Forslag til VPN løsning

[nomore]

Hei

 

Trenger et forslag til en hardware VPN løsning som helst fungerer via IPSec SSL.

Dette skal brukes til en hjemme-kontor løsning og trenger da en kraftig router til kontoret, og flere mindre VPN hardware klienter/routere.

 

Ønskelig hadde vært om VPN klientene hadde fungert ved plug-and-play direkte bak brannmur. Er dette mulig?

 

Eg trenger da forslag til en router til kontoret, og routere/klienter til hjemme-kontorene. Eg mener å ha sett at Cisco har begge deler?

 

Dette skal brukes for å koble hardware ip-telefoner mot kontoret og ønsker da å slippe å måtte NAT'e alt mulig. Forventet antall VPN klienter vil ligge på mellom 20-40 stk, og må da også kunne takle en total trafikk på 110kb * 40.

 

Eg har ikke erfaring med Cisco tidligere, men har konfigurert nettverksutstyr fra HP, D-link og Allied Telesyn, så eg har da noe praktisk erfaring. Vil manglende Cisco kurs bli et stort problem, eller kan det løses med bøker/howtos?

 

Har alltid fått inntrykk av at Cisco er vanskelig å sette opp, men har i ettertid fått inntrykk av at bla Allied Telesyn har noe lignende oppsett.

 

Takker for alle tips

[TommyBJ]

Vi i mopo AS har jobbet litt med openwrt (modifisert GPL firmware) på asus-500gp og ved bruk av openVPN fungerer det veldig enkelt og greit - Er endel jobb med å få den første enheten som skal opp, men etter dette er det enkelt å masseprodusere samt sette opp og dette fungerer som plug and play.

 

Prisen pr. enhet av 500gp er også mye lavere enn hva cisco kan skilte med, og har mange flere muligheter.

Vi har en eldre dell poweredge som tar seg betjeningen av VPN-løsningen på kontoret og belastningen er minimal.

500gp kan settes opp som vpn-tjener/asterisk-tjener, men med antall klienter du nevner er dette neppe aktuelt

 

Ta gjerne kontakt på tommy[a.t]mopo.no om du ønsker openwrt-oppsettet.

Endret 25. november 2006 av TommyBJ

[nomore]

Takker for svar

 

Har dere testet dette mot asterisk?

Hvordan ble lyden i forhold til på samme LAN?

[TommyBJ]

Har prøvd mot asterisk og lyden er jo egentlig bare en kombinasjon av hvilken codec samt latency/jitter - I de tilfellene brukte vi GXP2000 telefonene fra grandstream med ulaw og ~25ms. Lyden var med dette oppsettet klokkeklar og hadde ingen merkbar forskjell fra LAN.

 

500gp enheten satte vi ikke opp med QoS/TC/TS men dette er ikke noe problem å få til.

 

Sjekk ut http://openwrt.org/ om du ikke har gjort det allerede

[lohelle]

Har prøvd mot asterisk og lyden er jo egentlig bare en kombinasjon av hvilken codec samt latency/jitter - I de tilfellene brukte vi GXP2000 telefonene fra grandstream med ulaw og ~25ms. Lyden var med dette oppsettet klokkeklar og hadde ingen merkbar forskjell fra LAN.

 

500gp enheten satte vi ikke opp med QoS/TC/TS men dette er ikke noe problem å få til.

 

Sjekk ut http://openwrt.org/ om du ikke har gjort det allerede

7356098[/snapback]

 

stikk på Ebay og kjøp brukt Cisco utstyr i steden for.

Jeg kjører 2800 series router i kjerne og masse 1800 og 1700 series hos kunder. Dette fungerer utmerket. Cisco's sip inspect fungerer utmerket (slik at NAT-ing av SIP-trafikk fungerer skikkelig)

 

Jeg pleier å kjøpe 1700-series på Ebay for overkant av 1000 kr pluss frakt. Disse er helt OK opp til 10 Mbit nettlinje med 10-15 brukere i hvert fall

1800-series (1811/1841) bør kunne kjøpes for 3-4000 kr, og vil sikkert holde til kjerne.

1841 med VPN-kort takler opptil 800 tunneller. Uten så tror jeg det er ca 50 tunneller.

[Zerge]

Jeg kan varmt anbefale løsninger som baserer seg på OpenVPN.

Alle mine lokasjoner har en eller annen løsning med OpenVPN, og dette har fungert strålende i lengre tid.

[TommyBJ]

Har prøvd mot asterisk og lyden er jo egentlig bare en kombinasjon av hvilken codec samt latency/jitter - I de tilfellene brukte vi GXP2000 telefonene fra grandstream med ulaw og ~25ms. Lyden var med dette oppsettet klokkeklar og hadde ingen merkbar forskjell fra LAN.

 

500gp enheten satte vi ikke opp med QoS/TC/TS men dette er ikke noe problem å få til.

 

Sjekk ut http://openwrt.org/ om du ikke har gjort det allerede

7356098[/snapback]

 

stikk på Ebay og kjøp brukt Cisco utstyr i steden for.

