Linea FTTO per MPLS

BrianFurious · 2022-01-19T18:06:47+00:00

Buonasera, prossimamente dovrò collegare 2 nuove sedi e volevo puntare su una MPLS. Mi è stato offerto una FTTO per un costo di 1082€ / mese collegando 4...

[cancellato]

mark129 una fibra dedicata, mediamente ha sempre 40-60gg in casi ottimali, oltre 120-180gg se ci sono permessi fastidiosi da ottenere tipo anas o fs

Matteo_Mabesolani

GiovanniCriscione Le Banche hanno reti hyperway in MPLS senza firewall e fin qui penso che basta.

Si, la ditta per cui lavoro ha anche banche come clienti e le filiali sono in MPLS, l'uscita Internet è infatti nella sede centrale con firewall. Ma ci sono MPLS crittografate e non crittografate. Se uno vuole avere la certezza assoluta di aver dati crittografati fa una IPSEC su circuito MPLS, come da un altro cliente.

BrianFurious Quanto viene un Fortinet che deve sostenere 800 host? Il firewall si raggiunge dal cloud?

Domani do un occhio al listino in ditta, direi che un 600F dovrebbe andar bene a memoria. Per cloud che intendi? Forse "alla Meraki"? Di solito il firewall lo raggiungi dall'IP del provider sull'outside, ma puoi avere una macchina per la gestione che può essere una VM oppure un hardware fisico. Nei Cisco Firepower è addirittura obbligatoria per la gestione, nei Fortinet puoi scegliere, ma per installazioni grosse è comoda per i log.

BrianFurious

FeliceMonteleone è già in automatico UDP 500 e 4500

[cancellato] non si farà mai :/

gandalf2016 In media si va sui 2 mesi.

Questi sono stati anche i tempi quando ho fatto l'upgrade da 100Mb a 1Gb

Karakurt Allora missà che ti conviene far funzionare la VPN IPSec al momento, in questi tempi nessuno ti attiverà mai una MPLS. E se te la vendono come attivazione sicura entro 10 giorni, stanno mentendo.

Non mi hanno mai promesso MPLS in 10 giorni.

Karakurt Questo era un problema noto di alcune release fa, tipo pre 17.5.x.

Ho usato la versione RC 16.15 perché volevo cominciare ad usare AnyConnect VPN poi ho fatto il rollback a 15.44 stable in quanto ho avuto ho avuto problemi di DNS dal mio DC verso facebook, instagram, whatsapp web

Quindi mi confermi che il problema del collegamento del Sophos verso Meraki è un problema noto di Meraki stesso?

Matteo_Mabesolani Forse "alla Meraki"?

Sì

Matteo_Mabesolani altra funzionalità bella di Fortinet, ma che però non ho mai usato (ma che in laboratorio dovrò provare): le Auto VPN. In pratica hai una sede centrale e le sedi periferiche, ciascuna con un firewall. Fai un tunnel IPsec con la sede principale e qualora un host di una sede periferica debba parlare con un'altra sede periferica viene tirato su un tunnel Ipsec direttamente con quest'ultima, bypassando la sede centrale. Non l'ho però mai provato, devo farlo in laboratorio prossimamente.

Una roba simile la fa anche Meraki comunque, nel mio caso ho problemi fra Meraki e firewall terzi 🙁

Matteo_Mabesolani

mark129 l'hw Fortinet di un certo livello può risultare relativamente economico (3-4-5-6k), ti spellano poi con le licenze

Confermo, le licenze sono sempre il costo maggiore in proporzione.

@BrianFurious altra funzionalità bella di Fortinet, ma che però non ho mai usato (ma che in laboratorio dovrò provare): le Auto VPN. In pratica hai una sede centrale e le sedi periferiche, ciascuna con un firewall. Fai un tunnel IPsec con la sede principale e qualora un host di una sede periferica debba parlare con un'altra sede periferica viene tirato su un tunnel Ipsec direttamente con quest'ultima, bypassando la sede centrale. Non l'ho però mai provato, devo farlo in laboratorio prossimamente.

[cancellato]

Matteo_Mabesolani Sì fa parte della loro soluzione SD-WAN, dove se lo abiliti fa i tunnel diretti "shortcut" per evitare l'"effetto trombone" via headquarter. Almeno, dai corsi mi ricordo così.

