Solutii VPN in Romania

Datele problemei :
1. Se doreste interconectarea unui numar mare (>150) de locatii imprastiate pe o arie geografica mare(Romania) .
2. Se doreste conectarea prin VPN (neaparat) la un punct central. Solutia de VPN oferita de Win2kServer iese din discutie.
3. NU se doreste folosirea unei solutii existente de VPN in piata de telecom (furnizata de diversi ISP).

Solutii ?!:

1. Exista solutii de conectare (furnizate si in Romania , foarte important ) bazate pe platforme embedded ? (computere specializate in routing , VPN , tunneling , NAT , etc) .
2. Se doreste existenta facilitatilor de genul : update firmware , facilitati firewall customizabil "la singe" , TCO rezonabil , rapoarte trafic , reset la buton , administrare remote (htttp, https ,etc).

Astept sugestiile voastre . Cei care au experienta cu asemenea chestiuni sunt invitati sa isi exprime opiniile  .

Edited by xman2000, 02 December 2004 - 11:03.

Exista 2 producatori mari in domeniu: Nortel si Cisco. Ambii au produse care sa iti satisfaca necesitatile.
presupun ca discutam de VPN site-to-site, da ?

P.S. sa inteleg ca vreti sa cumparati, configurati, implementati tot ? no 3rd party ?

PreTXT, on Dec 2 2004, 11:08, said:

Eu ma gindeam si la o solutie in genul :
1 . m0n0wall ( http://m0n0.ch/wall/ ) : platforma embedded + software customizat pe scop (server comunicatie : NAT, VPN, etc) sau
2. Checkpoint ( www.checkpoint.com ) : VPN-1 . (OmnilogicBGS , Provision ,Gecad).
3. Nortel + Cisco .

Problema de 3rd party la implementare se pune doar la nivelul de asistenta in alegerea solutiei , asigurare service si a unui demo de configurare . Discutam despre o solutie centralizata a unor tunele de VPN deschise peste infrastructura ISP-urilor din Romania.

m0n0wall nu as recomanda la dimensiunile astea ... din considerente practice si economice.
alegerea intre Checkpoint, Nortel si Cisco se rezuma la urmatoarea:

- vrei un FW care sa poata fi VPN terminator ? alegi Checkpoint
- vrei un VPN Concentrator care sa aiba FW integrat ? alegi Nortel, Cisco

mai exista si alta varianta, dar trebuie sa fii un pic open-mind:
http://h18004.www1.h...soft/ISAserver/
http://www.celestix....ts/isa/skus.htm

care este traficul estimat ? ce fel de date vreti sa transportati ?

ZyWALL100 - suporta 100 conexiuni VPN, firewall, DMZ

@luke:toate stiu asta ... e un minim.
cat despre nr. de conexiuni ... Contivity 5000 de la Nortel stie de 5000 de tunele simultan; Cisco 3080 stie de 10000 ... nu e relevant. trebuie sa ai toate datele pana cand sa iei o decizie / recomanzi .

http://www.nortelnet...s/01/contivity/
http://www.cisco.com...comparison.html

@PreTXT : ISA Server deja scoate peri albi (incl. 2004) . Crede-ma ca e un cosmar la ceea ce se intimpla cu clientii(locatiile) care se conecteaza pe VPN . Si e bug de Microsoft (recunoscut).

Alte considerente :
--> datele ce vor fi transportate sunt "sensitive" (de ce vrem VPN ?  :D ) ;
--> pina acum infrastructura se descurca (mai greu ) fara HW dedicat , dar vrem un pas inainte ;
--> cantitatea nu e mare : cazurile extreme (<10/an) pot sa genereze trafic de 200-300 MB/zi .
-->m0n0wall pica (pe considerente de suport , dezvoltare ulterioara; nu zic ca nu e bun ) ; dupa cum ai observat am zis ca o solutie "in genul ...." .
--> Celestix sunt absolut senzationale , dar nu au reprezentanti in RO ;
--> dupa cum vezi se stringe latul  :angry:
--> daca ar exista o struto-camila de tipul : concentrator Cisco  VPN3020 in punct central si locatiile remote conectate cu CheckPoint ar fi excelent.

@Luke : am nevoie de o solutie de intra deja la categoria "enterprise VPN ". Nu experimentam. :nonobad:

Dupa citeva saptamini de "VPN hunting" as inclina spre CheckPoint instalat in locatii remote . Si trebuie sa fie al naibii de bun sa ma convinga (tipuri de criptare , generare certificate , etc).
Criteriile sunt multe si trebuie indeplinite.

nu stiu daca prin cautari ai ajuns si pe aici:
http://www.cisco.com...00801f0a72.html

.. merita sa arunci un ochi.
sincer nu prea ma innebunesc dupa Checkpoint pus ca si VPN .. IOS-ul de Cisco poate sa va satisfaca necesitatile de firewall la nivelul locatiilor.
cand te-am intrebat de trafic ma refeream la bandwitdth usage in punctul central, ptr. ca de asta cam depinde si de puterea echipamentului necesar.
proiectul e de anvergura ... ai luat in calcul sa apelezi la o firma de consultanta ?

de dragul discutiei totusi:
la o prima strigare as merge pe Cisco PIX 515E with VAC+  in sediu si Cisco VPN 3005 in locatii.

