ראוטר/Firewall מומלץ לעסק קטן-בינוני

פורום רשתות, IT ומחשוב כללי - רשתות, ראוטרים, מחשבים ניידים, אביזרים וכו'.
Scanner (פותח השרשור)
חבר פעיל במיוחד
חבר פעיל במיוחד
הודעות: 511
הצטרף: אוגוסט 2010
נתן תודות: 9 פעמים
קיבל תודות: 24 פעמים

ראוטר/Firewall מומלץ לעסק קטן-בינוני

נושא שלא נקרא #1 

היי,
צריך את עזרתכם פה...
מנסה למצוא פתרון לראוטר (משולב Firewall) שיספק ניתוב והגנה לעסק קטן.
הדרישות המיוחדות:
  • תמיכה ב-VLANים
  • תמיכה בשתי הזנות WAN (בזק והוט כרגע, ליתירות). במידה וזה מסבך יותר מדי, ניאלץ להסתפק בהחלפת ראוטר בזק/הוט ידנית בנפילת ספק תקשורת.
  • פחות מ-20 מחשבים סה"כ.
  • כ-50 מצלמות ב-VLAN ייעודי.
  • חיבור VPN לעובדים - כ-5 סה"כ.
  • הגנה על הרשת העסקית (כמובן).
  • קיימים כ-4 AP לטובת WIFI לעובדים (ללא חיבור למצלמות) - כך שאין צורך ב-WIFI בראוטר.
מצ"ב שרטוט המתאר את הרשת.

המליצו לי על checkpoint, sophos וכו' בעלות של כ-4-5 אש"ח - אני מרגיש שזה קצת Overkill לצרכים שלי...
על איזה פתרון הייתם ממליצים? מישהו התנסה עם פתרון למקרה דומה?

תודה מראש
נערך לאחרונה על ידי Scanner ב 14/04/2019 0:34, נערך פעם 1 בסך הכל.

eran405
אחראי תחום רשתות
אחראי תחום רשתות
הודעות: 3388
הצטרף: פברואר 2012
נתן תודות: 380 פעמים
קיבל תודות: 790 פעמים

Re: ראוטר/Firewall מומלץ לעסק קטן-בינוני

נושא שלא נקרא #2 

@Scanner
·

edgerouter של ubiquiti כמו לדוגמא ה-ER-4 עונה לכל הדרישות שהבאת ולדעתי מומלץ בחום. שם לך שרק חלק מהדברים אפשר לקנפג בממשק הגרפי שלו ודברים יותר מתקדמים צריך לקנפג דרך ה-CLI, בתקווה זה לא בעיה.

NegativeIQ
חבר מביא חבר
חבר מביא חבר
הודעות: 4423
הצטרף: דצמבר 2005
נתן תודות: 11 פעמים
קיבל תודות: 570 פעמים

Re: ראוטר/Firewall מומלץ לעסק קטן-בינוני

נושא שלא נקרא #3 

@Scanner
כעיקרון אתה יכולת להשתמש בקושחת OpenWRT ואז אפשר לגרום כמעט לכל ראוטר פשוט (שנתמך ע"י הקושחה) לתמוך בזה אבל באופן דומה ל-ER-4 שערן הציע - אל תצפה לקונפיגורציה דרך UI נוח.

mescaline
חבר ותיק
חבר ותיק
הודעות: 1879
הצטרף: ספטמבר 2018
נתן תודות: 57 פעמים
קיבל תודות: 143 פעמים

נושא שלא נקרא #4 

DSR500 dlink
draytek vigor 2860
יש אותם בגרסת N או AC ואת הDlink יש ללא WIFI כלל

לא הייתי סומך על כל הראוטרים קומבינות עם תכנה צד שלישי או ציוד צרכני ברמת ubiquiti, זה לא שאתה בבית ויש לך את כל הזמן שבעולם להגדיר אותם וכל תקלה יכול לעלות הרבה אם מדובר בעסק
נערך לאחרונה על ידי mescaline ב 14/04/2019 19:57, נערך פעם 1 בסך הכל.