Matteo_Mabesolani

[cancellato] Sì fa parte della loro soluzione SD-WAN, dove se lo abiliti fa i tunnel diretti "shortcut" per evitare l'"effetto trombone" via headquarter. Almeno, dai corsi mi ricordo così.

Esatto, c'è da dire che spesso le filiali devono comunicare principalmente con l'headquarter e non tra di loro, ma è interessante e la proverò prima o poi.

itsmatteomanf

BrianFurious Quindi mi confermi che il problema del collegamento del Sophos verso Meraki è un problema noto di Meraki stesso?

Non è che @Karakurt si stava riferendo alla release di Sophos?

[cancellato]

BrianFurious Attento che nell'immagine si vede il dominio dell'azienda.

Controlla se non l'hai già fatto la corrispondenza di tutti i parametri IKE nella policy, soprattutto i gruppi Diffie Hellman e PFS.

Matteo_Mabesolani

BrianFurious Sì

In questo caso non funziona così: puoi accedere alla macchina fisica Fortinet dall'IP dell'outside, dell'inside, da una management dedicata, da una loopback... ma sempre alla macchina fisica accedi, non hai la dashboard stile meraki. Poi puoi installare il FortiManager (una VM che si occupa della raccolta dei log e altre funzionalità interessanti e dalla quale puoi anche configurare i firewall, oltre che dall'appliance stessa). La parte cloud c'è per la raccolta LOG (stile fortimanager, ma non la conosco bene poichè non l'ho mai usata). Potrebbe essere comoda se si hanno molte sedi piccole e una centrale, ma sono sempre andato di Fortimanager.

Karakurt

BrianFurious è un problema noto di Meraki stesso?

itsmatteomanf si stava riferendo alla release di Sophos?

Mi riferivo alle release Sophos

BrianFurious

itsmatteomanf Aspetto volentieri una sua risposta

[cancellato] Attento che nell'immagine si vede il dominio dell'azienda.

Grazie ho modificato. Si era auto compilato il campo Remote ID, vabbè non penso che sarò stalkerato ora ahah

[cancellato] Controlla se non l'hai già fatto la corrispondenza di tutti i parametri IKE nella policy, soprattutto i gruppi Diffie Hellman e PFS.

Lunedì rifarò un altro collegamento da zero. La corrispondenza era esatta da sia sul Meraki che sul Sophos. Il problema che il meraki come puoi vedere non ha tante opzioni verso firewall terzi. Lato Sophos magari è facile sbagliare una configurazione perché nella prima e seconda fase ci sono più opzioni

itsmatteomanf

BrianFurious Aspetto volentieri una sua risposta

Dico così perchè Sophos usa i .0 e .5 come versioni... Sophos è abbastanza terribile come VPN su IPSec. Migliorato ultimamente, ma è un casino. Ho dovuto lottare per fare verso pfSense e non ha mai funzionato bene.

BrianFurious

itsmatteomanf Il Meraki ha attualmente 15.44 come stable release, 16.15 RC, 17.5 Beta

itsmatteomanf

BrianFurious appunto... parlava di Sophos, sicuro allora.

Karakurt era un problema noto di alcune release fa, tipo pre 17.5.x.

Volt

Se nelle sedi hai un po' di risorse in eccesso potresti installare rapidamente 4 vm pfsense.
Così puoi tamponare con vpn ipsec e rotte statiche fino a quando non sei operativo con l'mpls.

itsmatteomanf

Volt ma volendo anche qualcosa come Tailscale o ZeroTier che fanno una mesh loro, servono solo delle VM Linux con una semplice configurazione. Il primo è più user friendly e più graficamente semplice, il secondo è più "gratuito" su questo tipo di uso.

BrianFurious

Volt Richiederebbe nel mio caso più tempo per fare una cosa del genere, testare ecc.

Volt

itsmatteomanf Ancora meglio.

BrianFurious

Karakurt Domani controllo tutto, dove posso contattarti in privato?

Moderatori: Possiamo magari continuare la conversazione su un altro thread?

edofullo

BrianFurious Mi sembra si siano un po' mischiati i messaggi, purtroppo splittare diventa complicato.

Comunque sì, se apri una nuova discussione metti nel primo post un link a questa 👍️

« Pagina precedente Pagina successiva »

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile