KPN zakelijk glas + Cisco 897VA - Internet en hosting

maandag 26 september 2016 13:14

Acties:

0 Henk 'm!

Topicstarter

Beste lezers,

Over een aantal weken krijgen wij glasvezelaansluiting voor het bedrijf. We zijn een MKB-bedrijfje met ong. 15 werknemers. Het bedrijfsnetwerk beheren we zelf.

We hebben nu ADSL, XS4ALL, eenvoudig de Fritzbox 7340 op een switch (TP-Link TL-SG2452) en de IP-adressen worden geregeld door een oud pc'tje met Windows server 2003 (yes, het is oud maar het werkt nog).
In de Fritzbox 7340 zit een simpele firewall, niet het veiligste maar voor ons even afdoende (In de toekomst zullen we dit serieuzer aanpakken).

Nu we glasvezel krijgen verdwijnt de Fritzbox 7340, en dus onze firewall.

We krijgen een Cisco 897VA DSL bij het KPN zakelijk glasverbinding 100/100Mbit en 8 ip-adressen waarvan 5 vrij. (De firewall is uitgezet door KPN en kan niet worden geactiveerd).

Nu zijn wij op zoek naar een 'goede' firewall. We hebben verschillende opties maar weten even niet wat het beste / slimste is om te doen, misschien dat jullie nog goede input hebben?

Opties zijn bijv.;
- We kunnen een router kopen, bijv. (Dell Sonicwall TZ300)
en deze aansluiten op de Cisco switch
- We kunnen een computertje met pfSense er tussen zetten.
- Een MikroTik Routerboard RB2011UiAS-2HnD-IN
- Of een pfSense micro firewall SG-1000
- Edgerouter
- Andere router en doorlussen met PPPoE
- etc. etc.

Wensen:
- Alleen voor internet gebruik (VOIP etc loopt via aparte ADSL lijn)
- Apart 2e ip-adres gebruiken voor VPN verbindingen
- eventueel een wifi-punt op die plek (zit nu ingebakken in de fritzbox 7340)

Wat zouden jullie aanraden?

[ Voor 6% gewijzigd door O_Tiby op 26-09-2016 13:24 ]

dinsdag 27 september 2016 09:23

Acties:

0 Henk 'm!

Mattie112

3780wP (18x 210wP EC Solar)

Ik heb erg goede ervaringen met Mikrotik, je kan alles instellen wat je maar wil en nog een hele shitload meer

Gebruik Mikrotik zowel thuis als op kantoor en zelfs in het DC.

Voor 15 werknemers lijkt het me wat onzin om voor pfSense een complete pc neer te zetten (of je moet het leuk vinden). In principe kan je natuurlijk iedere random router er achter zetten eigenlijk heeft elke (consumenten) router wel een firewall.

(o en als het goed is komt er dit jaar nog een RB3011 versie uit of evt kan je kijken naar de CRS109-8G-1S-2HnD-IN)

Deze ruimte is te huur!

woensdag 28 september 2016 08:50

Acties:

0 Henk 'm!

O_Tiby

Topicstarter

Aah, interessant, zal er eens naar kijken.
Misschien toch een beter idee om een rackmodel router van Mikrotik te nemen en een losse wifi accesspoint.

Heeft een SFP poort veel voordelen? En welke gebruik je dan waar voor?

Ik bedoel, de Cisco 897VA heeft 1 SFP-poort, verbind ik deze dan bijv. met de SFP poort van de Mikrotik?
Of kun je die beter gebruiken om de Mikrotik dan met onze TP-link switch SFP poort te verbinden?
En de overige verbinding met cat6 gige netwerkkabel.

woensdag 28 september 2016 11:28

Acties:

0 Henk 'm!

EricNL

Waarom kijk je niet naar een Cisco ASA (5506 bijvoorbeeld). Ja, het vereist wat kennis om het te configureren maar kan precies wat je wilt. Tevens kun je ook gelijk AnyConnect VPN gebruiken (uit m'n hoofd tot 5 users is er geen aanvullende licentie nodig).

My PC Steam Profile PSN: AfcaEricNL

woensdag 28 september 2016 11:52

Acties:

0 Henk 'm!

Rene_goris

Let op met deze KPN router.
Je eigen firewall krijgt 1 static IP op zijn WAN interface met een default gateway naar de KPN router.
Dit is standaard het 2e IP adres van het blok van 8.
De poorten aan de binnenkant van deze KPN router staan op 100Mbit full-duplex fixed. Zorg ervoor dat jouw firewall ook hier op staat!!! Als je deze namelijk op auto laat staan zal hij intrainen op 10 of 100Mbit HALF-duplex.
Verder kan je voor veel firewalls gaan. Maar blijf alsjeblieft weg van het huis- tuin en hobbyspul van de mediamarkt.
Als je kiest voor Cisco en je hebt hulp nodig stuur mij dan een DM.
Dan help ik je graag.

Edit.
De SFP module van de KPN router staat standaard op shutdown.
Deze kan je niet activeren en KPN zal dit ook niet voor je doen.

[ Voor 9% gewijzigd door Rene_goris op 28-09-2016 12:07 . Reden: Toevoeginen ]

woensdag 28 september 2016 13:32

Acties:

0 Henk 'm!

O_Tiby

Topicstarter

Dank voor de reacties.

@Rene en Eric, wat vinden jullie van een Microtik? Ik begrijp dat Cisco goed spul is, en dat we niet voor iets van Mediamarkt moeten gaan. We zoeken een degelijke maar simpele oplossing dat we zelf kunnen aansluiten en instellen (ik heb voldoende ICT kennis, maar geen professionele bedrijfsnetwerk kennis).

Het bedrijf dat het glasvezel komt aansluiten raadde de Dell Sonicwall TZ300 aan.
Maar wat is goed en verstandig, Cisco/Dell Sonicwall is +€500, Microtik of een andere oplossing kan vanaf €100,-

EDIT: heb een beetje zitten rondneuzen, maar werken al die 'bedrijfs'routers met code en niet met een 'eenvoudige' webconsole om het apparaat in te stellen? (Fritzbox'en, drayteks, en alle andere (consumenten)routers kan ik wel mee overweg).
Is er iets dat qua instellingen goed te doen is, maar wel bedrijfsmatig ingezet kan worden?

[ Voor 24% gewijzigd door O_Tiby op 28-09-2016 13:43 ]

woensdag 28 september 2016 13:44

Acties:

0 Henk 'm!

mcsushi

Ik zelf heb erg goede ervaringen met mikrotik de rb2011 serie. Op zowel zakelijke als particuliere lijnen.
Mikrotiks hebben veel mogelijk heden voor site-to-site vpn en remote access. Heb zelf meerdere lokaties met mikrotiks en vpn aan elkaar gekoppeld. Zijn verder zeer stabiel.
Met betrekking tot het configureren, daar zal je enige kennis van tcp/ip en iptables voor moeten hebben. Mikrotik heeft wel een wat steile learing curve.

woensdag 28 september 2016 13:48

Acties:

0 Henk 'm!

O_Tiby

Topicstarter

Oke, begrijpelijk.

Een aandachtspuntje is dat we nu OpenVPN gebruiken dat op een los servertje draait. Al onze systemen in de wereld zijn nu ingesteld dat ze daar contact mee kunnen maken. Nu kan deze rustig blijven draaien en dat we de poorten goed forwarden (lijkt me). Maar het zou wel interessant zijn om dit via een ander ip-adres te doen dan waarmee we internetten.

En misschien op den duur voor thuiswerken etc. een VPN gaan gebruiken die dan in de router zit gebouwd.

maandag 3 oktober 2016 13:35

Acties:

0 Henk 'm!

O_Tiby

Topicstarter

Stel we nemen een Mikrotik of Cisco, hoe zit het dan met die overige IP-adressen die je van KPN krijgt?

Hoe lus je die door, of is dat alleen instellen in de Router? Dus één kabeltje van de KPN Cisco 897VA naar de nieuwe router, daar stel je dan in welk IP-adres op welk poortje wordt doorgestuurd?

