מאמרים אחרונים

שתף בפייסבוק שיתוף בפייסבוק
RSS - מאמריםמאמרים
RSS - פורומיםפורומים
דווח למנהל דיווח למנהל
קישור לעמוד זה קישור לעמוד זה
עוד בקבוצת HT



ראוטר/Firewall מומלץ לעסק קטן-בינוני


   פורומים > HTPC ומחשוב > רשתות, IT ומחשוב
מחבר הודעה
Scanner
חבר פעיל מאוד
חבר פעיל מאוד

הצטרף בתאריך:
  Aug 26, 2010
הבעות תודה: 16
מספר הודעות: 452

 #1  נשלח: שבת 13/04/2019 19:14
ראוטר/Firewall מומלץ לעסק קטן-בינוני

היי,
צריך את עזרתכם פה...
מנסה למצוא פתרון לראוטר (משולב Firewall) שיספק ניתוב והגנה לעסק קטן.
הדרישות המיוחדות:

  • תמיכה ב-VLANים
  • תמיכה בשתי הזנות WAN (בזק והוט כרגע, ליתירות). במידה וזה מסבך יותר מדי, ניאלץ להסתפק בהחלפת ראוטר בזק/הוט ידנית בנפילת ספק תקשורת.
  • פחות מ-20 מחשבים סה"כ.
  • כ-50 מצלמות ב-VLAN ייעודי.
  • חיבור VPN לעובדים - כ-5 סה"כ.
  • הגנה על הרשת העסקית (כמובן).
  • קיימים כ-4 AP לטובת WIFI לעובדים (ללא חיבור למצלמות) - כך שאין צורך ב-WIFI בראוטר.


מצ"ב שרטוט המתאר את הרשת.

המליצו לי על checkpoint, sophos וכו' בעלות של כ-4-5 אש"ח - אני מרגיש שזה קצת Overkill לצרכים שלי...
על איזה פתרון הייתם ממליצים? מישהו התנסה עם פתרון למקרה דומה?

תודה מראש





נערך בפעם אחרונה על-ידי Scanner בתאריך א' 14/04/2019 0:34, נערך סך הכל פעם אחת
| פרופיל | שלח הודעה | חפש
eran405
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Feb 27, 2012
הבעות תודה: 394
מספר הודעות: 2178

 #2  נשלח: שבת 13/04/2019 20:05
Re: ראוטר/Firewall מומלץ לעסק קטן-בינוני

Scanner
·

edgerouter של ubiquiti כמו לדוגמא ה-ER-4 עונה לכל הדרישות שהבאת ולדעתי מומלץ בחום. שם לך שרק חלק מהדברים אפשר לקנפג בממשק הגרפי שלו ודברים יותר מתקדמים צריך לקנפג דרך ה-CLI, בתקווה זה לא בעיה.
| פרופיל | שלח הודעה | חפש
NegativeIQ (דן)
חבר מביא חבר
חבר מביא חבר

הצטרף בתאריך:
  Dec 13, 2005
הבעות תודה: 436
מספר הודעות: 3665

 #3  נשלח: א' 14/04/2019 12:01
Re: ראוטר/Firewall מומלץ לעסק קטן-בינוני

Scanner
כעיקרון אתה יכולת להשתמש בקושחת OpenWRT ואז אפשר לגרום כמעט לכל ראוטר פשוט (שנתמך ע"י הקושחה) לתמוך בזה אבל באופן דומה ל-ER-4 שערן הציע - אל תצפה לקונפיגורציה דרך UI נוח.
| פרופיל | שלח הודעה | חפש
mescaline (עדן שחף)
חבר פעיל במיוחד
חבר פעיל במיוחד

הצטרף בתאריך:
  Sep 27, 2018
הבעות תודה: 55
מספר הודעות: 713

 #4  נשלח: א' 14/04/2019 14:24

DSR500 dlink
draytek vigor 2860
יש אותם בגרסת N או AC ואת הDlink יש ללא WIFI כלל

לא הייתי סומך על כל הראוטרים קומבינות עם תכנה צד שלישי או ציוד צרכני ברמת ubiquiti, זה לא שאתה בבית ויש לך את כל הזמן שבעולם להגדיר אותם וכל תקלה יכול לעלות הרבה אם מדובר בעסק


