Office Router Empfehlung
 

hi zusammen :hallo:,


ich suche einen "vernünftigen" router für die firma. und zwar "vernünftig" im sinne von "stabil", weil dort wirklich *viel* traffic drüber gehen soll ohne dass ein stromlos-machen notwendig wird... was zur zeit kritische ausmasse erreicht...:heul:

bitte um hardware-empfehlungen, aber bitte nichts a la ipcop usw. (ich würd eh gern, aber das schöne an der demokratie ist, dass 3 blöde 1 gescheiten überstimmen... ;))

- ich brauche: möglichst viele einträge für portforwardings

- ich brauche NICHT: wlan, vpn

szenario: office netz - router(=gesucht) - telekom cisco router (standleitung)

vielen dank!:bier:

mfg,
exacta

Fortigate 50B

irgend einen cisco, 1800er-serie sollte reichen
wobei eigentlich eine ASA(505?) IMHO die bessere wahl wäre, da du ja keinen router (als router) brauchst, sondern ein kastl, das "nat" macht....

Ich empfehle einen Router mit OpenWRT.
Welchen davon ist egal.

Wenn ein Gerät mit Standartfirmware gewünscht ist, bleibt noch Cisco.
Oder ein Computer mit Linux und firewall ... kann eine low-power maschiene (45-65W Verbrauch) sein und hätte den Vorteil, dass man mehr loggen kann und die resourcen viel größer sind wie bei openwrt.

P.s.: Ich war immer schon für creative Rechtschreibung

...ein IPCop - für viel Traffic die einzig vernünftige Lösung, wenn man nicht viel ausgeben möchte und trotzdem ein Rock-Stable Sys braucht ;)

ipcop stand expressis verbis als "nicht" anzuführen da...

aus meiner erfahrung böten sich an (interessant wäre auch der Durchsatz):

- cisco asa5505 oder 5510
- vyatta appliance
- endian appliance

oder, je nach notwendigkeit, juniper oder checkpoint. die frage ist ja eher, wie viel durchsatz soll das ding schaffen, wie komplex ist das NAT, wie viel externe IPs brauchst... ?

datendurchsatz: Upload zZ ~2GB, Download ~10GB *pro Tag*, Tendenz steigend;
nat-user: 30

die 30 nat user sind kein problem, auch die datenrate wirds nicht sein...

wie viele externe IPs sinds ? und wie viel budget ist da ? womit kennst dich am besten aus ?

was meinst du mit "externe ips"? meinst du wie viele öffentliche adressen wir in verwendung haben? wir haben ca. 10 öffentliche ips in verwendung, wovon aber nur auf 1 heavy traffic drüber geht; wir besitzen aber zz um die 50 öffentliche ip adressen.

budget: keine ahnung, der bigboss weiss noch nix von seinem glück... bis jetzt ist es noch sache der it abteilung was zusammenzutragen und es dann vorzustellen... aber ich denke es sollte eher in die kategorie günstige mittelklasse (~200€) fallen...

auskennen: experte bin ich mit sicherheit keiner, einen router kann ich aber einrichten...

ja, öffentliche IPs. das ist imho recht wichtig, da die meisten "home"-router nur eine externe IP verwalten (können).
nur so als beispiel, mit einer watchguard firebox soho komme ich in etwa auf diesen traffic, die kann aber etwa nur eine externe IP verwenden und kostet trotzdem schon mehr als 200 eupeken.

drum würde ich rein aus einem gedanken an ratio preis-performance-handhabung eher zu einem 1U thomas-krenn-barebone tendieren und drauf was sinnvolles (ob nun ipcop, vyatta, endian oder sonstwas) installieren. da hat es dann auch raum für zukünftige erweiterung.

für €200,- bekommst gar nichts, ausser spielzeug, ab etwa €350,- bist dabei. Wenn ihr wirklich keine kohle habt würde ich eine monowall auf einem alten pc empfehlen, anders als der ipcop bietet sie eine ordentliche funktionalität ohne addons von fremdanbietern.

Davon rate ich eher ab, PCs als Router sind noch immer auf Grund der komplexeren Struktur unzuverlässiger...

naja, ein ml530 g2 oder tasksmart (in meinem fall mit p3 933 und 1.5 gb ram) tut als firewall/router ganz gut ;)

im konkreten fall ein intel atom-board (iirc 80 eur), memory, 2 disken (oder CF-card), eine NIC, ein brauchbares gehäuse und drauf eine endian/ipcop/vyatta... das kommt preislich hin und ist in sachen verfügbarkeit/zuverlässigkeit kaum schlechter als ein kleiner router.

Vyatta
 

nachdem wir auf keinen grünen zweig gekommen sind, hab ich beschlossen mich mit vyatta zu beschäftigen...

