VPN hardware/technologie: welke kiezen?

[Roygenz]

Beste,

Momenteel hebben we onze verschillende locaties verbonden met belgacom explore. Dit is een nogal dure oplossing voor wat we uiteindelijk maar nodig hebben. Plan is om alles te vervangen door eigen opgezette VPN's. Momenteel hebben we al een tijdje 1 lokatie lopen op een site-to-site openVPN via een particuliere VDSL (SLA's zijn voor ons niet nodig). Heel erg stabiel tot nu toe!, maar voor openVPN heb je natuurlijk redelijk stevige (zelfgebouwde) hardware nodig. Graag wil ik eens informeren en "rondkijken" als dit wel de ideale oplossing is voor ons? Of als 't eventueel toch beter is direct hardware te nemen van bijvoorbeeld sonicwall, of endian etc. Maw wat gebruiken jullie om dergelijke vpn's te maken tussen verschillende (werk) lokaties?

Alvast bedankt voor jullie tips & advies!

[Sasuke]

Hangt meestal van de grootte van de klant af:

1. 2 a 3 kleine sites - IPCOP / M0n0Wall / .... (Met IPSEC VPN, geen OpenVPN)
2. KMO met meerdere sites en/of SLA vereisten: Hardware firewall - Type CISCO ASA of Cisco 18xx of 28xx router
3. Groter - Cisco ASA of Watchguard

Watchguard heb je ook in kleinere formaten, doch de jaarlijkse kost is meestal "te veel" voor de kleinere KMO's.

Grtz,
Sasuke

[krisken]

Zoals sasuke al zegt : afhankelijk van hoe "groot" de locaties zijn kan je dit doen vanaf een 200 euro (el cheapo pc-kast, atom moederbordje, 1/2GB ram en kleine HDD) tot een paar duizend euro.

[skynetbbs]

nog goedkoper kan met een openwrt router... zo heb ik er al van 5-20 euro zien passeren
goed genoeg voor een openvpn met 5tal gebruikers...
als niet alle applicaties via een ssl-extranet-website willen werken

[Roygenz]

1. 2 a 3 kleine sites - IPCOP / M0n0Wall / .... (Met IPSEC VPN, geen OpenVPN)

Momenteel zijn wij eigenlijk wel tevreden van die openVPN site to site, mag ik vragen waarom best IPSEC en geen openVPN? Puur die hardwareresources? Of zijn er nog andere nadelen die ik momenteel over 't hoofd zie?

[Roygenz]

nog goedkoper kan met een openwrt router... zo heb ik er al van 5-20 euro zien passeren
goed genoeg voor een openvpn met 5tal gebruikers...
als niet alle applicaties via een ssl-extranet-website willen werken

Da's waar ja, heb ik ook al mee "gehobby't", snelheid en performantie over een openwrt router is natuurlijk niet echt vet hé 'k denk dat we toch sowieso een goeie pc zullen voorzien als router.

[skynetbbs]

Da's waar ja, heb ik ook al mee "gehobby't", snelheid en performantie over een openwrt router is natuurlijk niet echt vet hé 'k denk dat we toch sowieso een goeie pc zullen voorzien als router.

Hangt ervan af... je hebt er idd van 180-240mhz... je hebt er ook van 680mhz zoals de Netgear WNDR3700
Meestal is de "upload" snelheid de bottleneck van een isp... tenzij je fibernet of SDSL hebt?

[Roygenz]

kheb met linksys en dd-wrt geprobeert op openvpn, nog niet met IPsec. Dus door openVPN op die router haal je niet veel bandbreedte in je tunnel hé (is beperkt tot enkele mbps dacht ik...)

Momenteel hebben we vdsl, sdsl en fiber op de locaties. We zouden alles naar vdsl, kabel en fiber brengen (download op een 2-2 sdsl is niet echt vet meer hé)

[skynetbbs]

kheb met linksys en dd-wrt geprobeert op openvpn, nog niet met IPsec. Dus door openVPN op die router haal je niet veel bandbreedte in je tunnel hé (is beperkt tot enkele mbps dacht ik...)

Momenteel hebben we vdsl, sdsl en fiber op de locaties. We zouden alles naar vdsl, kabel en fiber brengen (download op een 2-2 sdsl is niet echt vet meer hé)

de thuisgebruikers zitten thuis...
je bedrijf heeft een "upload" pijp van max 4,5mbps met een Vdsl2 Intense volgens de white papers...

Dat jij een download hebt van 25-100mbps is dan niet zo belangrijk... je kunt toch maar max 4,5mbps pompen en dat wordt gedeeld door 5-20 thuiswerkers?


http://www.plinky.it/blog/2010/04/19/co ... h-openvpn/
https://forum.openwrt.org/viewtopic.php?id=24264 :
3.5mbps max met de 6jaar oude linksys
10-12mbps met de huidige router generatie?

[rpr]

Vergeet wel niet dat het explorer netwerk wel sla heeft naar beschikbaarheid en gewoon internet dit niet heeft.

[Sasuke]

1. 2 a 3 kleine sites - IPCOP / M0n0Wall / .... (Met IPSEC VPN, geen OpenVPN)

Momenteel zijn wij eigenlijk wel tevreden van die openVPN site to site, mag ik vragen waarom best IPSEC en geen openVPN? Puur die hardwareresources? Of zijn er nog andere nadelen die ik momenteel over 't hoofd zie?

1/ Community - no "real" support
2/ Meestal gebaseerd op self-signed unsecure certificates
3/ Resources
4/ Compatibility ==> Wat als je morgen een externe partij aan de VPN wil hangen, of een site waar reeds een (duurdere?) router/firewall staat

IPSEC word door alle vendors aanvaard en zeer stabiel en secure genoeg.

grtz,
Sasuke

Ps: Ervanuitgaande dat het voor een KMO is hé. Voor een kleine zelfstandige of zaak met een paar werknemers zonder groeiplannen is OpenVPN goed genoeg.

[Sasuke]

Vergeet wel niet dat het explorer netwerk wel sla heeft naar beschikbaarheid en gewoon internet dit niet heeft.

Als je een lijn neemt met vast IP heb je evengoed een SLA hoor ... soms beter dan die op het explore netwerk. En soms is ook de vraag of die SLA echt nodig is, naargelang de services die over de lijn gaan.

Bvb, een centrale exchange server/sharepoint/whatever, is veel goedkoper te vervangen door een Microsoft BPOS Subscription dan te investeren in een VPN oplossing om deze op meerdere sites beschikbaar te maken.

grtz,
Sasuke

[Sasuke]

Dat jij een download hebt van 25-100mbps is dan niet zo belangrijk... je kunt toch maar max 4,5mbps pompen en dat wordt gedeeld door 5-20 thuiswerkers?

Voor Exchange / Remote Desktop / Citrix is dat meer dan voldoende hoor. Voor fileservices "kan" dat problemen geven.

@TS
Voor een echt advies kan je best eens de requirements schetsen en wat voor soort traffiek/dienst er door de remote sites/thuiswerkers gaat gebruikt worden. VPN verbindingen kunnen tegenwoordig vervangen worden door online diensten (ofte "cloud" als je in buzzwords geloof). Anderzijds loont het soms meer om je services/traffiek te optimaliseren dan duurdere lijnen te plaatsen.

Grtz,
Sasuke


PS: Niet vergeten dat je "Fiber" connecties kan krijgen tussen 2 sites aan SDSL tarieven ! Bvb in BE 10Mbit site-to-site voor +/- 600euro per kant (no internet, enkel site-2-site data).

[Roygenz]

Voor alle duidelijkheid: We zijn geen KMO maar een non-profit organisatie. We hebben momenteel housing in netcenter machelen. (we overwegen om onze housing evt wel elders te nemen in de toekomst, dit even terzijde)
Dus upload naar remote sites en thuiswerkers is geen probleem (hebben momenteel 100mbit internet ginder, uiteraard nog upgradebaar). De remote sites zouden in plaats van SDSL's en fibers op explore met SLA nu migreren naar telenet of VDSL's (zonder SLA). De sites die de meeste zekerheid moeten hebben zouden we voorzien van zowel een telenet lijn als een vdsl (als een site eens 1 dag down ligt, is dit bij ons geen ramp, de medewerkers werken niet vast op één site, maar werken op meerdere sites tegelijk).

[Roygenz]

De lijnen dienen momenteel voor Voice over IP, exchange, sharepoint en documentenverkeer (gesyncroniseerd). Medewerkers moeten veel de baan op, en syncroniseren hun data op kantoor.

[skynetbbs]

IPSEC word door alle vendors aanvaard en zeer stabiel en secure genoeg.

je bedoelt dat je idd "real support" gaat nodig hebben om een ipsec tunnel te leggen tussen een checkpoint, watchguard, cisco, cyberguard, juniper (netscreen), sonicwall, ....

een openwrt routertje bij je thuiswerkers en een openvpn geinstalleerd op een server in je datacenter...

voip... kun je evengoed pbxes.org gebruiken...voor kmo's hebben die redundancy over diverse fysieke locaties...ligt het ergens plat ben je direct overgeschakeld op een andere locatie...

nu lijkt het me een single point of failure (airco...stroom... valt uit op dat datacenter...)

SLA's zijn vaak idd de volgende werkdag (8h later)....

ik steek vaak gewoon een 3G stick in m'n router/laptop en kan weer "online"...
die zendmast heeft toch een noodaggregaat en m'n laptop kan toch ook een uurtje voort

[Sasuke]

IPSEC word door alle vendors aanvaard en zeer stabiel en secure genoeg.

je bedoelt dat je idd "real support" gaat nodig hebben om een ipsec tunnel te leggen tussen een checkpoint, watchguard, cisco, cyberguard, juniper (netscreen), sonicwall, ....

een openwrt routertje bij je thuiswerkers en een openvpn geinstalleerd op een server in je datacenter...

Openwrt routertje kapot ==> Op zoek gaan naar een nieuwe router die OpenWRT supporteert, openwrt erop zetten (wie doet dat dan ? de gebruiker zelf ? ) ... lijkt me niet echt bedrijfszeker, ook al is het een non-profit.

Wat betreft de non-profit, als je Sharepoint,Exchange, .... gebruikt, kijk dan zeker eens naar MS BPOS - De Full suite (met Sharepoint, Exchange, MOCS, Livemeeting) kost je +/- 15euro / gebruiker / maand. Een VPN is dan ook niet meer nodig aangezien je via een SSL Proxy werkt naar deze diensten.

Grtz,
Sasuke

[skynetbbs]

Openwrt routertje kapot ==> Op zoek gaan naar een nieuwe router die OpenWRT supporteert, openwrt erop zetten (wie doet dat dan ? de gebruiker zelf ? ) ... lijkt me niet echt bedrijfszeker, ook al is het een non-profit.

je hebt reserve hardware klaarliggen...
ofdat nu een commerciele juniper of een "opensource" toestel is...
of het nu "hardware" of een "software" is...

Momenteel ook een thuiswerker die geen adsl signaal heeft... ze gingen terugbellen van Belgacom (>1dag geleden); ondertussen met 3g stick verder...

[Dave_S]

Wij hebben hier twee watchguard X10e voor onze IPSEC VPN.
Super eenvoudig op te zetten en die twee kleine bakjes geven ongeloofelijk stabiel resultaat.
De speciale mobile client software is ook zeer eenvoudig voor thuiswerkers met weinig technische kennis.

De prijs valt hiervan zeer goed mee, 354 EUR/stuk.

[Roygenz]

]

je hebt reserve hardware klaarliggen...
ofdat nu een commerciele juniper of een "opensource" toestel is...
of het nu "hardware" of een "software" is...

Momenteel ook een thuiswerker die geen adsl signaal heeft... ze gingen terugbellen van Belgacom (>1dag geleden); ondertussen met 3g stick verder...

Voila, was ook onze denkpiste. Genoeg backup hardware, als er iets faalt kan je direct terug verder.
We hebben onze VPN ook nodig voor onze telefonie; Er wordt veel heen en weer gebeld tussen de verschillende sites, en dat dit gratis communicatie is was niet onbelangrijk. IP centrale is in het verleden reeds aangekocht bij belgacom (Alcatel IP Pbx).

[Sasuke]

Goh, je zult me niet horen zeggen dat OpenVPN slecht is. En ok, als je spare hardware hebt liggen maakt dat natuurlijk al veel goed. Ik zou het persoonlijk niet nemen omdat dedicated devices dit nooit out-of-the box ondersteunen en je in problemen geraakt als er morgen een 3de partij ook een VPN wil. In het bedrijfsleven ga je een OpenVPN quasi nooit tegenkomen om deze redenen.

Maar OK, het kan, ik gebruik OpenVPN zelf ook voor remote werken, maar nooit voor site-to-site communicate. Gewoon mijn opinie.

Grtz,
Sasuke

[Roygenz]

Idd! we gaan overal pc's als router gebruiken en waarschijnlijk openVPN nemen (om dan in de toekomst eventueel naar IPsec over te schakelen). In ieder geval bedankt voor jullie advies!

[Jelly]

Wat denken jullie hiervan? http://www.netgear.nl/producten/ft_pdf/srxn3205.pdf
Voor remote office achter een Fibernet50.
Rechtstreeks aangesloten aan modem.
Wireless XP en Windows 7 Clients die verbinding maken met draadloos 5ghz netwerk.