מחפש נתב ביתי שיודע להקים חיבור VPN S2S

פורום רשתות, IT ומחשוב כללי - רשתות, ראוטרים, מחשבים ניידים, אביזרים וכו'.
moshik008
חבר פעיל מאוד
חבר פעיל מאוד
הודעות: 306
הצטרף: אוגוסט 2006
נתן תודות: 0
קיבל תודות: 10 פעמים

נושא שלא נקרא #16 

יש לי פורטיגייט 60D למכירה - 700 ש״ח אם אתה מעוניין.
אם אתה לא מצליח להבחין בין טוב לרע מומלץ לעבור לרזולוציה טבעית.

sys_admin
חבר מביא חבר
חבר מביא חבר
הודעות: 3669
הצטרף: ינואר 2014
מיקום: גליל מערבי
נתן תודות: 9 פעמים
קיבל תודות: 707 פעמים

נושא שלא נקרא #17 

יש לו כבר סבונייה אחת כזו, רק יותר חדשה במשרד, כזו שספק תשתיות דחף לו אותה ושהוא צריך להיפתר ממנה ואתה חושב שבמקום זה הוא עכשיו ירכוש עוד אחת ישנה יד שנייה. :lol:

Nemesis
חבר מביא חבר
חבר מביא חבר
הודעות: 4532
הצטרף: יוני 2005
נתן תודות: 30 פעמים
קיבל תודות: 453 פעמים

נושא שלא נקרא #18 

סתם מתוך סקרנות, מה רע במכשירים שלהם? למשל ה- 100D?

sys_admin
חבר מביא חבר
חבר מביא חבר
הודעות: 3669
הצטרף: ינואר 2014
מיקום: גליל מערבי
נתן תודות: 9 פעמים
קיבל תודות: 707 פעמים

נושא שלא נקרא #19 

למשל ה- 100D, הוא לפי המפרט תומך עד מהירות של 190M . וזה כתוב במפרט עם סימן קטן של * על יד זה. ומי שמכיר את הניסוחים של מפרטים לצורך הפירסום מבין מזה זה אומר. ובשפה הפשוטה: אפשר לקבל בחולום מהירות של 190M במוצר זה. במקביל לזה אותו מכשיר עתיק 100D מתומחר בישראל גם במכירים של 10000 ש''ח. למשל כאן :
https://www.vipsystems.co.il/product/נת ... ap&aff_a=1
כמובן שבחו''ל כחדש הוא נמכר בשליש מזה, שזה גם מחיר לא סביר לגרוטאה זו, שגם לא רק הביצועים שלה הם לא מתאימים לצרכים של היום, אלה גם הביצועים שלה בכלל לא עמודים בסטנדרטים לא רק של דרישות עסקית, אלה אפילו של ביתיות ( שימוש TORRENT למשל באחד המחשבים ברשת ביתית יכול להביא את המכשיר זה למצב של קיפאון מוחלט ). גם התמיכה בפרוטוקולים השונים במכשירים אלה היא כל כך עלובה עד שזה לא שמיש לרוב המשימות. זו הסיבה שבשוק יד שנייה הם נמכרים במשקל שלהם, למשל כאן במחיר של 235$ :
https://www.ebay.com/itm/Fortinet-FG-10 ... ctupt=true
למשל אותו 60D שמספיק לחיבור אינטרנט של עד 35M , הוא נמכר ביד שניים במחיר של 81$ :
https://www.ebay.com/itm/Fortinet-FortW ... OSwqaBdCCR~
שגם זה בשביל מוצג זה יכול להיות שווה רק לצורך אוסף מוזאוני כלשהוא או לצורך תערוכת בלאי.

ועכשיו לשאלה, אז למה ספקיות תשתיות תקשורת בכל זאת מנסים לדחוף את הגרוטאות פח מסוג זה לעסקים זעירים שלא מבינים על מה מדובר. והתשובה היא די פשוטה. הם גם מרוויחים על זה יפה מאוד וגם הממשק ניהול של מוצגים אלה תוכנן ונועד לשימוש רק של עקרות בית נואשות ובגלל זה המוקדנים של הספקיות יכולים להגדיר אותם מבלי להבין כלום בתקשורת, אלה רק ללחוץ על ציורים צבעוניים. בידיוק כפי שילדים בגן עושים את זה.

