branch office vpn voor 1 device

tdemeyer · 18 maa 2021, 14:18

Ik probeer een (goedkope) oplossing te vinden voor volgende situatie:

Uitgangspunt: Een toestel op een remote locatie, waar "normaal" internet beschikbaar is (ttz consumenten DSL, 4G, kabel..) moet gekoppeld kunnen worden met ons intern netwerk (VPN op onze firewall). Het bewuste toestel heeft geen interactie (nodig) met het lokale netwerk op die locatie. Het ding is "simpele hardware", dus iedere softwareoplossing valt al meteen uit de boot. De oplossing moet ook mobiel zijn, want het toestel moet op diverse locaties kunnen geplaatst worden. In dat opzicht valt een eventuele VPN configuratie van de lokale router buiten de mogelijkheden.

Suggesties wat ik als VPN router op die remote locatie kan gebruiken? Idealiter zo compact mogelijk, strikt gezien heb ik maar 2 netwerkpoorten nodig: 1 die in het lokale remote netwerk hangt van van waaruit een branch office VPN verbinding wordt opgebouwd. De andere poort hangt dan aan het device.

Beetje googlen levert me Ubiquiti EdgeRouter als hit, maar ik sta open voor suggesties..

En o ja.. Had ik al gezegd dat het zoals altijd zo goedkoop mogelijk moet gerealiseerd worden

CCatalyst · 18 maa 2021, 14:32

Elke router die site-to-site ondersteunt (via IPSec veronderstel ik) in het SMB segment.

tdemeyer schreef: En o ja.. Had ik al gezegd dat het zoals altijd zo goedkoop mogelijk moet gerealiseerd worden

De EdgeRouter is idd uitstekend. Maar je moet er 2 kopen van hetzelfde model want als de ene defect wordt is er geen support en de kans is niet klein dat ze bepaalde periodes "uitverkocht" zijn, je moet de backup dus klaar hebben liggen. Niet dat ze veel defect gaan, maar het kan natuurlijk altijd.

Daarnaast zijn de Cisco Small Business RV routers even uitstekend en met verschillende prijsklasses, hoe hoger de IPSec throughput moet zijn hoe hoger de prijs. De RV340 gaat aan ongeveer 200 EUR met 650 Mbps throughput op de VPN. Dit model heeft ook licenses voor extra functionaliteit maar voor site-to-site VPN is dit niet nodig, geen Cisco licentiekosten dus. Voor deze modellen kan je wel deftige support bijkopen waarbij een defect toestel op locatie vervangen wordt binnen een aantal uren.

tdemeyer · 18 maa 2021, 14:46

Throughput lig ik niet speciaal wakker van. Als het enigszins de beschikbare snelheid van een consumenten internet verbinding benadert ben ik al meer dan tevreden

Uptime is niet kritisch, alhoewel het idd geen kwaad kan om toch iéts achter de hand te houden

CCatalyst · 18 maa 2021, 14:54

Dan kan ik zowel Ubiquiti Edge als Cisco SMB aanraden, hangt van je persoonlijke smaak af.

Ik heb met beide gewerkt en in het dagelijkse gebruik geen verschillen in betrouwbaarheid gemerkt, beiden zeer goede uptimes en betrouwbare VPN verbindingen met goede dead peer detection etc. De Cisco GUI/CLI en VPN implementatie vind ik wat logischer dan die van Ubiquiti, maar dat zal vooral ook zijn omdat ik al lang met Cisco enterprise werk en ik dus meer familiair ben met hun aanpak.

Ubiquiti heeft een grotere online support community (peer-to-peer dus) dan Cisco. Cisco heeft ook een community maar ze is minder actief, daarentegen krijg je er wel sneller antwoord van een Cisco engineer dan bij Ubiquiti het geval is. Cisco kan je een email sturen wanneer er een nieuwe versie van de firmware is, voor Ubiquiti moet je telkens op hun website gaan kijken want er is geen actieve melding (enfin was doen toch zo). Kleine zaken dus

tdemeyer · 18 maa 2021, 14:57

Als ik het zo even bekijk, dan bestaat er een Edgerouter X voor iets rond de 50 à 60€...

Kan ik dus niet straf veel verkeerd mee doen om eens te experimenteren

CCatalyst · 18 maa 2021, 15:00

Ja maar de ER-X is nu ook wel geen sterk beestje en is misschien niet noodzakelijk de beste keuze ook al is ze de goedkoopste. Over wat soort branch gaat het hier, hoeveel personen maken er gebruik van?

Ik dacht eerder dat je een EdgeRouter 4 oid ging nemen.

Zie ook hier: https://help.ui.com/hc/en-us/articles/2 ... uld-I-Use- en hier: https://www.ui.com/edgemax/comparison/

Sasuke · 18 maa 2021, 20:08

Watchguard heeft daar eigenlijk wel een goeie oplossing voor met hun Remote Corporate AP. Dat is dan ineens een AP dat op basis van zijn Mac adres of serienummer de config download om de corporate SSID te adverteren en een VPN te leggen tussen de geadverteerde SSID en het bedrijfsnetwerk.

Zero touch voor de network admin dus. De remote worker(s) hebben enkel lokaal internet met dhcp nodig. Het AP legt een mgmt tunnel naar de WG cloud en download de nodige config

CCatalyst · 18 maa 2021, 20:25

Sasuke schreef:Watchguard heeft daar eigenlijk wel een goeie oplossing voor met hun Remote Corporate AP. Dat is dan ineens een AP dat op basis van zijn Mac adres of serienummer de config download om de corporate SSID te adverteren en een VPN te leggen tussen de geadverteerde SSID en het bedrijfsnetwerk.

Gelijkaardig aan onze OfficeExtend oplossing dus, maar is er dan ook geen WatchGuard product nodig aan het andere einde van de tunnel?

Sasuke · 18 maa 2021, 20:30

Technische gezien niet , maar ik durf er mijn hand niet voor in het vuur steken

Wat bedoel je met ‘onze OfficeExtend’ ? Wie is ons ?

Tomsworld · 18 maa 2021, 20:56

Wat heb je op de centrale locatie van vpn concentrator ?

Sasuke · 18 maa 2021, 21:05

Ter info. De watchguard remote AP heeft geen watchguard firewall nodig als concentratie.

Het is wel aangeraden ... natuurlijk

Aruba heeft het ook trouwens !

VOiD · 18 maa 2021, 21:57

Mikrotik hAp lite of mini ?

silencer · 18 maa 2021, 22:08

Sasuke schreef:Technische gezien niet , maar ik durf er mijn hand niet voor in het vuur steken

Wat bedoel je met ‘onze OfficeExtend’ ? Wie is ons ?

Is een Cisco oplossing voor een AP, in te stellen op de Cisco WLC

Sasuke · 18 maa 2021, 22:37

Ja ik ken de Cisco (dure) oplossing maar zag ‘onze’ staan. Cisco werknemer ? Of MSP die Cisco in het gamma heeft ?