Klein kantoor met ingebouwde LAN poorten correct aansluiten

Zelden een post gezien met zoveel verschillende (en verkeerde) termen

Ik adviseer je een (klein) bedrijfje in te huren die je een goede switch + firewall levert die geschikt is voor 2 internet verbindingen. Dit ga je zelf nooit fatsoenlijk opgelost krijgen door een gebrek aan kennis. En die kennis is ook niet nodig, goed laten aansluiten en de komende 5 jaar heb je geen zorgen.

Wat ik op de foto zie zijn inderdaad gewoon patchpanels, oftewel het andere uiteinde van de muuraansluitingen bij elkaar gebracht. Wat je nodig hebt is het volgende:
- switch
- router
- firewall
- access-point(s) voor WiFi

Belangrijke vraag lijkt me: wat is je budget?

Je zou de functie van router en firewall kunnen combineren in bijv. een Ubiquiti Edgerouter 8 of 8pro, voor WiFi een of meerdere (hangt van vorm, grootte en materialen in kantoorruimte af) Ubiquity Unifi AP AC HD of als het goedkoper moet Unifi AP AC Lite access-points. Die EdgeRouter kun je zodanig configureren dat je KPN verbindingen als failover meedoen, of zelfs load balancing op doen als je dat wilt.

lazybones schreef op zondag 19 februari 2017 @ 11:18:
Wat ik op de foto zie zijn inderdaad gewoon patchpanels, oftewel het andere uiteinde van de muuraansluitingen bij elkaar gebracht. Wat je nodig hebt is het volgende:
- switch
- router
- firewall
- access-point(s) voor WiFi

Belangrijke vraag lijkt me: wat is je budget?

Je zou de functie van router en firewall kunnen combineren in bijv. een Ubiquiti Edgerouter 8 of 8pro, voor WiFi een of meerdere (hangt van vorm, grootte en materialen in kantoorruimte af) Ubiquity Unifi AP AC HD of als het goedkoper moet Unifi AP AC Lite access-points. Die EdgeRouter kun je zodanig configureren dat je KPN verbindingen als failover meedoen, of zelfs load balancing op doen als je dat wilt.

Waarom zou er een router nodig zijn?

Verwijderd schreef op zondag 19 februari 2017 @ 11:19:
[...]

Waarom zou er een router nodig zijn?

Meest belangrijke: om meerdere internet verbindingen aan te sluiten, load-balancing en/of failover mogelijk te maken. Met alleen een switch is dat kansloos.
Secundair: Het lijkt mij erg prettig wanneer je firewall taken en QoS zaken onafhankelijk van je provider kunt instellen en beheren, daarbij wil je dus het modem of glasbox van de provider gewoon als transparant device gebruiken en verder alle instellingen centraal op je eigen router doen.

lazybones schreef op zondag 19 februari 2017 @ 11:18:
Wat ik op de foto zie zijn inderdaad gewoon patchpanels, oftewel het andere uiteinde van de muuraansluitingen bij elkaar gebracht. Wat je nodig hebt is het volgende:
- switch
- router
- firewall
- access-point(s) voor WiFi

Belangrijke vraag lijkt me: wat is je budget?

Je zou de functie van router en firewall kunnen combineren in bijv. een Ubiquiti Edgerouter 8 of 8pro, voor WiFi een of meerdere (hangt van vorm, grootte en materialen in kantoorruimte af) Ubiquity Unifi AP AC HD of als het goedkoper moet Unifi AP AC Lite access-points. Die EdgeRouter kun je zodanig configureren dat je KPN verbindingen als failover meedoen, of zelfs load balancing op doen als je dat wilt.

En niet vergeten. Een stuk of 50 patchkabels van een cm of 30.

En aangezien er een 19" rack staat, zorg dat je apparatuur koopt die hier in past. Dat maakt de montage een stuk makkelijker.

En wil je wel alle aansluitingen van een netwerkverbinding voorzien? Dan heb je een switch nodig met 50 poorten en 50 patchkabels. Dit moet een managed switch zijn met ondersteuning voor meerdere VLANs.

Wil je alleen die 16 tot 20 die op het internet gaan op het netwerk hebben, dan is een domme switch met 24 poorten genoeg

[ Voor 14% gewijzigd door RocketKoen op 19-02-2017 11:27 ]

lazybones schreef op zondag 19 februari 2017 @ 11:23:
[...]


Meest belangrijke: om meerdere internet verbindingen aan te sluiten, load-balancing en/of failover mogelijk te maken. Met alleen een switch is dat kansloos.
Secundair: Het lijkt mij erg prettig wanneer je firewall taken en QoS zaken onafhankelijk van je provider kunt instellen en beheren, daarbij wil je dus het modem of glasbox van de provider gewoon als transparant device gebruiken en verder alle instellingen centraal op je eigen router doen.

Je noemt al een firewall in je lijstje. Een firewall is in principe direct ook een router en een fatsoenlijke kan ook alles wat je hierboven noemt. Heeft niets met je switch of apparatuur van je provider te maken.

Een router is in deze situatie helemaal niet nodig. Die taak neemt de firewall op zich.

Ik mag toch hopen dat die patchpanelen niet van stroom zijn voorzien..

Als ik dit zo lees raad ik je aan om het uit te besteden.

.Maarten schreef op zondag 19 februari 2017 @ 11:26:
Ik mag toch hopen dat die patchpanelen niet van stroom zijn voorzien..

Aan de foto te zien, zijn ze geaard ipv van stroom voorzien

Op zich is dit niet heel lastig; met een dual-wan router, een goede switch en wat access points ben je er al.