PayneBack3
חבר פעיל מאוד
חבר פעיל מאוד
הודעות: 419
הצטרף: פברואר 2011
נתן תודות: 90 פעמים
קיבל תודות: 47 פעמים

נושא שלא נקרא #20 

@sys_admin
·

אני לא בא לסנגר למוצר אבל קצת הגזמת,
ה * שיש לך במהירות הוא מאחר והכוונה היא שזו המהירות ללא הפעלה של UTM (רישוי נפרד), עם UTM המהירות יורדת,
תודה לאל שיש לנו שוק חופשי וכל אחד יכול למכור באיזה מחיר שהוא רוצה, אז אם מישהו מפרסם באתר שהוא מוכר גם במיליון זה לא באמת משנה לאף אחד, כמו שהמחירים בזאפ לא משקפים את המציאות פה אותו הדבר,
ספקיות תקשורת דוחפות את המוצרים האלו כי נוח יותר לעבוד איתם ולא צריך להיות פרופסור כדי להבין אותם.

Nemesis
חבר מביא חבר
חבר מביא חבר
הודעות: 4532
הצטרף: יוני 2005
נתן תודות: 30 פעמים
קיבל תודות: 453 פעמים

נושא שלא נקרא #21 

sys_admin כתב:למשל ה- 100D, הוא לפי המפרט תומך עד מהירות של 190M . וזה כתוב במפרט עם סימן קטן של * על יד זה. ומי שמכיר את הניסוחים של מפרטים לצורך הפירסום מבין מזה זה אומר. ובשפה הפשוטה: אפשר לקבל בחולום מהירות של 190M במוצר זה. במקביל לזה אותו מכשיר עתיק 100D מתומחר בישראל גם במכירים של 10000 ש''ח. למשל כאן :
https://www.vipsystems.co.il/product/נת ... ap&aff_a=1
כמובן שבחו''ל כחדש הוא נמכר בשליש מזה, שזה גם מחיר לא סביר לגרוטאה זו, שגם לא רק הביצועים שלה הם לא מתאימים לצרכים של היום, אלה גם הביצועים שלה בכלל לא עמודים בסטנדרטים לא רק של דרישות עסקית, אלה אפילו של ביתיות ( שימוש TORRENT למשל באחד המחשבים ברשת ביתית יכול להביא את המכשיר זה למצב של קיפאון מוחלט ). גם התמיכה בפרוטוקולים השונים במכשירים אלה היא כל כך עלובה עד שזה לא שמיש לרוב המשימות. זו הסיבה שבשוק יד שנייה הם נמכרים במשקל שלהם, למשל כאן במחיר של 235$ :
https://www.ebay.com/itm/Fortinet-FG-10 ... ctupt=true
למשל אותו 60D שמספיק לחיבור אינטרנט של עד 35M , הוא נמכר ביד שניים במחיר של 81$ :
https://www.ebay.com/itm/Fortinet-FortW ... OSwqaBdCCR~
שגם זה בשביל מוצג זה יכול להיות שווה רק לצורך אוסף מוזאוני כלשהוא או לצורך תערוכת בלאי.

ועכשיו לשאלה, אז למה ספקיות תשתיות תקשורת בכל זאת מנסים לדחוף את הגרוטאות פח מסוג זה לעסקים זעירים שלא מבינים על מה מדובר. והתשובה היא די פשוטה. הם גם מרוויחים על זה יפה מאוד וגם הממשק ניהול של מוצגים אלה תוכנן ונועד לשימוש רק של עקרות בית נואשות ובגלל זה המוקדנים של הספקיות יכולים להגדיר אותם מבלי להבין כלום בתקשורת, אלה רק ללחוץ על ציורים צבעוניים. בידיוק כפי שילדים בגן עושים את זה.
...
·

לא יודע, בפועל זה לא ממש מסתדר עם המציאות.
קודם כל, בוא לא נשכח שמדובר במכשיר בן 6 שנים ולא במכשיר מודרני. הוא עלה בזמנו קצת פחות מאשר הסכום אותו ציינת, אבל החלק הכי מהותי בעלות שלו הוא שירות התוכנה והעדכונים עבור ה- UTM שכלול במחיר. רישוי של ה-UTM שלהם לשנתיים וחצי עולה פחות או יותר כמו מכשיר חדש. שירות 24x7 כמובן.

