Site-to-Site VPN

Persoonlijk zou ik snel voor een Ciso kiezen. Is er Cisco kennis in huis?

Ik denk dat we nogal wat meer info nodig hebben:

• Wat voor koppelvlak heb je? Het scheelt nogal of je met DSL of met gig-e wilt koppelen
• Hoeveel tunnels wil je opzetten?
• Hoeveel data denk je te gaan versturen

Als die requirements er zijn kan een fabrikant en eventueel model worden geadviseerd. Daarbij helpt het inderdaad om te weten of er al kennis van een merk in huis beschikbaar is.

Dan zou ik eens kijken naar de 800 serie van Cisco. Afhankelijk van je wensen, budget etc. zijn er verschillende modellen waar je uit kunt kiezen. De 877 was de eerste die bij mij op kwam maar misschien dat die al te veel doet voor wat jij wilt
http://www.cisco.com/en/U.../routers/ps380/index.html

Volgens de data sheet op de linksys site alleen IPSec een geen GRE.
Er zullen ongetwijfeld meer routers zijn dan alleen de Cisco's die zullen voldoen. Ik denk dat het meeste belangrijke is is weten wat je wilt en met die specs OF zelf zoeken OF de verschillende leveranciers een mail sturen, met het verzoek om aan te geven welk product van hen voldoet aan jouw eisen.
Eventueel zal je ook rekening moeten houden met preferred suppliers van het bedrijf waarvoor je je opdracht uitvoerd.

Of ze GRE doen is mij onbekend, maar IPsec is met draytek's prima te doen (uit eigen ervaring).

Ik zou gewoon Sonicwalls nemen, site-to-site vpn in 5min up and running

Ik gebruik Astaro firewalls voor site-to-site VPN.

Verwijderd schreef op zaterdag 10 mei 2008 @ 14:01:
maar kan hier nergens uit halen of deze GRE ondersteund

Wat bedoel je eigenlijk met GRE ondersteuning? Een PPTP tunnel (die GRE gebruikt)?

Voor de bijlocaties kun je kijken naar een 87X router. (De 877 doet ADSL over een analoge lijn.)
Voor de hoofdlocatie kun je kijken naar een 87X of 18XX router.
( De 877 voldoet denk ik prima. Als je denkt te groeien naar > 10 tunnels kun je kijken naar de 18XX.)

Wanneer je ook verkeer hebt lopen tussen bijlocaties (in plaats van bijlocatie --> hoofdlocatie, denk bijvoorbeeld aan VoIP.) kun je kijken naar Dynamic Multipoint VPN.

Zie ook:
http://www.cisco.com/go/dmvpn

Move naar Netwerken

GRE wordt alleen gebruikt in het Microsoft Point-to-point-Tunneling Protocol (PPTP) en niet in IPsec.

Cisco (en alle andere VPN servers die IPsec praten) gebruiken dus geen GRE, omdat ze het niet nodig hebben/niet kunnen

Je moet goed het verschil zien tussen GRE en ipsec. Voor een site to site VPN heb je niet altijd GRE nodig maar wel altijd IPSec als je het secure wil houden. IPSec encrypt enkel verkeer van en naar bepaalde ip adressen.
Nou is het vaak wel heel erg handig om een GRE tunnel te bouwen tussen sites omdat je dan gewoon private adressing kan gebruiken over het Internet.
Als je nou al het GRE verkeer encrypt dan is dus ook al het verkeer wat je via die GRE tunnel routeert dan sla je meteen 2 vliegen in 1 slag. Je encrypt al het verkeer tussen je sites en je kan gewoon private ip space gebruiken op je sites.

Dit is echt wel de standaard methode om VPN's op te bouwen met Cisco routers het is namelijk veel beter te managen. Zonder GRE moet je namelijk elke keer als er iets verandert in je ip adresering je IPSec config aanpassen. Met GRE is het een kwestie van zorgen dat je routing in orde is en alles wat over de GRE tunnel gaat is encrypted.

Het is GRE over IPSec en niet IPSec over GRE. Persoonlijk zou ik het liefst gewoon voor GRE gaan. Je bouwt je tunnel op tussen 2 publieke ip adressen en intern heb je allemaal private address space. Hoewel we hier gewoon op (vrijwel) alle segmenten publieke IP space gebruiken is dit ook de methode die wij overal gebruiken.

[ Voor 7% gewijzigd door TrailBlazer op 13-05-2008 10:17 ]

jawel hoor je encrypt al het GRE verkeer tussen de 2 endpoints. Wat er in die GRE pakketten zit maakt dan niet uit dat wordt natuurlijk net zo hard geencrypt.

dat zeg ik toch ook.