Jeg kjører 2800 series router i kjerne og masse 1800 og 1700 series hos kunder. Dette fungerer utmerket. Cisco's sip inspect fungerer utmerket (slik at NAT-ing av SIP-trafikk fungerer skikkelig)

 

Jeg pleier å kjøpe 1700-series på Ebay for overkant av 1000 kr pluss frakt. Disse er helt OK opp til 10 Mbit nettlinje med 10-15 brukere i hvert fall

1800-series (1811/1841) bør kunne kjøpes for 3-4000 kr, og vil sikkert holde til kjerne.

1841 med VPN-kort takler opptil 800 tunneller. Uten så tror jeg det er ca 50 tunneller.

7356260[/snapback]

 

Selv er jeg ikke noe videre fan av cisco, men tenker også i de baner av funksjonaliteten på openwrt er mye større enn noen lukket ruter. På den andre siden er det jo basert på tredjeparts programvare og er mye arbeid å utvikle den første modellen.

 

Prisen er derimot lavere for nye gp500.

[lohelle]

Har prøvd mot asterisk og lyden er jo egentlig bare en kombinasjon av hvilken codec samt latency/jitter - I de tilfellene brukte vi GXP2000 telefonene fra grandstream med ulaw og ~25ms. Lyden var med dette oppsettet klokkeklar og hadde ingen merkbar forskjell fra LAN.

 

500gp enheten satte vi ikke opp med QoS/TC/TS men dette er ikke noe problem å få til.

 

Sjekk ut http://openwrt.org/ om du ikke har gjort det allerede

7356098[/snapback]

 

stikk på Ebay og kjøp brukt Cisco utstyr i steden for.

Jeg kjører 2800 series router i kjerne og masse 1800 og 1700 series hos kunder. Dette fungerer utmerket. Cisco's sip inspect fungerer utmerket (slik at NAT-ing av SIP-trafikk fungerer skikkelig)

 

Jeg pleier å kjøpe 1700-series på Ebay for overkant av 1000 kr pluss frakt. Disse er helt OK opp til 10 Mbit nettlinje med 10-15 brukere i hvert fall

1800-series (1811/1841) bør kunne kjøpes for 3-4000 kr, og vil sikkert holde til kjerne.

1841 med VPN-kort takler opptil 800 tunneller. Uten så tror jeg det er ca 50 tunneller.

7356260[/snapback]

 

Selv er jeg ikke noe videre fan av cisco, men tenker også i de baner av funksjonaliteten på openwrt er mye større enn noen lukket ruter. På den andre siden er det jo basert på tredjeparts programvare og er mye arbeid å utvikle den første modellen.

 

Prisen er derimot lavere for nye gp500.

7356526[/snapback]

 

et par stikkord er "lett å få hjelp" og "stabilitet".. DERFOR kjører jeg Cisco.

[TommyBJ]

Stabiliteten er det ingenting å klage på mtp min nevnte løsning.

At det er lettere å få hjelp med cisco-baserte systemer er jeg helt enig i.

[nomore]

OpenVPN har eg lenge tenkt på å prøve på, men eg har enda ikke hatt tid eller mulighet.

 

For meg virker OpenVPN veldig lovende, og sikkert helt stabilt og mange muligheter, men det virker mer som noe som krever litt prøving og feiling før det fungerer i det hele tatt, og enda mer tid for å få det slik en vil ha det.

 

Cisco derimot har eg mulighet til å få hjelp til å få til, samt et par sertifiseringer kunne ikke skadet. I tillegg er det langt bedre for resultatet vårt at vpn klientene er så små som mulig, og da er jo disse til Cisco perfekte.

 

Så takk for alle tips, igjen. Eg skal senere lære meg OpenVPN, men før den tid må eg nok kjøpe meg disse Ciscoene som lohelle nevnte.

 

Men så over til et annet spørsmål relatert til VPN generelt. Er det mulighet for at utstyr som blir koblet til på lan siden av en vpn klient til å hente ipadresse fra en DHCP server på andre siden? Det praktiske da er jo at telefonene kan konfigurere sentralt, selv etter at de er plassert ut.

[nomore]

Eg tror eg skal ta og kikke litt på OpenVPN nå. Ble litt nyskjerrig

 

Fikk nettopp tak i en 2-3 år gammel IBM eServer som kan ta seg av VPN server biten. Sikkert overkill men allikevel.

 

Og så har eg funnet frem et par Linksys WRT54G routere, som burde passe perfekt. Eg tenkte da på samtidig å slå i sammen med en boks som gir brukere trådløs iptelefon samtidig via nokia n80/81 eller e60/61.

 

Linksysen burde vel være like god som Asusen?

[TommyBJ]

Høres ut som en god løsning. Serveren du nevner er sikkert overkill, men da skalerer det godt om ikke annet.

 

Årsaken til at vi valgte asusen var fordi den hadde dobbelt så mye flash-ram og dobbelt så mye minne. Dette er overkill om du kun ønsker å bruke den til openvpn-tunneling, men vi har eksperimentert med mye forskjellige løsninger basert på den.

Se http://wiki.openwrt.org/TableOfHardware?ac...ow&redirect=toh for oversikt. Merk at med V5 av WRT54G ruterne, så gikk linksys over til mye billigere hardware, noe som førte til en 'dyr serie' og en 'billig serie'.

 

Som du spurte om tidligere så er det ingen problem å få en VPN klient konfigurert vha. DHCP'en i andre enden. se tun vs tap devices.

 

Sit openvpn.net:

It can create either a layer-3 based IP tunnel, or a layer-2 based Ethernet "tap" that can carry any type of Ethernet traffic.

 

Tenk sikkerhet før du gir tilgang til lag-2 tunnel.

[lohelle]

Høres ut som en god løsning. Serveren du nevner er sikkert overkill, men da skalerer det godt om ikke annet.

 

Årsaken til at vi valgte asusen var fordi den hadde dobbelt så mye flash-ram og dobbelt så mye minne. Dette er overkill om du kun ønsker å bruke den til openvpn-tunneling, men vi har eksperimentert med mye forskjellige løsninger basert på den.

Se http://wiki.openwrt.org/TableOfHardware?ac...ow&redirect=toh for oversikt. Merk at med V5 av WRT54G ruterne, så gikk linksys over til mye billigere hardware, noe som førte til en 'dyr serie' og en 'billig serie'.

 

Som du spurte om tidligere så er det ingen problem å få en VPN klient konfigurert vha. DHCP'en i andre enden. se tun vs tap devices.

 

Sit openvpn.net:

It can create either a layer-3 based IP tunnel, or a layer-2 based Ethernet "tap" that can carry any type of Ethernet traffic.

 

Tenk sikkerhet før du gir tilgang til lag-2 tunnel.

7373689[/snapback]

 

er dere sikker på at dette blr stabilt nok? har prøvd dette selv tidligere (hvem har ikke hatt linksys routere med uoffisiell firmware?), og dette ble aldri stabilt nok når det ble litt belasting.. var helt stabilt ved "vanlig bruk", men prøvde dette på kontoret, og da ble det bare tull...

[nomore]

Litt usikker, derfor vil eg teste internt i lengre tid først

 

Men eg vet ingenting enda. Skal prøve med OpenVPN først,

og alternativet er Cisco.

[TommyBJ]

Høres ut som en god løsning. Serveren du nevner er sikkert overkill, men da skalerer det godt om ikke annet.

 

Årsaken til at vi valgte asusen var fordi den hadde dobbelt så mye flash-ram og dobbelt så mye minne. Dette er overkill om du kun ønsker å bruke den til openvpn-tunneling, men vi har eksperimentert med mye forskjellige løsninger basert på den.

Se http://wiki.openwrt.org/TableOfHardware?ac...ow&redirect=toh for oversikt. Merk at med V5 av WRT54G ruterne, så gikk linksys over til mye billigere hardware, noe som førte til en 'dyr serie' og en 'billig serie'.

 

Som du spurte om tidligere så er det ingen problem å få en VPN klient konfigurert vha. DHCP'en i andre enden. se tun vs tap devices.

 

Sit openvpn.net:

It can create either a layer-3 based IP tunnel, or a layer-2 based Ethernet "tap" that can carry any type of Ethernet traffic.

 

Tenk sikkerhet før du gir tilgang til lag-2 tunnel.

7373689[/snapback]

 

er dere sikker på at dette blr stabilt nok? har prøvd dette selv tidligere (hvem har ikke hatt linksys routere med uoffisiell firmware?), og dette ble aldri stabilt nok når det ble litt belasting.. var helt stabilt ved "vanlig bruk", men prøvde dette på kontoret, og da ble det bare tull...

7374572[/snapback]

 

 

Kan ikke tale for linksys da jeg ikke har testet disse profesjonelt, men asus har vist seg å være særdeles stabil. Har også da kun testet "whiterussian" som er regnet som den stabile utgaven.

 

Hvilke ustabilitetsproblemer har du sett? Det er jo en god 2.4kjerne som er brukt så skjønner ikke helt hvor kilden skulle være...

[nomore]

Eg kommer uansett til å installere og teste OpenVPN med to linux maskiner først, for så å nedskalere klienten uten å miste stabilitet eller kvalitet.

[lohelle]

tror nok at ustabiliteten har ligget i hardware og ikke i software..

[nomore]

Vi i mopo AS har jobbet litt med openwrt (modifisert GPL firmware) på asus-500gp og ved bruk av openVPN fungerer det veldig enkelt og greit - Er endel jobb med å få den første enheten som skal opp, men etter dette er det enkelt å masseprodusere samt sette opp og dette fungerer som plug and play.

 

Prisen pr. enhet av 500gp er også mye lavere enn hva cisco kan skilte med, og har mange flere muligheter.

Vi har en eldre dell poweredge som tar seg betjeningen av VPN-løsningen på kontoret og belastningen er minimal.

500gp kan settes opp som vpn-tjener/asterisk-tjener, men med antall klienter du nevner er dette neppe aktuelt

 

Ta gjerne kontakt på tommy[a.t]mopo.no om du ønsker openwrt-oppsettet.

7354190[/snapback]

 

Skjønner nå hva du mener med å få den første enheten opp å gå