נערך בפעם אחרונה על-ידי mescaline בתאריך א' 14/04/2019 19:57, נערך סך הכל פעם אחת
| פרופיל | שלח הודעה | חפש
eran405
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Feb 27, 2012
הבעות תודה: 394
מספר הודעות: 2178

 #5  נשלח: א' 14/04/2019 16:18

NegativeIQ כתב:
אבל באופן דומה ל-ER-4 שערן הציע - אל תצפה לקונפיגורציה דרך UI נוח.
·

אני לא מכיר את openwrt, אבל ל-edgeOS יש דווקא ממשק web מאד נח (לדעתי). עבדתי קודם עם dd-wrt וה-edgeOS הרבה יותר נח (לדעתי).
אישית, יש לי סריטה שאני מעדיף לעשות כמה שיותר מממשק CLI ולכן אחרי ה-wizard הראשוני ישר עברתי ל-CLI אבל עם הזמן אני מגלה עוד ועוד דברים שאפשר לעשות בצורה נוחה גם בממשק web.

כמובן יש דברים שאי אפשר לעשות בממשק web ואפשר לעשות רק ב-CLI. לדעתי את כל הדרישות שציינו בפוסט הראשי של שירשור זה, חוץ משרת ה-VPN, אפשר לעשות בצורה נוחה גם בממשק web.
למען השלמות אציין שיש אופציה להגדיר site-to-site VPN בממשק web וגם VPN מסוג PPTP שלא מומלץ כי אינו מאובטח. דרך ה-CLI אפשר להגדיר VPN של L2TP/IPSec או IKEv2 שמתאימים במקרה זה.

mescaline כתב:

לא הייתי סומך על כל הראוטרים קומבינות עם תכנה צד שלישי או ציוד צרכני ברמת ubiquiti, זה לא שאתה בבית ויש לך את כל הזמן שבעולם להגדיר אותם וכל תקלה יכול לעלות הרבה אם מדובר בעסק
·

הפוך דווקא ציוד של ubiquiti מתכוון לעסקים ונותני שירות (prosumers) והם בדיוק מכוונים לאנשים שלא יכולים להרשות לעצמם שום תקלה. כמובן אם תקנה ציוד שעולה פי 10 (פלוס למיטב הבנתי צריך גם לשלם דמי אחזקה/שירות שנתים או משהו), ברור שתקבל שירות ברמה אחרת. לדעתי בשביל רמת המחיר שלהם ה-edgerouters נותנים תמורה מצוינת.

את draytek אני לא מכיר באופן אישי אבל אכן שקלתי גם אותם לפי שהתחלתי עם ה-edgerouters ולפחות לפי חיפושים באינטרנט, draytek יותר מתאימים כציוד ביתי יחסית טוב (כולל קינפוג אולי יותר נח אבל מוגבל) ופחות לשוק ש-ubiquiti מכוונים אליו.

במקרה הספציפי הזה מאד יכול להיות שגם draytek אופציה לא רעה. openwrt נראה לי קצת פחות מתאים, אבל אם למי שמתחזק את התקשורת יש ניסיון עם openwrt זו כנראה אופציה מצויינת.
| פרופיל | שלח הודעה | חפש
NegativeIQ (דן)
חבר מביא חבר
חבר מביא חבר

הצטרף בתאריך:
  Dec 13, 2005
הבעות תודה: 436
מספר הודעות: 3665

 #6  נשלח: א' 14/04/2019 16:30

mescaline כתב:
DSR500 dlink
draytek vigor 2860
יש אותם בגרסת N או AC ואת הDךןמל יש ללא WIFI כלל

לא הייתי סומך על כל הראוטרים קומבינות עם תכנה צד שלישי או ציוד צרכני ברמת ubiquiti, זה לא שאתה בבית ויש לך את כל הזמן שבעולם להגדיר אותם וכל תקלה יכול לעלות הרבה אם מדובר בעסק