בכל מקרה, אצלנו הוא משמש ארגון של 60 עובדים על קו של 100 מגה סימטרי. יש Site 2 Site VPN פעיל שעליו עובר גיבוי לאתר נוסף, משתמשי VPN פעילים, שרתים שנותנים שירותים ללקוחות חוץ ב- DMZ ושרת דואר On Premise. כמובן שאף אחד לא משתמש כאן בטורנטים, אך אין בעיה למצות את כל רוחב הפס. ניצול המעבד מרחף בין 10-25% בלבד. ללא IPS.

באופן אישי לא כל כך משנה לי מכשיר כזה או אחר. לפני כן היה לנו Check Point שנים רבות ואין לנו אהבה מיוחדת ליצרן כזה או אחר. אבל מה שאנחנו רואים אצלנו קצת מתנגש עם הדברים שאתה אומר. משרת אותנו 6 שנים באמינות ויציבות מופתית.

sys_admin
חבר מביא חבר
חבר מביא חבר
הודעות: 3669
הצטרף: ינואר 2014
מיקום: גליל מערבי
נתן תודות: 9 פעמים
קיבל תודות: 707 פעמים

נושא שלא נקרא #22 

PayneBack3 כתב:@sys_admin
·

אני לא בא לסנגר למוצר אבל קצת הגזמת,
ה * שיש לך במהירות הוא מאחר והכוונה היא שזו המהירות ללא הפעלה של UTM (רישוי נפרד), עם UTM המהירות יורדת,
תודה לאל שיש לנו שוק חופשי וכל אחד יכול למכור באיזה מחיר שהוא רוצה, אז אם מישהו מפרסם באתר שהוא מוכר גם במיליון זה לא באמת משנה לאף אחד, כמו שהמחירים בזאפ לא משקפים את המציאות פה אותו הדבר,
ספקיות תקשורת דוחפות את המוצרים האלו כי נוח יותר לעבוד איתם ולא צריך להיות פרופסור כדי להבין אותם.
...
·
ללא שפעילים את UTM, והגנות נוספות, הפונקציונליות של מוצג זה הופכת זהה לנתב ביתי אחר שנמכר חדש בחנות שכונתית ב 350 ש''ח עם אחריות לשנה, עם תמיכה מפרוטוקולים חדשים יותר ועם ממשקי WIFI בתקן לא מהתקופה של מנדט בריטי, אלה של מה שיש לנו כרגע.

כמובן ששוק הוא חופשי וכל אחד צריך לחשוב לבד מה ובכמה הוא מוכר ורוכש, אבל זה לא אומר שמומלץ לנסות לעבוד על אלה שלא מבינים כלום או לא מודעים למה שקיים סביב.

ובקשר לספקי תקשורת. מה שבטוח זה לא שמעניין אותם, אם נוח או לא לעבוד עם מוצגים אלה ויתר מזה, גם כל דבר שהלקוח יבקש מהם, שקשור למוצג זה, ושלא מבצעים אותו על ידי לחיצה אחת על ציור צבעוני, הספקים יגידו שהם לא תומכים בזה, עוד לפני שהם שמעו את ההסבר של הלקוח, וזה אפילו ולמרות שיכול להיות שהבקשה של לקוח ניתנת לביצוע בקלות עם מוצג זה בצורה טריוויאלית לגמרי, בצורה שגם מתועדת בהוראות הפעלה של מוצג זה, כבר בעמוד מס' שתיים. ובשר לפרופסורה או דוקטורט, דווקא בשביל לפתור בעיות שנוצרות בציוד פח כזה, צריך יותר ידע ויכולות אנליטיות מאשר לזהות בעיות בציוד שקיימים לו מנגנוני דיאגנוסטיקה ו DEBUG תקניים והיגיוניים.

eran405
אחראי תחום רשתות
אחראי תחום רשתות
הודעות: 3388
הצטרף: פברואר 2012
נתן תודות: 380 פעמים
קיבל תודות: 790 פעמים

Re: מחפש נתב ביתי שיודע להקים חיבור VPN S2S

נושא שלא נקרא #23 

Itsik כתב:היי,

עובר לבית חדש ביישוב מרוחק ממקום עבודתי בת"א מה שיביא לצורך בעבודה מהבית בחלק מימות השבוע.

בכדי להקל, אני רוצה לרכוש נתב שיתמוך בהקמת VPN בתצורת Site-toSite לפיירוול שיש בעבודה של Fortigate.

המודם והתשתית יהיו ככל הנראה של בזק, על הWIFI אמונה מערכת VELOP של לינקסיס.