eran405
אחראי תחום רשתות
אחראי תחום רשתות
הודעות: 3388
הצטרף: פברואר 2012
נתן תודות: 380 פעמים
קיבל תודות: 790 פעמים

נושא שלא נקרא #5 

NegativeIQ כתב:אבל באופן דומה ל-ER-4 שערן הציע - אל תצפה לקונפיגורציה דרך UI נוח.
...
·

אני לא מכיר את openwrt, אבל ל-edgeOS יש דווקא ממשק web מאד נח (לדעתי). עבדתי קודם עם dd-wrt וה-edgeOS הרבה יותר נח (לדעתי).
אישית, יש לי סריטה שאני מעדיף לעשות כמה שיותר מממשק CLI ולכן אחרי ה-wizard הראשוני ישר עברתי ל-CLI אבל עם הזמן אני מגלה עוד ועוד דברים שאפשר לעשות בצורה נוחה גם בממשק web.

כמובן יש דברים שאי אפשר לעשות בממשק web ואפשר לעשות רק ב-CLI. לדעתי את כל הדרישות שציינו בפוסט הראשי של שירשור זה, חוץ משרת ה-VPN, אפשר לעשות בצורה נוחה גם בממשק web.
למען השלמות אציין שיש אופציה להגדיר site-to-site VPN בממשק web וגם VPN מסוג PPTP שלא מומלץ כי אינו מאובטח. דרך ה-CLI אפשר להגדיר VPN של L2TP/IPSec או IKEv2 שמתאימים במקרה זה.
mescaline כתב: לא הייתי סומך על כל הראוטרים קומבינות עם תכנה צד שלישי או ציוד צרכני ברמת ubiquiti, זה לא שאתה בבית ויש לך את כל הזמן שבעולם להגדיר אותם וכל תקלה יכול לעלות הרבה אם מדובר בעסק
...
·

הפוך דווקא ציוד של ubiquiti מתכוון לעסקים ונותני שירות (prosumers) והם בדיוק מכוונים לאנשים שלא יכולים להרשות לעצמם שום תקלה. כמובן אם תקנה ציוד שעולה פי 10 (פלוס למיטב הבנתי צריך גם לשלם דמי אחזקה/שירות שנתים או משהו), ברור שתקבל שירות ברמה אחרת. לדעתי בשביל רמת המחיר שלהם ה-edgerouters נותנים תמורה מצוינת.

את draytek אני לא מכיר באופן אישי אבל אכן שקלתי גם אותם לפי שהתחלתי עם ה-edgerouters ולפחות לפי חיפושים באינטרנט, draytek יותר מתאימים כציוד ביתי יחסית טוב (כולל קינפוג אולי יותר נח אבל מוגבל) ופחות לשוק ש-ubiquiti מכוונים אליו.

במקרה הספציפי הזה מאד יכול להיות שגם draytek אופציה לא רעה. openwrt נראה לי קצת פחות מתאים, אבל אם למי שמתחזק את התקשורת יש ניסיון עם openwrt זו כנראה אופציה מצויינת.

NegativeIQ
חבר מביא חבר
חבר מביא חבר
הודעות: 4423
הצטרף: דצמבר 2005
נתן תודות: 11 פעמים
קיבל תודות: 570 פעמים

נושא שלא נקרא #6 

mescaline כתב:DSR500 dlink
draytek vigor 2860
יש אותם בגרסת N או AC ואת הDךןמל יש ללא WIFI כלל

לא הייתי סומך על כל הראוטרים קומבינות עם תכנה צד שלישי או ציוד צרכני ברמת ubiquiti, זה לא שאתה בבית ויש לך את כל הזמן שבעולם להגדיר אותם וכל תקלה יכול לעלות הרבה אם מדובר בעסק
...
אם אתה חייב תמיכה אז תתכונן לשלם הרבה, אין מה לעשות. כנ"ל אם אתה לחלוטין לא Tech Savvy כי די בהגדרה ככל שהאפשרויות יותר גמישות ככה הקונפיגורציה יותר מורכבת. אין מה לעשות, אם צריך VLANs, VPN, Dual WAN ו-Firewall מותאם אז PnP זה לא יהיה.

mescaline
חבר ותיק
חבר ותיק
הודעות: 1879
הצטרף: ספטמבר 2018
נתן תודות: 57 פעמים
קיבל תודות: 143 פעמים

נושא שלא נקרא #7 

לשלם למי תמיכה? על מה אתה מדבר

יש ל 2 החברות אחלה תמיכה

אצלי בעסק יש DSR500N שנרכש מאוקטביוס ויש תמיכה ברמה א.א.אמריקה ואין כלל מה להשוות ליוביקוויטי, לא הייתי מסתמך על שום דבר שלהם ברמת הביזנס בארץ היבואן שלהם זה בנאדם אחד בלי תמיכה בכלל

sys_admin
חבר מביא חבר
חבר מביא חבר
הודעות: 3670
הצטרף: ינואר 2014
מיקום: גליל מערבי
נתן תודות: 9 פעמים
קיבל תודות: 707 פעמים

Re: ראוטר/Firewall מומלץ לעסק קטן-בינוני

נושא שלא נקרא #8 

@Scanner
·
אתה צריך לקחת בחשבון שבמוצרים קנייניים שמיועדים לעסקים קטנים, במוצרים כמו checkpoint, sophos , שהזכרת, יותר מתשעים אחוז מהמחיר אתה משלם לא על הברזלים ( חומרה ), אלה על תוכנה, שהיא מראש מאוד בעייתית וגם על מקדמי מחירות של המוצרים אלה. כך יוצא שהמוצר הסופי כזה הוא חלש ביותר מבחינת חומרה. דוגמה מצויינת לכך, היא אותו D-Link DSR-500N , שגם הוזכר כאן בשירשור זה, שלמרות שמדובר על מוצר שמבוסס על מעבד עתיק וחלש Cavium CN5010, במהירות של 300MHZ, שכבר לא ניתן למצוא אפילו בנתבים ביתיים הכי זולים, עדיין מנסים למכור אותו במחיר של יותר מאלף ש''ח. על התוכנה שלו אפילו לא כדאי לדבר.
אופצייה טובה בשביל לקבל תמורה היגיונית לכסף שלך, היא להשתמש במערכת מחשב משובצת X64 תקנית, למשל על בסיס של I7 של INTEL, שגם תומך בהעצת חומרה להצפנה של VPN ולהתקין על מערכת זו תוכנה חינמית, למשל את PFSENSE . כך באותו המחיר של כמה אלפי שקלים בודדים אתה מקבל מערכת אמינה, בעלת ביצועים מתקדמים, שמקבלת עדכוני אבטחה בצורה סדירה ובעלת גמישות כזו שלא קיימת באף מערכת קניינית. בנוסף לצרכים שפירטת מערכת זו מתפקדת גם כ IPS ו IDS וגם כשרת RADIUS שנותן לך אפשרות בין היתר לעבוד עם רשת אלחוטית מאובטחת באמת ולא ברמה של רשת ביתית. כך גם את האבטחה של הנקודות גישה שלך אתה יכול לחבר לשרת RADIUS זה. למערכת זו אפשרויות ניהול רבות, מממשק וובי ועד ניהול קובץ תצורה XML. כמובן זה נותן גם אפשרויות של סטנדרטיזצייה, גיבויי תצורה ומיגרצייה במקרה הצורך.

Scanner (פותח השרשור)
חבר פעיל במיוחד
חבר פעיל במיוחד
הודעות: 511
הצטרף: אוגוסט 2010
נתן תודות: 9 פעמים
קיבל תודות: 24 פעמים

נושא שלא נקרא #9 

תודה רבה - אני אעשה עוד קצת שיעורי בית.
לפי התגובות, אני נוטה ל-ER4, נשמע שזה יהיה פתרון מעולה.
לגבי הנגיעה ב-CLI, לא חושש מזה כל כך. יש לי היכרות מעמיקה עם סיסקו (CCNP) אבל מעט זמן לתחזק את הראוטר אחרי הגדרה ראשונית. כל עוד כל הפונקציות למעט ה-VPN מוגדרות דרך ה-GUI, נשמע קליל.

שוב תודה

eran405
אחראי תחום רשתות
אחראי תחום רשתות
הודעות: 3388
הצטרף: פברואר 2012
נתן תודות: 380 פעמים
קיבל תודות: 790 פעמים

נושא שלא נקרא #10 

@Scanner
·

א. אני חושב ש-mescaline צודק לגבי היבואן בארץ, שלמיטב ידעתי זה דיפול. לפני שהזמנתי את ה-edgerouter הראשון שלי מחו"ל ניסיתי לדבר איתם והם היו לחלוטין לא לעניין (לנסח זאת בצורה עדינה). אם קריטי לך תמיכה מקומית מיבואן נורמלי זו כנראה לא אופציה טובה.

התמיכה שיש ל-Ubiquiti שאני מרוצה ממנה זה בפורמים שלהם. בגבולות הטעם הטוב עונים שם מהר ומאד עדיבים ומנסים לעזור גם ב"שאלות תם" לגבי קונפיגורציה בסיסית או מתקדמת. למיטב הבנתי יש להם גם ערוצי תמיכה יותר ישירים אבל למזלי לא הייתי צריך תמיכה מעבר לפורמים שלהם.

ב. הם הוציאו גירסת קושחה 2.0.0 ועכשיו 2.0.1 שהינם עדכון מאד רציני אבל לצערי, לפחות לבינתיים בעייתיות לפחות בשימושים מסיומים. אמנם על ה-ER-4 יש פחות בעיות (על ה-ER-X אלה גירסאות מאד בעייתיות שגם הורדו מעמוד ההורדות שלהם), עדיין הייתי נמנע מהם עד שתראה בפורמים תגובות יותר חיוביות. לבינתיים הם מתחזקים באופן שותף גם את גירסה 1 של הקושחה (כרגע 1.10.9 ה"יציב" הכי עדכני).

לפי התגובות הנזעמות בפורמים שלהם, אנשים מצפים ליותר טוב מהם (כנראה בגלל ניסיון העבר), ובתקווה הם יצליחו להתנהג יותר טוב בעתיד. אין לי ניסיון עם ציוד אחר לשוק העסקי אבל לעומת ציוד לשוק הביתי זה עדיין ליגה אחרת (לטובה).

ג. חשוב לי לציין, אם זה לא היה ברור קודם, שאני עובד כמעט אך ורק מה-CLI (וגם דרך ה-CLI אישית יצא לי לבצע רק חלק מהדברים שביקשת). בדקתי פעם נוספת ובתיאוריה אפשר לעשות את כל מה שביקשת דרך ממשק ה-web, חוץ מה-VPN כמובן.
לדעתי במקרה שלך, גם אם תצטרך עוד כמה דברים מה-CLI לא תהיה לך בעיה.

Perceptor
חבר פעיל מאוד
חבר פעיל מאוד
הודעות: 399
הצטרף: ספטמבר 2013
נתן תודות: 5 פעמים
קיבל תודות: 28 פעמים

נושא שלא נקרא #11 

חייב לציין שאני הזמנתי ER4 מאוד מרוצה מימנו ההתקנה הראשונית פשוטה אבל CLI עולם שלם שווה כל שקל

Scanner (פותח השרשור)
חבר פעיל במיוחד
חבר פעיל במיוחד
הודעות: 511
הצטרף: אוגוסט 2010
נתן תודות: 9 פעמים
קיבל תודות: 24 פעמים