Hab auch schon eine virtuelle Testmaschine mit vytta drauf, mit mühe und not eth0 (office=192.168.123.254/24) und eth1 (wan=80.120.x.x/29) , dazu noch nat und standardgateway eingerichtet, aber wie zum kuckuck mache ich da portweiterleitungen?

frage: wie läuft das z.b. mit einem ftp server im passive mode? wie realisiert man das mit vyatta? :confused:


falls mir da jemand weiterhelfen könnte, wär das wirklich prima.:hallo:

mfg,
exacta

Hi,

so, wie es für mich in der doku aussieht, würde ich es mal so anfangen:

http://www.vyatta.com/downloads/othe..._evalguide.pdf

vyatta@vyatta# set service nat rule 2
vyatta@vyatta# set service nat rule 2 type destination
vyatta@vyatta# set service nat rule 2 inbound-interface eth1
vyatta@vyatta# set service nat rule 2 protocol tcp
vyatta@vyatta# set service nat rule 2 destination address $externe_addresse
vyatta@vyatta# set service nat rule 2 destination port http
vyatta@vyatta# set service nat rule 2 source address 0.0.0.0/0
vyatta@vyatta# set service nat rule 2 inside-address address $interne_addresse

für ftp: nachlesen.
http://www.vyatta.org/forum/viewtopic.php?p=2490#2490
http://www.vyatta.com/downloads/docu..._VC2.2_v01.pdf

ich verwende momentan endian, vyatta hat auf meiner alten maschine nicht getan. allerdings hab ich einen dl380g2 (mit redundanten netzteilen), da werd ich mir den umstieg auf vyatta mal sehr genau überlegen.

endian
 

endian... das richtige stichwort...

ich bin grad dabei das/den/die endian fertig zu konfigurieren; fahr es in einer virtuellen maschine mit 2 nic, surfen und portforwardings hab ich schon fertiggebracht. was mir aber fehlt ist ein -ich nenn es mal- "internal loopback". von "aussen" (inet) erreiche ich meinen webserver und die anderen dienste ohne problem, nur wie schaff ich das von "innerhalb" (lan)? ich hoffe dass du mir da einen tip geben kannst. bis jetzt hat mich endian halt mehr überzeugt als das vyatta.

danke!!

mfg,
exacta

Einen IPcop willer nicht - aber endian ??? LOOOOL :lol::lol::lol: ich lach mich kaputt.
Was ist denn endian? ;) Genau, OpenSource - und die Kastln enthalten embedded Hardware ;) also auch nichts anderes als ein Cop - aber bitte - jedem das seine ;)

es geht nicht ums wollen sondern ums müssen.
ich brauch eine lösung die leicht zu administrieren ist und gut funktioniert.
auch auf der hardware die ich zur verfügung habe.
darum *muss* ich mich hier durch das ganze zeug durchgraben.
danke für den konstruktiven beitrag. du hast mir echt weitergeholfen.

mfg,
exacta

@zonediver: endian hat in meinen augen einen massiven vorteil gegenüber ipcop: wenn man nicht gerade tage investieren will, kommt se von haus aus mit snort und einem sehr mächtigen logging. die verschiedenen zuschaltbaren proxies sind ein weiteres plus.
ich selbst verwende endian deswegen, weil ipcop sich auf meiner hardware (p3 mit asus p3bf mainboard) sich zuerst beim setup zerbirnt hat und dann mac-spoofing einfach zach war.



@exacta: nimmst halt endian, da gibts im webinterface sogar management-kompatible graphen der auslastung usw.

weiters: auf "guten"firewalls ist ein loopback-NAT eigentlich ein ziemlicher graus, denn theoretisch hebelt man damit die spoofing-protection aus (=anfragen mit derselben ursprungs-ip wie das ziel sind ja per se "böse"). loopback-NAT ist eigentlich was für DAUs und homeuser, die ihren webserver hinter einem netgear-kastl halten...

normalerweise macht man es so, dass man auf dem internen DNS eben die interne addresse z.b. des mailservers hat; am externen DNS dann die externe IP.
Sollte das mangels internem DNS oder mangels Willen, hosts files zu editieren, nicht gehen, macht man eben folgendes: einen kleinen DNS server aufsetzen (ob windows, bind, ... wurscht) und den bei der endian als benutzerdefinierten DNS für die domain yyy.zzz eintragen.


und weiters: speicher dir die finale config der virtuellen maschine auf einen usb-stick (geht im webinterface), setz die finale maschine auf und spiel die config ein - fertig.