Studiez acum facilitatile lui Cisco PIX 515E w/ VAC+ . Are troughouput indestulator , management remote la nivel bunicel .

In locatii : mai studiez oferta Cisco , poate sunt si alte modele. De ce nu ?

Pina aici multumiri pentru indrumari.

Are cineva experienta cu solutiile de la Nortel ?

@PreTXT : Ce zici de urmatoarele :

clienti : Cisco VPN3002
http://www.cisco.com...2286/index.html

punct central : Cisco VPN3030
http://www.cisco.com...2292/index.html

Edited by xman2000, 03 December 2004 - 08:40.

Cisco PIX l-am recomandat pentru facilitatile excelente de firewall...ai zis ca vrei ceva superconfigurabil (poate ar fi mai usor daca ai explica exact la ce te referi, ce ai nevoie)
Cu Nortel am lucrat chiar pe produse VPN, seria Contivity e reusita (eu am mers cu Contivity 1700 - client-to-site VPN)
In legatura cu firewall-ul ... detaliaza un pic ce vrei mai exact sa faca cel din locatiii ... personal, de obicei folosesc FW dedicat; VPN concentrator vine in paralel si permite doar trafic IPSEC. Deci nu folosesc VPN conc. pentru publicare de server, HTTP outbound,etc ...

P.S. nu te baza prea mult pe ce te sfatuiesc, sincer ... deciziile la nivelul asta se iau dupa ce studiezi topologia WAN, trafic , echipamente intermediare , FW config, etc ... o analiza corecta nu poti sa faci dupa niste posturi pe un forum  ;)

PreTXT, on Dec 3 2004, 09:29, said:

@PreTXT : Decizia se va lua dupa inca vreo 3-4 luni de tatonare (colectare informatii ) . In nici un caz nu se ia dupa citeva sugestii din posturi.
:naughty:
WAN : am spus mai sus ca vrem sa contruim infrastructura de VPN peste capacitatea de transport a ISP-tilor din Romania. Degeaba am VPN , daca ISP-ului ii "crapa" un nod.
FW: se va construi si cu PIX daca va fi necesar. Analiza FW-ului va fi facuta in paralel cu solutia de VPN.


Momentan suntem in faza de colectare informatii. Daca ele vin din partea unor oameni care au ceva rodaj in folosirea unui tip de solutie atunci e excelent.

Sa axam discutia daca se poate pe Nortel (ai zis ca stii cum se comporta).

Detalii :

FW din locatie trebuie sa stie de :
-->packet filtering avansat (port,protocol,reguli combinate pe inbound/outbound) , autentificare pe baza de certificate X.509 , QoS si bandwith management (doar daca se poate) , IPSEC/L2TP (neaparat) , criptare/decriptare trafic cu ajutorul DES/3DES/AES
-->interfata hw user-friendly ( LED-uri de stare sau afisaj) : ma intereseaza o interactiune cu un utilizator neinstruit (in caz de error sa dea reset si atit).
-->sa fie hw combinat cu un software eficient

Astea ar fi la o prima privire .

Astept pareri din cu seria Contivity 1700 Nortel.

mda...o sa ziceti ca-s pustan de icafe, da' tare-s curios...de ce nu am vazut pe nimeni sa spuna ceva de genu' "imi trantesc eu ditai chestiile pe niste *bsd-uri"?
(unde ipsecu' e de mult o chestie standard in kernel, iar ipfw (freebsd) cel putin, aduce niste chestii de moare lumea-n sala, la capitolu' firewalling...plus ca se pare ca au tinut 1Mpps cu 5.3.1). cu niste rable chioare tinute pe ups-uri..chiar ca nu-ti pasa.

poti sa-ti faci chestia aia cu x509 (certificate pentru auth, blabla - presupun ca o vrei pentru ceva de genul roadwarrior). cu tunele intre si ospf te doare-n talpa ca pe soarece-n siloz...

acum, eu inteleg ca intr-un asa-zis mediu enterprise, preferi sa ai leduri care sa clipeasca sexy la un tampit care stie doar sa dea reset...si nu contest faptu' ca o chestie hardware, facuta fix pentru asa ceva, are avantajele ei. da' as sugera sa te intrebi daca ai TU nevoie de avantajele alea. asa, peste 150 de locatii avea si atlas telecomu' sau cum se numea firma aia.

Manowar, on Dec 3 2004, 12:56, said:

no offence, dar exact mentalitate de i-cafe este ... nu poti sa aplici asa ceva la nivel enterprise.

Quote

man, nu o sa ma vezi niciodata stand si facand tunning la un Celeron ca sa-mi zbarnaie teava ... cand vorbesti de infrastructura unei firme pentru care minutele de downtime se numara in *000 sau *0.000 de dolari/minut  pierduti niciodata nu iei in calcul asa ceva.
sectorul Enterprise e f. bine definit prin ceea ce ofera: hardware specializat (care btw, ruleaza tot OS clasic, alde *unix, *bsd, win*), tunning facut si zeci de mii de ore de teste in spate.
Ca sa nu mai zic de responsabilitate .... crezi ca ma incalzeste cu ceva daca il dau in judecata pe Gicu', adminul care mi-a configurat prost echipamentele si mi-a facut paguba ? O firma de consultanta, o firma producatoare de echipamente, un furnizor de solutii enterprise isi asuma niste responsabilitati, imi asigura suport 24/7, imi asigura maintenance, etc ...