אין באמת תקציב מוגדר, לא חושב שצריך משהו בסדר גודל של אנטרפרייז.
בבית יהיה גם סוויץ' מנוהל(שיספוג את תעבורת הרשת הפנימית), מצלמות, בית חכם(ZWAVE), ממירים, מגברים ועוד כל מיני צרכני רשת.

תודה
...
עוד אופציה שאתה יכול לשקול זה edgerouter שתומך ב-site-to-site בתצורות שונות (ראה גם לדוגמא כאן). כמובן שללא קשר לציוד שאתה בוחר, במיוחד אם אתה קונה ציוד במיוחד בשביל זה, כדאי לוודא קודם מול העבודה בדיוק באיזה site-to-site ואיזה פרמטרים הם תומכים ולוודא שהציוד שאתה קונה תומך בזה.

האופציה הכי בסיסית ל-edgerouter היא ה-ER-X שבנוסף יש לו גם סוויץ חכם מובנה של 5 פורטים (רק 4 פורטים יהיו פנויים לך בהנחה שאתה משתמש בו כראוטר ופורט אחד הוא ה-WAN), תומך בהפרדת רשתות שציינת וצרכים מתקדמים אחרים. יש כמובן עוד דגמים רבים כולל דגמים יותר חזקים ללא הסוויץ המובנה (נגיד ER4) או דגמים עם יותר פורטים (נגיד ER-10x או ER-12).

שם לב שכל ה-edgerouterים הם ללא אלחוטי בכלל אבל אם אני מבין נכון יש לך velop ובאופן מפתיע לטובה נראה כמו שאפשר להפוך אותו למצב bridge ללא יותר מידי מגבלות - אני מסתמך על המידע של linksys כאן (לדעתי ה-velop לא תומך ב-vlans אז לא תוכל לעשות לדוגמא guest network איתו אבל זו מגבלה של פתרונות mesh ולא של הראוטר; אם אתה קונה ציוד אלחוטי חדש תשקול ציוד יותר גמיש כגון Unifi).

amdr1
חבר פעיל במיוחד
חבר פעיל במיוחד
הודעות: 632
הצטרף: מאי 2013
נתן תודות: 41 פעמים
קיבל תודות: 48 פעמים

נושא שלא נקרא #24 

TL-ER604W פתרון זול לצורך ביתי.

https://emulator.tp-link.com/TL-ER604W/ ... /Index.htm

NegativeIQ
חבר מביא חבר
חבר מביא חבר
הודעות: 4423
הצטרף: דצמבר 2005
נתן תודות: 11 פעמים
קיבל תודות: 570 פעמים

נושא שלא נקרא #25 

אם יש לך כבר WRT1900ACS תתקין עליו OpenWRT ועל זה OpenVPN, קצת קונפיגורציה וזהו. זה אחד הראוטרים הכי טובים שיש והוא יעבוד יותר טוב מרוב הראוטרים שמגיעים עם תמיכה מובנית ב-VPN. לקנות משהו נוסף זאת זריקת כסף.

sys_admin
חבר מביא חבר
חבר מביא חבר
הודעות: 3669
הצטרף: ינואר 2014
מיקום: גליל מערבי
נתן תודות: 9 פעמים
קיבל תודות: 707 פעמים

נושא שלא נקרא #26 

NegativeIQ כתב:אם יש לך כבר WRT1900ACS תתקין עליו OpenWRT ועל זה OpenVPN, קצת קונפיגורציה וזהו. זה אחד הראוטרים הכי טובים שיש והוא יעבוד יותר טוב מרוב הראוטרים שמגיעים עם תמיכה מובנית ב-VPN. לקנות משהו נוסף זאת זריקת כסף.
...
·
זה באמת הפתרון הטוב והזול לשימוש הביתי וגם אפילו לשימוש לעסק זעיר. במיוחד שהנתב זה כבר קיים לו. אבל, הדיון הזה עוסק בנושא של פתרון לסוגייה של Site To Site VPN ולטנגו הזה צריכים שניים. והבעיה היא שהסבונייה של פורטיגייט שקיימת לפותח השירשור במשרד לא רק שלא יודעת לרקוד את הטנגו הזה ( לעבוד בפרוטוקול של OpenVPN ), אלה שחוץ משאר הבעיות שלה, גם גוררת את שני הרגליים שלה אפילו בריקודי דבקה שהיא כן מנסה לרקוד ( ב L2TP IPSEC ) . כך שאם פותח השרשור לא מתכוון להחליף את הפורטיגייט שקיים לו במשהוא יותר היגיוני, הוא לא יוכל ליישם את החיבור עם OpenVPN למשרד, אלה שיצטרך להתמודד עם האפשרויות שזמינות לו במצב זה.