En dan vanaf het juiste poortje doorlussen naar de TP-Link switch.

maandag 3 oktober 2016 13:40

Acties:

0 Henk 'm!

ShadowAS1

IT Security Nerd

Ik zou zeker voor iets als zakelijk (en zeker als je t geld hebt om een zakelijke glas lijn te betalen) voor professioneel spul kiezen.
Spul als Palo Alto is gemakkelijk en heel fijn om mee te werken imo..
Het ligt er een beetje aan wat je doet, maar naar mijn mening is een 'normale' stateful firewall (zoals een mikrotikje) niet meer afdoende in de wereld van vandaag

PA-ACE / RHCE / SCE // Any post or advice is provided as is, and comes with no warranty at all.

maandag 3 oktober 2016 14:59

Acties:

0 Henk 'm!

Rolfie

Mikrotik is mooi spul, maar wel hobby techniek. Afhankelijk van je snelheden, lukt het je niet eens op een Microtik of hij staat op 100% CPU load.
VPN op de Mikrotik is helemaal niet gemakkelijk te configureren of te beheren en ze zijn niet echt geschik voor encryptie vanuit de VPN. Advies om deze dus ook niet aan te schaffen.

Kijk eventueel zoals je zelf aangeeft naar Cisco, maar de 5506 heeft als limatie standaard 2 Anyconnect users. Fortigate heeft ook mooi en betaalbaar spul.
Pfsense is ook goed, en kan alles.
Sophos heeft nette firewall.

Hangt ook een beetje van je technische kennis en je budget af.

dinsdag 4 oktober 2016 09:21

Acties:

0 Henk 'm!

O_Tiby

Topicstarter

@rolfie,

Ik weet veel van consumenten ICT vanuit hobbymatig perspectief

Maar bedrijfsnetwerken is andere koek. Al denk ik heel ver te kunnen komen. Dus het liefst wat je met een beetje ICT kennis en het spreekwoordelijk 'geknutsel'/zelf doen voor elkaar kan krijgen.

Budget zo laag mogelijk (laat ik zeggen ong. max €500,-). We zijn een klein bedrijf waar we zelf het netwerk beheren. Het hoeft niet state-of-the-art te zijn.

Nogmaals, de KPN Cisco 897VA zit er standaard bij, en we hebben zelf TP-link gige switches. Tussen deze twee moetn nog beveiliging (firewall) komen.

Enige wat ik nog nodig heb is een concreet advies van; koop deze ....

dinsdag 4 oktober 2016 23:11

Acties:

0 Henk 'm!

Nox

Noxiuz

Persoonlijk zou ik voor pfsense gaan. Zeker ook een pro oplossing met vele functies.

Neem een zotac mini-pc met dual nic. Supermicro heeft ook een atom serverboard met 4 nics, voor als je het professioneler wil aanpakken (pfsense hun eigen enterprise FW draait ook op die soc).

Mini-pc is 200-250 euro, de server 650.

Mooie van pfsense is dat je er zoveel mee kunt zoals o.a. dpi..

Overlever van KampeerMeet 4.1
"Als David Attenborough een film van jou zou moeten maken zou hij het moeilijk krijgen." - TDW

woensdag 5 oktober 2016 15:29

Acties:

0 Henk 'm!

henk26

Ik zou die Cisco KPN modem er helemaal tussenuit halen en de router de PPoE verbinding op laten zetten. Dat kan bijvoorbeeld een Microtik zijn, maar ik zou dan gaan voor een andere goede router/firewall bijvoorbeeld een Watchguard Firebox. Bij ons bedrijf doen we dat ook, de firewall bouwt de PPoE verbinding op en doet de DHCP. Na de firewall komt de switch en dergelijke.

dinsdag 25 oktober 2016 20:47

Acties:

0 Henk 'm!

O_Tiby

Topicstarter

Oke oke.

We moeten maar gewoon iets kopen, het zal allemaal om het even zijn.

Het viel mij nu alleen op dat je bij sommige apparaten nog weer jaarlijkse (onderhouds)contracten moet afnemen. Daar zit ik niet op de wachten.
Weten jullie hoe dit is bij de Dell Sonicwall of bij de bovenstaande aangeraden units?