branch office vpn voor 1 device

Heb je problemen met het instellen van je netwerk, bedraad of draadloos, dan kan je hier altijd terecht!
Plaats reactie
tdemeyer
Premium Member
Premium Member
Berichten: 737
Lid geworden op: 19 jan 2013, 23:15
Locatie: Ronse
Uitgedeelde bedankjes: 20 keer
Bedankt: 43 keer

Ik probeer een (goedkope) oplossing te vinden voor volgende situatie:

Uitgangspunt: Een toestel op een remote locatie, waar "normaal" internet beschikbaar is (ttz consumenten DSL, 4G, kabel..) moet gekoppeld kunnen worden met ons intern netwerk (VPN op onze firewall). Het bewuste toestel heeft geen interactie (nodig) met het lokale netwerk op die locatie. Het ding is "simpele hardware", dus iedere softwareoplossing valt al meteen uit de boot. De oplossing moet ook mobiel zijn, want het toestel moet op diverse locaties kunnen geplaatst worden. In dat opzicht valt een eventuele VPN configuratie van de lokale router buiten de mogelijkheden.

Suggesties wat ik als VPN router op die remote locatie kan gebruiken? Idealiter zo compact mogelijk, strikt gezien heb ik maar 2 netwerkpoorten nodig: 1 die in het lokale remote netwerk hangt van van waaruit een branch office VPN verbinding wordt opgebouwd. De andere poort hangt dan aan het device.

Beetje googlen levert me Ubiquiti EdgeRouter als hit, maar ik sta open voor suggesties..


En o ja.. Had ik al gezegd dat het zoals altijd zo goedkoop mogelijk moet gerealiseerd worden :) :)
CCatalyst
Elite Poster
Elite Poster
Berichten: 8276
Lid geworden op: 20 jun 2016, 18:36
Uitgedeelde bedankjes: 19 keer
Bedankt: 527 keer
Recent bedankt: 13 keer

Elke router die site-to-site ondersteunt (via IPSec veronderstel ik) in het SMB segment.
tdemeyer schreef: En o ja.. Had ik al gezegd dat het zoals altijd zo goedkoop mogelijk moet gerealiseerd worden :) :)
De EdgeRouter is idd uitstekend. Maar je moet er 2 kopen van hetzelfde model want als de ene defect wordt is er geen support en de kans is niet klein dat ze bepaalde periodes "uitverkocht" zijn, je moet de backup dus klaar hebben liggen. Niet dat ze veel defect gaan, maar het kan natuurlijk altijd.

Daarnaast zijn de Cisco Small Business RV routers even uitstekend en met verschillende prijsklasses, hoe hoger de IPSec throughput moet zijn hoe hoger de prijs. De RV340 gaat aan ongeveer 200 EUR met 650 Mbps throughput op de VPN. Dit model heeft ook licenses voor extra functionaliteit maar voor site-to-site VPN is dit niet nodig, geen Cisco licentiekosten dus. Voor deze modellen kan je wel deftige support bijkopen waarbij een defect toestel op locatie vervangen wordt binnen een aantal uren.
tdemeyer
Premium Member
Premium Member
Berichten: 737
Lid geworden op: 19 jan 2013, 23:15
Locatie: Ronse
Uitgedeelde bedankjes: 20 keer
Bedankt: 43 keer

Throughput lig ik niet speciaal wakker van. Als het enigszins de beschikbare snelheid van een consumenten internet verbinding benadert ben ik al meer dan tevreden :)

Uptime is niet kritisch, alhoewel het idd geen kwaad kan om toch iéts achter de hand te houden :)
CCatalyst
Elite Poster
Elite Poster
Berichten: 8276
Lid geworden op: 20 jun 2016, 18:36
Uitgedeelde bedankjes: 19 keer
Bedankt: 527 keer
Recent bedankt: 13 keer

Dan kan ik zowel Ubiquiti Edge als Cisco SMB aanraden, hangt van je persoonlijke smaak af.

Ik heb met beide gewerkt en in het dagelijkse gebruik geen verschillen in betrouwbaarheid gemerkt, beiden zeer goede uptimes en betrouwbare VPN verbindingen met goede dead peer detection etc. De Cisco GUI/CLI en VPN implementatie vind ik wat logischer dan die van Ubiquiti, maar dat zal vooral ook zijn omdat ik al lang met Cisco enterprise werk en ik dus meer familiair ben met hun aanpak.

Ubiquiti heeft een grotere online support community (peer-to-peer dus) dan Cisco. Cisco heeft ook een community maar ze is minder actief, daarentegen krijg je er wel sneller antwoord van een Cisco engineer dan bij Ubiquiti het geval is. Cisco kan je een email sturen wanneer er een nieuwe versie van de firmware is, voor Ubiquiti moet je telkens op hun website gaan kijken want er is geen actieve melding (enfin was doen toch zo). Kleine zaken dus :-)
Laatst gewijzigd door CCatalyst 18 maa 2021, 14:58, in totaal 1 gewijzigd.
tdemeyer
Premium Member
Premium Member
Berichten: 737
Lid geworden op: 19 jan 2013, 23:15
Locatie: Ronse
Uitgedeelde bedankjes: 20 keer
Bedankt: 43 keer

Als ik het zo even bekijk, dan bestaat er een Edgerouter X voor iets rond de 50 à 60€...

Kan ik dus niet straf veel verkeerd mee doen om eens te experimenteren :)
CCatalyst
Elite Poster
Elite Poster
Berichten: 8276
Lid geworden op: 20 jun 2016, 18:36
Uitgedeelde bedankjes: 19 keer
Bedankt: 527 keer
Recent bedankt: 13 keer

Ja maar de ER-X is nu ook wel geen sterk beestje en is misschien niet noodzakelijk de beste keuze ook al is ze de goedkoopste. Over wat soort branch gaat het hier, hoeveel personen maken er gebruik van?

Ik dacht eerder dat je een EdgeRouter 4 oid ging nemen.

Zie ook hier: https://help.ui.com/hc/en-us/articles/2 ... uld-I-Use- en hier: https://www.ui.com/edgemax/comparison/
Gebruikersavatar
Sasuke
userbase crew
userbase crew
Berichten: 5526
Lid geworden op: 13 aug 2003, 20:25
Locatie: Vlaanderen
Uitgedeelde bedankjes: 238 keer
Bedankt: 467 keer
Recent bedankt: 6 keer

Watchguard heeft daar eigenlijk wel een goeie oplossing voor met hun Remote Corporate AP. Dat is dan ineens een AP dat op basis van zijn Mac adres of serienummer de config download om de corporate SSID te adverteren en een VPN te leggen tussen de geadverteerde SSID en het bedrijfsnetwerk.

Zero touch voor de network admin dus. De remote worker(s) hebben enkel lokaal internet met dhcp nodig. Het AP legt een mgmt tunnel naar de WG cloud en download de nodige config
Who the fxxk is General Failure and why is he reading my hard disk ?
Afbeelding
CCatalyst
Elite Poster
Elite Poster
Berichten: 8276
Lid geworden op: 20 jun 2016, 18:36
Uitgedeelde bedankjes: 19 keer
Bedankt: 527 keer
Recent bedankt: 13 keer

Sasuke schreef:Watchguard heeft daar eigenlijk wel een goeie oplossing voor met hun Remote Corporate AP. Dat is dan ineens een AP dat op basis van zijn Mac adres of serienummer de config download om de corporate SSID te adverteren en een VPN te leggen tussen de geadverteerde SSID en het bedrijfsnetwerk.
Gelijkaardig aan onze OfficeExtend oplossing dus, maar is er dan ook geen WatchGuard product nodig aan het andere einde van de tunnel?
Gebruikersavatar
Sasuke
userbase crew
userbase crew
Berichten: 5526
Lid geworden op: 13 aug 2003, 20:25
Locatie: Vlaanderen
Uitgedeelde bedankjes: 238 keer
Bedankt: 467 keer
Recent bedankt: 6 keer

Technische gezien niet , maar ik durf er mijn hand niet voor in het vuur steken :-)

Wat bedoel je met ‘onze OfficeExtend’ ? Wie is ons ? :-)
Who the fxxk is General Failure and why is he reading my hard disk ?
Afbeelding
Tomsworld
Elite Poster
Elite Poster
Berichten: 2656
Lid geworden op: 29 jan 2004, 10:15
Uitgedeelde bedankjes: 85 keer
Bedankt: 231 keer

Wat heb je op de centrale locatie van vpn concentrator ?
Gebruikersavatar
Sasuke
userbase crew
userbase crew
Berichten: 5526
Lid geworden op: 13 aug 2003, 20:25
Locatie: Vlaanderen
Uitgedeelde bedankjes: 238 keer
Bedankt: 467 keer
Recent bedankt: 6 keer

Ter info. De watchguard remote AP heeft geen watchguard firewall nodig als concentratie.

Het is wel aangeraden ... natuurlijk ;-)

Aruba heeft het ook trouwens !
Who the fxxk is General Failure and why is he reading my hard disk ?
Afbeelding
VOiD
Elite Poster
Elite Poster
Berichten: 2493
Lid geworden op: 10 jan 2006, 20:10
Locatie: Herent
Uitgedeelde bedankjes: 55 keer
Bedankt: 221 keer

Mikrotik hAp lite of mini ?
Internet: EDPNet VDSL
Telefonie: OVH
GSM: Proximus
silencer
Elite Poster
Elite Poster
Berichten: 4027
Lid geworden op: 08 jul 2008, 02:07
Uitgedeelde bedankjes: 172 keer
Bedankt: 102 keer

Sasuke schreef:Technische gezien niet , maar ik durf er mijn hand niet voor in het vuur steken :-)

Wat bedoel je met ‘onze OfficeExtend’ ? Wie is ons ? :-)
Is een Cisco oplossing voor een AP, in te stellen op de Cisco WLC
Gebruikersavatar
Sasuke
userbase crew
userbase crew
Berichten: 5526
Lid geworden op: 13 aug 2003, 20:25
Locatie: Vlaanderen
Uitgedeelde bedankjes: 238 keer
Bedankt: 467 keer
Recent bedankt: 6 keer

Ja ik ken de Cisco (dure) oplossing maar zag ‘onze’ staan. Cisco werknemer ? Of MSP die Cisco in het gamma heeft ? :-)
Who the fxxk is General Failure and why is he reading my hard disk ?
Afbeelding
Plaats reactie

Terug naar “Netwerken en Security”