Выбор оборудования в офис

Тема в разделе "Подбор оборудования", создана пользователем zhenek23, 16 май 2016.

  1. zhenek23

    zhenek23 Новый участник

    Доброго времени суток.
    Вопрос по выбору оборудования.
    В основной офис требуется роутер, способный раздать и немного отфильтровать интернет (блокировки сайтов и т.п.) на 50-100 пользователей. Плюс малый роутер на склад чтобы объединить их посредством vpn туннеля.
    Еще, как я понял, беспроводные точки доступа микротик это позволяют, хотелось бы в основном офисе поднять бесшовный wi-fi (офис раскидан на нескольких этажах) причем несколько сетей - гостевая (только выход в инет) и рабочая.
     
  2. Илья Князев

    Илья Князев Администратор Команда форума

    RB3011 и выше
    Любой.
    Hap AC / Hap AC Lite если нужно 2-диапазонные точки. wAP если достаточно диапазона в 2,4ГГц
     
  3. zhenek23

    zhenek23 Новый участник

    А какая зона покрытия для Hap AC Lite в здании? (чтоб понимать сколько их надо будет)
    Оказывает ли ваша компания помощь в настройке оборудования?
     
  4. Илья Князев

    Илья Князев Администратор Команда форума

    Сильно зависит от планировки и материалов стен и перегородок.
    Оказывает.
     
  5. keks

    keks Новый участник

    Добрый день!
    Необходимо подобрать роутеры для 2 офисов, которые будут постоянно связаны через VPN IPSec (IPsec/L2TP)

    1 офис
    Скорость канала 50 мбит, стекло, через SFP прямо в роутер.

    - Из локалки наружу - 30 пользователей/компов/смартфонов. Рост до 40-45.
    - 5 серверов, обновления.
    - Из Интернета, пользоваться ресурсами локалки придут до 20 пользователей/компов. Рост маловероятен.
    - Из второго офиса, через VPN IPsec тоннель со второго микротика придет 10-15 пользователей. Рост возможен максимум до 25 пользователей.
    - Из второго офиса придет SIP-транк в 2 мбит на офисную телефонную станцию, через роутер. Этот транк от провайдера, к провайдеру будет отдан напрямую, не через интернет,
    коммутацией на БМ18. Пока не представляю как это будет физически, но скорее всего через те же каналы, что и интернет.
    - Хотелось бы, чтобы VPN каналы авторизовывались через сертификат, либо через login/pass на встроенном сервере Микротика (Radius?).
    - Фильтрация сайтов, блокировка подбора паролей на административный вход Микротика, и если возможно на VPN.
    Политика блокировки ресурса по IP с которого такой подбор производился.

    Рассматривается на эту роль CCR1009-8G-1S-1S+PC.

    2 офис.
    Скорость канала 50 мбит с увеличением скорости если будет не хватать, стекло, через SFP прямо в роутер.

    - Из локалки наружу - 25 пользователей/компов/смартфонов. Рост до 40-45.
    - 1-2 сервера.
    - В первый офис через VPN IPsec тоннель пойдет 10-15 пользователей. Рост возможен максимум до 25 пользователей.
    - Снаружи по VPN IPsec в локалку могут проходить до 10-15 пользователей с авторизацией по сертификату или по login/pass.
    - В первый офис пойдет SIP-транк в 2 мбит на офисную телефонную станцию.
    - Авторизация, фильтрация, блокировки подбора, политики блокировки ресурсов, с которых велся подбор пароля по IP.
    - В перспективе возможен просмотр камер видеонаблюдения до 5 штук. Какие камеры - пока неизвестно.

    Подскажите, правильный ли кандидат в офис 1, и какой роутер подойдет в офис 2?
     