אם אתה חייב תמיכה אז תתכונן לשלם הרבה, אין מה לעשות. כנ"ל אם אתה לחלוטין לא Tech Savvy כי די בהגדרה ככל שהאפשרויות יותר גמישות ככה הקונפיגורציה יותר מורכבת. אין מה לעשות, אם צריך VLANs, VPN, Dual WAN ו-Firewall מותאם אז PnP זה לא יהיה.
| פרופיל | שלח הודעה | חפש
mescaline (עדן שחף)
חבר פעיל במיוחד
חבר פעיל במיוחד

הצטרף בתאריך:
  Sep 27, 2018
הבעות תודה: 55
מספר הודעות: 713

 #7  נשלח: א' 14/04/2019 19:59

לשלם למי תמיכה? על מה אתה מדבר

יש ל 2 החברות אחלה תמיכה

אצלי בעסק יש DSR500N שנרכש מאוקטביוס ויש תמיכה ברמה א.א.אמריקה ואין כלל מה להשוות ליוביקוויטי, לא הייתי מסתמך על שום דבר שלהם ברמת הביזנס בארץ היבואן שלהם זה בנאדם אחד בלי תמיכה בכלל
| פרופיל | שלח הודעה | חפש
sys_admin
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Jan 06, 2014

מיקום: גליל מערבי
הבעות תודה: 368
מספר הודעות: 1966

 #8  נשלח: א' 14/04/2019 21:50
Re: ראוטר/Firewall מומלץ לעסק קטן-בינוני

Scanner
·
אתה צריך לקחת בחשבון שבמוצרים קנייניים שמיועדים לעסקים קטנים, במוצרים כמו checkpoint, sophos , שהזכרת, יותר מתשעים אחוז מהמחיר אתה משלם לא על הברזלים ( חומרה ), אלה על תוכנה, שהיא מראש מאוד בעייתית וגם על מקדמי מחירות של המוצרים אלה. כך יוצא שהמוצר הסופי כזה הוא חלש ביותר מבחינת חומרה. דוגמה מצויינת לכך, היא אותו D-Link DSR-500N , שגם הוזכר כאן בשירשור זה, שלמרות שמדובר על מוצר שמבוסס על מעבד עתיק וחלש Cavium CN5010, במהירות של 300MHZ, שכבר לא ניתן למצוא אפילו בנתבים ביתיים הכי זולים, עדיין מנסים למכור אותו במחיר של יותר מאלף ש''ח. על התוכנה שלו אפילו לא כדאי לדבר.
אופצייה טובה בשביל לקבל תמורה היגיונית לכסף שלך, היא להשתמש במערכת מחשב משובצת X64 תקנית, למשל על בסיס של I7 של INTEL, שגם תומך בהעצת חומרה להצפנה של VPN ולהתקין על מערכת זו תוכנה חינמית, למשל את PFSENSE . כך באותו המחיר של כמה אלפי שקלים בודדים אתה מקבל מערכת אמינה, בעלת ביצועים מתקדמים, שמקבלת עדכוני אבטחה בצורה סדירה ובעלת גמישות כזו שלא קיימת באף מערכת קניינית. בנוסף לצרכים שפירטת מערכת זו מתפקדת גם כ IPS ו IDS וגם כשרת RADIUS שנותן לך אפשרות בין היתר לעבוד עם רשת אלחוטית מאובטחת באמת ולא ברמה של רשת ביתית. כך גם את האבטחה של הנקודות גישה שלך אתה יכול לחבר לשרת RADIUS זה. למערכת זו אפשרויות ניהול רבות, מממשק וובי ועד ניהול קובץ תצורה XML. כמובן זה נותן גם אפשרויות של סטנדרטיזצייה, גיבויי תצורה ומיגרצייה במקרה הצורך.
| פרופיל | שלח הודעה | חפש
Scanner
חבר פעיל מאוד
חבר פעיל מאוד

הצטרף בתאריך:
  Aug 26, 2010
הבעות תודה: 16
מספר הודעות: 452

 #9  נשלח: א' 14/04/2019 22:07

תודה רבה - אני אעשה עוד קצת שיעורי בית.
לפי התגובות, אני נוטה ל-ER4, נשמע שזה יהיה פתרון מעולה.
לגבי הנגיעה ב-CLI, לא חושש מזה כל כך. יש לי היכרות מעמיקה עם סיסקו (CCNP) אבל מעט זמן לתחזק את הראוטר אחרי הגדרה ראשונית. כל עוד כל הפונקציות למעט ה-VPN מוגדרות דרך ה-GUI, נשמע קליל.

