тому времени также задавал вопрос и мне подсказали что нужна новая с этим обозначением K9 в конце названия IOSa. скачал поставил тьфу тьфу четвертый год работает не жалуется. новые дорогие, смотрю БУ на том же авито есть но с прошивками без ipsec. Так вот если я ее приобрету, и попытаюсь загрузить на нее прошивку с IPsec удастся мне это сделать сейчас?

[Сергей]

dobromin: Да, конечно, прошивка загружается на флешку и cisco перезапускается с новыми функциями