  6. Илья Князев

    Илья Князев Администратор Команда форума

    CCR 1009 вполне хороший кандидат.
    По второму офису вопрос в том, какая пропускная IPSec нужна. Отсюды выбор между RB3011, RB1100 и CCr1009
     
  7. keks

    keks Новый участник

    Благодарю за ответ.
    А можно как-то уточнить какую пропускную по IPsec даст каждый из предложенных вами вариантов, с тем что бы понять, что получим по тем или иным затратам. Если говорить, какой кусок можно выделить от общего 50мбит канала, то не более 15-20 мбит, но если руководство даст денег на 100мбит в обоих каналах, то можно будет уже говорить о 50 мбит в IPsec - и это будет максимумом в этой истории, максимумом, на который должно быть рассчитано железо.
    Вот это и хотелось бы обсудить.
    А на ваш взгляд, по предполагаемой нагрузке в офисе 1 CCR1009 не будет избыточным?
    Можно конечно и одинаковые уст- ва применить на обеих концах но хотелось бы выбрать устройства по нагрузке, с 25-30% запасом.
     
  8. keks

    keks Новый участник

    Прошу вас ответить, т.к. готов выписать у вас счет для оплаты оборудования...
     
  9. Илья Князев

    Илья Князев Администратор Команда форума

    Примерные скорости ipsec aes на разных роутерах
    все что на MIPSBE при 700МГц ЦПУ выдает примерно 20мбит когда ничем более не занят. Шифрование софтварное
    BR3011 примерно 100мбит
    RB850 Выдает ~130мбит при поддерке процессором аппаратного шифрования. Были и без поддержки. Маркировка плат одна и та же. Как повезет.
    RB1100AHx2 до 500 мбит
    серия CCR в зависимости от количества ядер. Примерно 150-200мбит на ядро.
    Цифры приведены в виде "идеальной картинки". Реальная производительность будет несколько ниже.
     
  10. keks

    keks Новый участник

    Спасибо, Илья.
    Купили у вас CCR1009 в качестве роутера в офис 2.

    В офис 1 предполагается такой же девайс.
    Могли бы купить CCR1016, можем поднять бюджет, но останавливает отсутствие модификации с двумя SFP модулями.
    Поэтому все-таки думаем в направлении CCR1009 ...

    CCR1009 50 Мбит по VPN IPsec между офисами - судя по всему вытянет легко.
    Далее будет нагрузка на 20 входящих соединений по VPN IPsec от пользователей. Если на каждого выделить по 10 Мбит, то суммарный бюджет по производительности IPsec
    получится 20 х 10 Мбит = 200мбит.
    Полагаю, что работа пользователя через VPN IPsec при скорости соединения в 10 Мбит будет вполне комфортной, для RDP хватит.
    Итого на IPsec понадобиться 250-300мбит.
    Полагаю, три - четыре ядра с этой нагрузкой справятся?
    Есть ли возможность в Микротике ограничить полосу входящим пользователям этими 10 Мбит?

    Остается:
    "...
    - Из локалки наружу - 30 пользователей/компов/смартфонов. Рост до 40-45.
    - 5 серверов, обновления.
    - Из второго офиса придет SIP-транк в 2 мбит на офисную телефонную станцию, через роутер. Этот транк от провайдера, к провайдеру будет отдан напрямую, не через интернет,
    коммутацией на БМ18. Пока не представляю как это будет физически, но скорее всего через те же каналы, что и интернет.
    - Хотелось бы, чтобы VPN каналы авторизовывались через сертификат, либо через login/pass на встроенном сервере Микротика (Radius?).
    - Фильтрация сайтов, блокировка подбора паролей на административный вход Микротика, и если возможно на VPN.
    Политика блокировки ресурса по IP с которого такой подбор производился.
    ....."

    Вопрос.
    Остальные задачи 4-5 ядер вытянут?
    Или таки нужен CCR1016 ?

    Важно, чтобы устройство даже в пике нагрузки имело запас...

    В серии CCR есть поддержка процессором аппаратного шифрования?
    Из вашего описания я решил, что нет и шифрование ведется ядрами цен-го процессора роутера.
     