Also meine Cops laufen alle auf PIII-Basis mit Intel 815 Chipsatz - da gibt's keine Probs. Ledigilich SIS-Chipsätze machen hin und wieder Ärger. Aufgesetzt ist er in ca. 12 Minuten inkl. aller Plugins die wichtig sind. Beim MAC-Spoofing geb ich Dir recht - das is zach hehe. Allerdings ist das - zumindest bei Chello - kein Problem. Läßt man eben die MAC der roten NIC registrieren und gut isses. Natürlich setzt der Cop aber einiges an "Wissen" vorraus, das bei endian nicht nötig ist - endian ist ja quasi ne "all in on" Lösung - mir persönlich aber viel zu teuer, da der Funktionumfang auch nicht größer als beim Cop ist, allerdings mit einem vielfach höheren Preis, den ich nicht bereit bin zu zahlen - daher eben der IPCop und ned endian.

jo mei, ob das werkl in 12 min oder 3h installiert ist, ob es in 30 sec oder 5 min bootet... ist etwa mir egal. schliesslich rennt ein router durchaus mal ein paar jahre am stück... ;)
endian ist mit ipcop übrigens enger verwandt, als man meinen mag - und spart einem die lästige suche nach weiteren, sinnvollen plugins. von daher ist das "wissen" kein limitierendes gut. die community edition kostet nebenbei keinen cent, ihr fehlen lediglich cluster/failover und die fähigkeit, wlan-hotspots zu betreiben.

ich sehe ehrlich gesagt die debatte um den cop uninteressant, aus genau zwei einfachen gründen: 1, die geringeren hardwareanforderungen des cop sind mittlerweile wurscht und 2, endian ist bequemer.

so, und ich muss jetzt eine PS/2 tastatur suchen, weil mangels selbiger mein netfinity 7000 (quad xeon 500) nicht bootet... ;)

Gibts bei endian eigentlich ein WOL-Plugin?

weiss ich nicht - wäre (in meinem fall) bei einem vpn/mailserver auch kontraproduktiv... und da die aufgabenstellung "wirklich *viel* traffic", "kein stromlos-machen" und "telekom-standleitung" war, habe ich auch nicht wirklich danach gesucht :)

es gibt einen (!) thread dazu bei endian selbst, da steht nicht viel. wozu willst es denn ?

Würde mich nur interessieren, da ich das zur Zeit auf meinen Cops verwende, um am Wochenende über Remote die Infrastruktur zu warten. Da isses natürlich notwendig, die Rechner alle einschalten zu können - ausschalten kann man sie dann eh über Windows.

sorry, aber da sehe ich zum einen mal den zweck nicht (entweder ist eine vollwertige firewall "zu gross", oder der WOL-ansatz komisch)...

zum anderen: eigentlich schaltet ja das magic packet über die NIC den rechner ein, was ficht da das betriebssystem einen an ?
desweiteren gibts fürs ausschalten einfaches ssh, mehr brauchts nicht...

@ingomar: sagt Dir das Stichwort "Fernwartung über SSH-Tunnel" irgend etwas?
Wo kommt denn Deiner Meinung nach das Magic Packed her, wenn die Firewall nach aussen hin dicht ist?
Vielleicht kann man's ja auch über den Tunnel schicken, aber wozu, wenn ich das auch lokal aus dem Netzwerk machen kann >>> WOL-Plugin am Cop ;)
Genau für das wurde das Plugin nämlich geschrieben. Somit kann man über den Cop alle Windows-Rechner im Netzwerk einschalten, ohne sie von aussen ansprechen zu müssen (oder zu können), da die Firewall ja dicht ist. Und wie schaltet man eine Windows-Maschine über ssh wieder aus? Hast da eine Anleitung dafür?

ich würd ssh auf der firewall aufmachen - wenns beruhigt, schaltest den root aus und erlaubst nur key als authentifizierung.
und darüber hinaus verwendest ether-wake zum aufwecken der clients.

und da wir schon dabei sind: "man" macht einen openvpn- oder ipsec-tunnel auf, dann kann man ohne mühsame ssh-options mit rdp arbeiten und auf administrative shares zugreifen :)

.) ssh auf der Firewall ist offen ;)
.) das WOL-Plugin arbeitet mit ether-wake ;)
.) "man" macht keinen vpn-tunnel, da die Koppelung der Netzwerke "ausdrücklich nicht" gewünscht wurde ;)
.) rdp arbeitet auch über ssh ;)

Trotzdem danke für die Infos :hallo:

na dann...
ssh hin, mit ether-wake anreissn... und wenns spass macht, über tcp/3389 tunneln (pfui, unbequem,...)

was täte das plugin denn anders ? gibts da ein webinterface für ether-wake ?

Jo gibts - somit komfortabel oder über Kommandozeile - wie man eben will - im WebInterface isses aber leichter und schöner :D