שוב תודה
| פרופיל | שלח הודעה | חפש
eran405
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Feb 27, 2012
הבעות תודה: 394
מספר הודעות: 2178

 #10  נשלח: א' 14/04/2019 23:18

Scanner
·

א. אני חושב ש-mescaline צודק לגבי היבואן בארץ, שלמיטב ידעתי זה דיפול. לפני שהזמנתי את ה-edgerouter הראשון שלי מחו"ל ניסיתי לדבר איתם והם היו לחלוטין לא לעניין (לנסח זאת בצורה עדינה). אם קריטי לך תמיכה מקומית מיבואן נורמלי זו כנראה לא אופציה טובה.

התמיכה שיש ל-Ubiquiti שאני מרוצה ממנה זה בפורמים שלהם. בגבולות הטעם הטוב עונים שם מהר ומאד עדיבים ומנסים לעזור גם ב"שאלות תם" לגבי קונפיגורציה בסיסית או מתקדמת. למיטב הבנתי יש להם גם ערוצי תמיכה יותר ישירים אבל למזלי לא הייתי צריך תמיכה מעבר לפורמים שלהם.

ב. הם הוציאו גירסת קושחה 2.0.0 ועכשיו 2.0.1 שהינם עדכון מאד רציני אבל לצערי, לפחות לבינתיים בעייתיות לפחות בשימושים מסיומים. אמנם על ה-ER-4 יש פחות בעיות (על ה-ER-X אלה גירסאות מאד בעייתיות שגם הורדו מעמוד ההורדות שלהם), עדיין הייתי נמנע מהם עד שתראה בפורמים תגובות יותר חיוביות. לבינתיים הם מתחזקים באופן שותף גם את גירסה 1 של הקושחה (כרגע 1.10.9 ה"יציב" הכי עדכני).

לפי התגובות הנזעמות בפורמים שלהם, אנשים מצפים ליותר טוב מהם (כנראה בגלל ניסיון העבר), ובתקווה הם יצליחו להתנהג יותר טוב בעתיד. אין לי ניסיון עם ציוד אחר לשוק העסקי אבל לעומת ציוד לשוק הביתי זה עדיין ליגה אחרת (לטובה).

ג. חשוב לי לציין, אם זה לא היה ברור קודם, שאני עובד כמעט אך ורק מה-CLI (וגם דרך ה-CLI אישית יצא לי לבצע רק חלק מהדברים שביקשת). בדקתי פעם נוספת ובתיאוריה אפשר לעשות את כל מה שביקשת דרך ממשק ה-web, חוץ מה-VPN כמובן.
לדעתי במקרה שלך, גם אם תצטרך עוד כמה דברים מה-CLI לא תהיה לך בעיה.
| פרופיל | שלח הודעה | חפש
Perceptor
חבר פעיל מאוד
חבר פעיל מאוד

הצטרף בתאריך:
  Sep 23, 2013
הבעות תודה: 26
מספר הודעות: 373

 #11  נשלח: א' 14/04/2019 23:42

חייב לציין שאני הזמנתי ER4 מאוד מרוצה מימנו ההתקנה הראשונית פשוטה אבל CLI עולם שלם שווה כל שקל
| פרופיל | שלח הודעה | חפש
Scanner
חבר פעיל מאוד
חבר פעיל מאוד

הצטרף בתאריך:
  Aug 26, 2010
הבעות תודה: 16
מספר הודעות: 452

 #12  נשלח: ב' 06/05/2019 7:42

אז הגיע ה-ER4 ולצערי ההתקנה לא חלקה.
משום מה, בחיבור לראוטר בזק (שהוגדר כ-Bridge), ממשק ה-pppoe לא מצליח להתחבר.
כמובן שוידאתי שמדובר בממשק הנכון הראוטר וכי פרטי ההתחברות נכונים.
מישהו נתקל?
ראוטר בזק מתחבר בצורה תקינה (כשמבוטל מצב Bridge, כמובן)
| פרופיל | שלח הודעה | חפש
sys_admin
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Jan 06, 2014

מיקום: גליל מערבי
הבעות תודה: 368
מספר הודעות: 1966

 #13  נשלח: ב' 06/05/2019 7:56

הבדיקה הבסיסית והפשוטה שניתן לבצע בשביל להבין היכן הבעיה נמצאת, היא בשלב שמודם מוגדר כ BRIDGE מחברים עליו מחשב אחד בודד ומגדירים בו חייגן PPPOE. אם גם המחשב לא מצליח לחייג, אז הבעייה היא בהגדרות המודם, אם כן עובד החייגן במחשב, אז הבעייה היא בסבונייה המצחיקה של UBNT .
| פרופיל | שלח הודעה | חפש
eran405
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Feb 27, 2012
הבעות תודה: 394
מספר הודעות: 2178

 #14  נשלח: ב' 06/05/2019 12:58

Scanner
·

כמו ש-sys_admin הציע, מומלץ דבר ראשון לוודא שחייגן שמוגדר במכשיר אחר (נגיד מחשב) מתחבר כאשר המודם/ראוטר מגודר כ-bridge. אם מחשב/מכשיר אחר מצליח להתחבר הבעיה בהגדרות של ה-ER-4. תשובות כמו "סבונייה המצחיקה של UBNT" הם לא לעניין, לא קונסטרוקטיביות ולא מכבדות את הכותב.

לגבי ההגדרות של ה-ER-4, אני ממליץ בחום:

א. לשדרג/לשנמך (אם צריך) לגירסת קושחא עדכנית ויציבה. לדעתי עדיף 1.10.9. עדיין יש בעיות עם גירסאות 2.0, על אף שהבעיות היותר קריטיות הם על הדגמים שמוזכרים כאן.

שימוש בקושחה 1.10.9 (ושדרוג לגיסאות 1.10 חדשות אם יצאו כאלה) אמור להיות הכי בטוח. לשדרג לגירסאות 2.0 הייתי מחכה לפחות ל-2.1 וגם אז בודק מה התגובות בפורמים שלהם (ואם זה מעניין אותך יש beta כאן).

ב. להשתמש ב-Basic Setup Wizard מממשק ה-web ושם לבחור pppoe ולקנפג בהתאם. אם לא עשית זאת או עשית זאת בגירסת קושחה אחרת, מומלץ לעשות שוב.

אם עדיין יש בעיות:

מה המצב של חיבור ה-pppoe? האם הוא מתחבר ומקבל כתובת? אפשר לבדוק זאת גם ב-Dashboard בממשק web או דרך ה-CLI בעזרת "show interfaces" או לקבל יותר פרטים עם פקודה כמו "show interfaces pppoe pppoe0" (תשתמש ב-tab לקבל השלמות + עזרה אם הפקודה לא מדוייקת).

במידה וה-pppoe לא מתחבר, מה הפלט של פקודת "show interfaces pppoe pppoe0 log" מה-CLI? (שוב במידה והפקודה לא מדיוקת תשתמש ב-tab לקבל השלמות + עזרה). אם אתה משתף פה (או במקום פומבי אחר) את ה-log תקפיד לצנזר פרטים אישיים כגון פרטי התחברות ו/או כתובות IP חיצוניות (אם יש).
| פרופיל | שלח הודעה | חפש
כל הזמנים הם שעון קיץ - ישראל (GMT+3) הצג הודעות קודמות:    
פורומים > רשתות, IT ומחשוב


  
    שם משתמש:
נתוני כניסה לכל אתרי HT:

  סיסמא:
 

  


 | 

קפוץ אל: 
לא ניתן לשלוח הודעות בפורום זה
לא ניתן להגיב להודעות בפורום זה
לא ניתן לערוך את הודעותיך בפורום זה
לא ניתן למחוק את הודעותיך בפורום זה
לא ניתן להצביע לסקרים בפורום זה
לא ניתן לצרף קבצים בפורום זה
לא ניתן להוריד קבצים בפורום זה

תקנון / תנאי השימוש באתר צור קשר / contact us כל הזכויות שמורות לקבוצת ht