    Последнее редактирование: 9 июл 2016
  11. Илья Князев

    Илья Князев Администратор Команда форума

    Есть.
    А когда оно аппаратное оно ведется само по себе не ядрами? По сути аппаратное шифрование обозначает что процессор понимает (имеет набор) команд шифрования. Не более и не менее.
    У вас не может быть такого бюджета. 100 в лучшем случае, если конечно вы не медийные потоки тянете.
    Да. Используйте очереди (Queue).
    Если микротик один, можно напрямую через Secrets в PPP например. Можно через AAA.
    Стандарный набор правил антибрутфорса. Здесь можно посмотреть на примере SSH http://spw.ru/solutions/nastrojka_filtracii_trafika_na_mikrotik_chast_4/
     
  12. keks

    keks Новый участник

    Снова благодарности, Илья... )

    Я представлял ситуацию иначе, как наличие совершенно отдельной микросхемы (специализированного сопроцессора) для шифрования. Если речь,только о поддержке набора команд, то теперь понимаю точнее.
    Мультимедиа - это вряд ли, но исключать на 100% нельзя.
    Илья, если не секрет, а как у вас получается цифра в 100 Мбит ?
    Ведь возможны отдельные соединения по 10мбит, и практически постоянное соединение на 50 Мбит.
    Т.е. 50 Мбит - это уже половина указанной вами полосы. И 50 Мбит остается на 20 соединений, которые могут существовать одновременно? Разве мы не должны под каждое соединение тупо от резать кусок полосы?
    Или все это выдается динамически, сообразно реальному кол-ву пакетов данных попадающих в канал и подвергающихся шифрованию?
    Я бы исходил из пароноидального представления о нужной производительности девайса - простым суммированием, что бы потом просто не попасть в просак.
    Не совсем понял фразу.
    Насколько я понял:
    - либо мы принимаем весь трафик VPN (шифрование) на микротике, и авторизацию проверяем его же средствами
    (например, радиус или процедуры описанные вами выше - " ...можно напрямую через Secrets в PPP например. Можно через AAA.... ")
    - либо пропускаем весь трафик внутрь на VPN сервер в локальной сети, используем микротик только лишь для авторизации (сертификат/пароль )

    Я исходил из первого варианта задавая вопросы.
    Илья! у вас опыта значительно поболее...
    Можете дать совет как лучше реализовать эту подсистему с точки зрения взломостойкости - уж слишком не плодя девайсы, обеспечив максимальную простоту, надежность и несложное управление, не раздувая без надобности бюджет?
    Нужно сбалансированное решение средствами микротика(ов).

    Спасибо за ссылочку! прочту все статьи!

    Вопрос по антибрутфорсу RDP...
    А каким образом микротик "узнает", что пароль к терминалу не подошел?
     
  13. Илья Князев

    Илья Князев Администратор Команда форума

    Это больше для Cisco характерно.
    Тупо не должны. Нужно резать аккуратно и с умом. Оптимальнее в динамике. 100 мбит получается очень просто. В нормальной работе, если нет медиапотоков, канал используется процентов на 30 с редкими пиками до 100.
    Да, можно так
    Нет. Тогда авторизация тоже на внутреннем сервере.
    Для начала нарисовать схему и определить хотелки. На схеме в том числе обозначить используемые ОС и оборудование.
    А зачем ему узнавать? Он считает количество НОВЫХ подключений за время N с одного IP-адреса. Вся прелесть в том, что если вы пароль знаете оно у вас будет одно. А вот если подбираете, будут постоянные попытки новых подключений.
     
  14. keks

    keks Новый участник

    Приветствую, Илья...

    Подцеплю, сделанную "от руки" схему. Прошу прощения за качество, если есть вопросы, готов уточнить.

    Хотелки сводятся к тому, чтобы обеспечить компромисс между функциями реализованными на Микротике и реальными возможностями конкретной модели, так чтобы был запас по производительности.
    Необходимая функциональность описана выше для роутера Офиса 1.
    Что касается защиты - пока я представляю это как параноидально настроенный фаервол, работающий скрипт, обеспечивающий нечто подобное file2ban, защиту от DDOS. Что еще можно было бы реализовать для защиты от внешних атак?
    Готов прислушаться к вашим советам на основании вашего опыта, даже если дело не обойдется только одним Микротиком.
    Пока бюджет предусматривает CCR1009, еще один (напомню, что одна штука уже приобретена в Офис2), но готовы рассматривать CCR1016.
     