ag43
חבר ותיק
חבר ותיק
הודעות: 2224
הצטרף: אוגוסט 2008
נתן תודות: 49 פעמים
קיבל תודות: 206 פעמים

נושא שלא נקרא #27 

אם מדובר על מחשב אחד למה לא להשתמש בSSL VPN ולסגור עניין?
אם אתה מתכנן להשתמש בפריוריטי תשכח מקליינט מקומי. או WEBי או טרמינל למקום העבודה. הקליינט הארור שלהם קורס אם הוא מתנתק מהרשת ליותר מכמה אלפיות שניה מה שהגיוני מאוד שיקרה על VPN של חיבור בזק ביתי.


אגב הפורטי שיש לי בעבודה עובד יופי, בין השאר עם IPSEC.

rm1
חבר ותיק
חבר ותיק
הודעות: 1289
הצטרף: מרץ 2013
נתן תודות: 6 פעמים
קיבל תודות: 144 פעמים

נושא שלא נקרא #28 

My two cents:
אם כל השימוש שלך זה לחבר את הנייד לרשת הארגונית ואתה מתעצל להפעיל את ה VPN בנייד ורוצה S2S
אז עדיף מבחינת הבטחת מידע ופשטות בהגדרות הרשת הביתית (לא לקנפג VLAN ולמי מותר להשתמש ב S2S ולמי אין גישה)
פשוט לחבר נתב נוסף ייעודי שמריץ openwrt או Ubiquiti או MikroTik ואליו להריץ את S2S ולחבר את הנייד.

NegativeIQ
חבר מביא חבר
חבר מביא חבר
הודעות: 4423
הצטרף: דצמבר 2005
נתן תודות: 11 פעמים
קיבל תודות: 570 פעמים

נושא שלא נקרא #29 

sys_admin כתב:
...
...
·
זה באמת הפתרון הטוב והזול לשימוש הביתי וגם אפילו לשימוש לעסק זעיר. במיוחד שהנתב זה כבר קיים לו. אבל, הדיון הזה עוסק בנושא של פתרון לסוגייה של Site To Site VPN ולטנגו הזה צריכים שניים. והבעיה היא שהסבונייה של פורטיגייט שקיימת לפותח השירשור במשרד לא רק שלא יודעת לרקוד את הטנגו הזה ( לעבוד בפרוטוקול של OpenVPN ), אלה שחוץ משאר הבעיות שלה, גם גוררת את שני הרגליים שלה אפילו בריקודי דבקה שהיא כן מנסה לרקוד ( ב L2TP IPSEC ) . כך שאם פותח השרשור לא מתכוון להחליף את הפורטיגייט שקיים לו במשהוא יותר היגיוני, הוא לא יוכל ליישם את החיבור עם OpenVPN למשרד, אלה שיצטרך להתמודד עם האפשרויות שזמינות לו במצב זה.
...
גם אז זה בזבוז להוציא כסף על ראוטר חדש כשיש את ה-WRT1900. כעיקרון OpenWRT תומך ב-VPN מעל IPSEC בלי בעיה (לא ניסיתי אישית אבל זה מתועד לעומק) וספקי אינטרנט בארץ לא מסננים את זה לפי מה שידוע לי.
לגבי הפורטינט - ספציפית לגבי החברה הזאת פחות הייתי סומך על חברת אבטחה שגילו במוצר שלה Backdoor, אבל באופן כללי יש משהו בזה שאם כבר שמת מוצר אבטחה ברשת המשרדית שלך אז זה קצת בעייתי לעשות משם S2S לרשת שמחוברת לאינטרנט דרך ראוטר "רגיל" - אתה יוצר בעצם חור די רציני כי אם איזה Malware תקף את המחשב שלך בבית הוא יכול לעבור לתוך הרשת המשרדית דרך ה-VPN ובעצם אתה מאבד את ההגנה שמוצר האבטחה היה אמור לתת לך.

שלח תגובה

חזור אל “רשתות, אינטרנט ו- Fiber”