Quote

de data asta nu-ti raspund la tonul ironic ... dar gandeste-te de 2 ori pana sa faci afirmatii gratuite.

xman: o sa revin cu detalii despre Nortel

@Manowar : prefer sa am led-uri sexy pentru timpitul de la celalalt capat al sirmei.

Aspecte :
1. iti este mai usor sa iti dai seama in ce stare e echipamentul fara ajutor CALIFICAT la celalalt capat al sirmei (traiasca LED_ul! ).
2. DA , am nevoie de avantajele astea , pt un bizniz care produce leutii in fiecare secunda in care tu clipesti  :D
3. Am nevoie de asa ceva , deoarece biznizu cere conexiuni cu uptime ridicat. Relevanta datelor este FOARTE importanta si trebuie accesate in timp util .
4. Cind vine si ti se trinteste in nas un raport cum ca nu s-au produs leutii din cauza partii numite " IT " , crede-ma ca greu scoti scuze. Si cum trebuie sa avem ceva "reliable" ma astept ca "sculele" sa-mi indeplineasca dorintele  :naughty: [nu va ginditi la prostii....of of.]
5. Si daca "scula" se blocheaza (si ramuri bat in geam), dau reset si in citeva zeci de secunde am comunicatia restabilita.
6. Intr-un icafe iti poti permite sa ai downtime de ordinul orelor ; ai reinstalat sistemul ti-ai refacut setarile dintr-un backup , un script , o verificare si ai terminat.
Aici situatia se prezinta altfel : totul trebuie sa mearga "ceas" ( si elevetian pe deasupra).
7. Un producator mare iti va asigura service, consultanta( in caz de upgrade) , la un pret decent si cu o garantie solida , existenta chiar.
8. Stiu sigur ca un echipament de acest calibru are citeva mii de ore de testare in toate configuratiile posibile (  de ce sa experimentez eu o chestiune care poate imi pericliteaza bunul mers al lucrurilor ?) si combinat cu toate OS-urile non-exotice.

Iti vei "trinti" ceva pe BSD-uri (cu arome de tip Free sau Open ) in momentul in care vei sigur ca acel HW si SW iti va satisface cerintele de bizniz in mod corect si EFICIENT . Punct. :rolleyes:

PreTXT, on Dec 3 2004, 15:29, said:

nu eram deloc ironic.
daca e mentalitate de icafe sau nu...te las pe tine sa te gandesti.
eu am aplicat-o (din lipsa de fonduri - mai repede am obtinut 500 de para pentru fiecare router, decat 5000, ca idee) in 2 companii (mediu enterprise, da) si timp de vreo 30 de luni, n-am avut probleme. pe urma mi-am schimbat jobul si nu stiu ce s-a mai intamplat.
iar a doua (companie) scotea undeva pe la 1 mil de euro/luna. asta zic eu ca-i mediu de productie, mediu enterprise. si nu i-a cazut rangu' de la netbsd.
am spus deja...nu contest faptu' ca draciile hardware au avantajele lor si-s facute special pentru asa ceva...da' cum am spus. gandeste-te daca ai TU nevoie. atat. repet, ironic NU eram deloc.

Manowar, on Dec 6 2004, 15:26, said:

mediu enterprise presupune sa ai si o politica a companiei in ceea ce priveste IT-ul si investitiile in el; banii nu inseamna totul ... daca IT Manager-ul nu a reusit sa fie convins/sa convinga mai departe de necesitatea investitiei atunci sau compania e de cacao sau omu' e asa.
mai citeste o data ce a scris xman, el a punctat mai bine ideea ... nu e vorba de cazut rangu' ... crede-ma ca in cazul nostru bugetele sunt f. stranse si trebuie justificate pana la ultimul $ (chiar daca discutam in zeci sau sute de mii); pentru orice trebuie sa ai un business case bine pus la punct.

Quote

ok  :peacefingers:

Ca sa aducem topicul mai in fata o sa mai furnizez niste puncte de discutie. :D
Mi-a fost sugerat de catre un coleg forumist ca in Romania mai exista reprezentare si din partea celor de la Juniper (multumiti..multumiri.
Daca cineva doreste sa imparteseasca experienta folosirii echipamentului de la Juniper ( ma refer aici doar la echipament folosit pt VPN) il invit la un reply sau un PM.
:peacefingers:

@preTXT : Incercam o discutie pe Nortel ?! .
Deja stii ce ma intereseaza : un concentrator si echipamente hw/sw de tip client care sa asigure comunicatia securizata cu acel concentrator. Daca ai deja in exploatare asa ceva te rog sa impartasesti forumistilor cite ceva.....
Multumesc.
Daca vrei pe PM nu-i nici o problema.