    Вложения:

    • Сеть-1.png
      Сеть-1.png
      Размер файла:
      94,3 КБ
      Просмотров:
      10
  15. Илья Князев

    Илья Князев Администратор Команда форума

    Вы действительно считаете что вас будут снаружи серьезно ломать? Для этого надо ставить IDS/IPS и подписываться на сигнатуры. И то 100% результата не получить. А 90% взломов сетей и утечки информации они изнутри идут.
    Защита от DDOS на конечном маршрутизаторе, это мягко говоря нереальная задача. Защита от DDOS тем эффективнее, чем ты ближе к нападающему.
    На 50 мбит трафика вам и 1009 с ОЧЕНЬ большим запасом.
     
  16. keks

    keks Новый участник

    Я так и думал... что речь пойдет о системе обнаружения вторжений и уязвимостей.... ) Но я не об этом.
    А о том, ЧТО МОЖНО БЫЛО БЫ ПО МАКСИМУМУ сделать именно на Микротике! Дабы использовать все возможности OS микротика.... )
    Что бы вы посоветовали?
    А на 100 мбит (это в перспективе)?
     
  17. Илья Князев

    Илья Князев Администратор Команда форума

    И на 100 тоже.
     
  18. keks

    keks Новый участник

    Илья! Добрый день!
    Программирую Микротик CCR1009....
    1. На период настройки работа шла через внешний интефейс (SFP), а интерфейс в локальную сеть был настроен, но временно отключен физически.
    После его подключения в сеть для интереса зашел в Quick Set.
    Увидел любопытную картинку, см. скриншот.
    Это бага или фича?
    Если локалку отключаем, картинка меняется на нормальную.
    Под локалку задействованы фейсы LAN1-4, а LAN5-8 - выключены.

    2. Вернусь к скрипту антибрутфорса по RDP.
    Вы рекомендуете перейти от цепочки Input к цепочке Forward и отслеживать порт 3389.
    Значит ли это что под действие этого правила попадет, скажем несколько пробросов, если они проброшены с нестандартных портов внешнего интерфейса, на порт 3389 на нескольких локальных адресах?
    Если это так, то было бы очень хорошо...
    В противном случае как эту связку нескольких правил модифицировать для работы не с одним, а несколькими RDP пробросами, чтобы не плодить кучу правил..? Посоветуйте пожалуйста...
     

    Вложения:

  19. Илья Князев

    Илья Князев Администратор Команда форума

    Quick Set это то, что на базовой конфигурации живет. Соответственно если вы хотите сделать свою - вам не туда ))
    Скажем так, в цепочку input этот трафик просто не попадает. Поэтому его там бесполезно ловить. Логика определения цепочки такая.
    1. Пакет приходит на интерфейс роутера.
    2. Обрабатывается Connection Tracker, Mangle prerouting и dst-nat
    3. Принимается решение об маршрутизации (Route decision).
    4. Если на этапе 3 адрес назначения пакета равен одному из адресов маршрутизатора - пакет попадает в input
    Если не равен и есть маршрут до адреса назначения (включая 0.0.0.0/0) пакет попадает в forward.
    Думаю теперь вы понимаете почему dst-nat срабатывает до принятия решения об маршрутизации.
    Да.
     
    Последнее редактирование: 1 авг 2016
  20. keks

    keks Новый участник

    Илья!.. не понятно... извиняюсь... Можно пояснее?

    Дело в том, что я понимал эту опцию, как "дайджест" текущих настроек, сделанных вручную. Типа эдакая справочная страничка, в которой можно наскоро, в одном месте поменять некоторые параметры.
    И эта же страничка используется для начальной настройки девайса.

    Просто сбивает с толку то, что в этой страничке вся информация как-то произвольно "распределилась" по фейсам. Совсем не так - как настроено вручную.
    Разве информация не должна повторять ту, что реально, руками пробита вручную в соответствующих разделах?
     
    Последнее редактирование: 1 авг 2016