נושא שלא נקרא #12 

אז הגיע ה-ER4 ולצערי ההתקנה לא חלקה.
משום מה, בחיבור לראוטר בזק (שהוגדר כ-Bridge), ממשק ה-pppoe לא מצליח להתחבר.
כמובן שוידאתי שמדובר בממשק הנכון הראוטר וכי פרטי ההתחברות נכונים.
מישהו נתקל?
ראוטר בזק מתחבר בצורה תקינה (כשמבוטל מצב Bridge, כמובן)

sys_admin
חבר מביא חבר
חבר מביא חבר
הודעות: 3670
הצטרף: ינואר 2014
מיקום: גליל מערבי
נתן תודות: 9 פעמים
קיבל תודות: 707 פעמים

נושא שלא נקרא #13 

הבדיקה הבסיסית והפשוטה שניתן לבצע בשביל להבין היכן הבעיה נמצאת, היא בשלב שמודם מוגדר כ BRIDGE מחברים עליו מחשב אחד בודד ומגדירים בו חייגן PPPOE. אם גם המחשב לא מצליח לחייג, אז הבעייה היא בהגדרות המודם, אם כן עובד החייגן במחשב, אז הבעייה היא בסבונייה המצחיקה של UBNT .

eran405
אחראי תחום רשתות
אחראי תחום רשתות
הודעות: 3388
הצטרף: פברואר 2012
נתן תודות: 380 פעמים
קיבל תודות: 790 פעמים

נושא שלא נקרא #14 

@Scanner
·

כמו ש-sys_admin הציע, מומלץ דבר ראשון לוודא שחייגן שמוגדר במכשיר אחר (נגיד מחשב) מתחבר כאשר המודם/ראוטר מגודר כ-bridge. אם מחשב/מכשיר אחר מצליח להתחבר הבעיה בהגדרות של ה-ER-4. תשובות כמו "סבונייה המצחיקה של UBNT" הם לא לעניין, לא קונסטרוקטיביות ולא מכבדות את הכותב.

לגבי ההגדרות של ה-ER-4, אני ממליץ בחום:

א. לשדרג/לשנמך (אם צריך) לגירסת קושחא עדכנית ויציבה. לדעתי עדיף 1.10.9. עדיין יש בעיות עם גירסאות 2.0, על אף שהבעיות היותר קריטיות הם על הדגמים שמוזכרים כאן.

שימוש בקושחה 1.10.9 (ושדרוג לגיסאות 1.10 חדשות אם יצאו כאלה) אמור להיות הכי בטוח. לשדרג לגירסאות 2.0 הייתי מחכה לפחות ל-2.1 וגם אז בודק מה התגובות בפורמים שלהם (ואם זה מעניין אותך יש beta כאן).

ב. להשתמש ב-Basic Setup Wizard מממשק ה-web ושם לבחור pppoe ולקנפג בהתאם. אם לא עשית זאת או עשית זאת בגירסת קושחה אחרת, מומלץ לעשות שוב.

אם עדיין יש בעיות:

מה המצב של חיבור ה-pppoe? האם הוא מתחבר ומקבל כתובת? אפשר לבדוק זאת גם ב-Dashboard בממשק web או דרך ה-CLI בעזרת "show interfaces" או לקבל יותר פרטים עם פקודה כמו "show interfaces pppoe pppoe0" (תשתמש ב-tab לקבל השלמות + עזרה אם הפקודה לא מדוייקת).

במידה וה-pppoe לא מתחבר, מה הפלט של פקודת "show interfaces pppoe pppoe0 log" מה-CLI? (שוב במידה והפקודה לא מדיוקת תשתמש ב-tab לקבל השלמות + עזרה). אם אתה משתף פה (או במקום פומבי אחר) את ה-log תקפיד לצנזר פרטים אישיים כגון פרטי התחברות ו/או כתובות IP חיצוניות (אם יש).

שלח תגובה

חזור אל “רשתות, אינטרנט ו- Fiber”