Een managed switch heeft altijd de voorkeur bij zulke hoeveelheden aansluitingen. Ook al gebruik je hem nu als 'domme switch'.
Als je straks wel zaken als je VOIP (want dat heb je gewoon) e.d. voorrang wil gaan geven of VLAN's wil gaan maken.
Kost een paar tientjes meer, maar ben je wel klaar voor de toekomst.

DenizYlmz schreef op zondag 19 februari 2017 @ 11:36:
[...]

Zou je een voorbeeld kunnen geven van een firewall die zou volstaan in deze situatie? De switch wordt waarschijnlijk een onbeheerde 24-poorts switch.

Ligt aan je budget. Maar ik zou iets fatsoenlijks kopen als een Juniper van rond de 500-600 euro. Krijg je ook wat ondersteuning als in updates.

Maar eigenlijk volstaat alles, van een 'gratis' PfSense tot een dure Checkpoint of Palo Alto.

Verwijderd schreef op zondag 19 februari 2017 @ 11:26:
[...]

Je noemt al een firewall in je lijstje. Een firewall is in principe direct ook een router en een fatsoenlijke kan ook alles wat je hierboven noemt. Heeft niets met je switch of apparatuur van je provider te maken.

Een router is in deze situatie helemaal niet nodig. Die taak neemt de firewall op zich.

Ik benoemde in eerste instanctie de functies die nodig zijn.

Daarbij: Firewalls die ook routeringsfuncties hebben (is niet vanzelfsprekend) zijn daar over het algemeen erg langzaam in (tenzij je onbeperkt budget hebt), zeker gezien er door TS gesproken wordt van een 500mbit aansluiting gaat dat met beperkt budget gewoon niet voldoende zijn.

Normaliter zorgt een router dan voor de distributie van het verkeer over de verschillende lijnen en verzorgt ook de failover daarop. Firewall komt daar achter. Mochten ze in de toekomst naar glasvezel gaan dan moet je bij zakelijke aansluitingen ook nog zelf aan trafficshaping doen en dat is ook iets dat een firewall niet of slecht kan.

Vanwege het budget opperde ik een EdgeRouter die dus een compromis is en zowel routering als firewalling kan doen, maar voor een in verhouding klein budget toch nog voldoende snelheid heeft voor deze toepassing.

Jouw voorstel is vermoedelijk dan een Juniper SRX100 Base Firewall gezien de prijs. Die zit met 700mbit routing performance dan gelijk al aan zijn limiet. Een EdeRouter zoals ik voorstelde kost iets meer dan de helft en heeft 2gbit performance en is eenvoudiger te configureren. Lijkt me dan de betere keuze.

Een managed switch zou ik ook voor zijn, al is het maar omdat je dan meerdere mogelijkheden open laat voor de langere termijn.

[ Voor 9% gewijzigd door lazybones op 19-02-2017 11:51 ]

Een firewall heeft altijd een routeringsmogelijkheid. Dat is vanzelfsprekend. Zo niet, dan is het geen firewall. Of misschien wel, een bijzonder effectieve aangezien er geen verkeer langs zal komen. Alles erachter is dan wel lekker veilig.

In dit geval moet je op de throughput van de firewall letten, die moet minstens 500 Mbit zijn. En die ga je echt niet in de goedkoopste series vinden.
Maar eigenlijk is die ook niet belangrijk, belangrijker is de dual WAN mogelijkheid.

DenizYlmz schreef op zondag 19 februari 2017 @ 11:55:
[...]

Nogmaals bedankt voor het meedenken. De situatie is een stuk complexer dan ik had voorzien.. Het betreft dus een oppervlak van zo'n 100m2, zonder betonnen muren (alleen glazen panelen). Is een alternatief voor het bekabelde netwerk een GOED mesh WiFi netwerk dat direct aangesloten is op het modem van Ziggo? Of is dit een recipe for disaster vanwege het aantal gebruikers (+/-10 tegelijk).

Wat is een mesh wifi netwerk eigenlijk?

DenizYlmz schreef op zondag 19 februari 2017 @ 11:58:
[...]

Systemen als Google WiFi of Linksys Velop (meerdere AP's, één netwerk). Naar mijn inziens gewoon een plug-and-play consumentenvariant op iets als een Unify netwerk.

Gewoon een paar AP's dus.
Die consumentenvariant gedachte moet je snel vanaf. Tenzij je vooral geen netwerk wil hebben. De naam consument zeg al voldoende.

Als de ruimte meer dan 1 AP vereist, moet je investeren in een fatsoenlijke oplossing. Hoeft heel geen 10k te kosten, maar wel iets meer dan consumenten spul.

Een mesh WiFi netwerk is een serie AP's die draadloos met elkaar verbonden zijn en daardoor een grotere dekking realizeren dan 1 AP.
Met alle kabels die je hebt liggen lijkt het mij echter veel beter om de AP's via een kabel met een switch te verbinden. Ubiquiti is daarbij een goede oplossing voor kleine bedrijven die professioneel spul willen zonder dat ze een IT beheerder in dienen te huren. Probeer de Ubiquiti Unify range eens. Router (de USG Firewall), switches, AP's, en een controller. Kun je alles via 1 web-interface inrichten en onderhouden.

lazybones schreef op zondag 19 februari 2017 @ 11:44:
[...]


Ik benoemde in eerste instanctie de functies die nodig zijn.

Daarbij: Firewalls die ook routeringsfuncties hebben (is niet vanzelfsprekend) zijn daar over het algemeen erg langzaam in (tenzij je onbeperkt budget hebt), zeker gezien er door TS gesproken wordt van een 500mbit aansluiting gaat dat met beperkt budget gewoon niet voldoende zijn.

Normaliter zorgt een router dan voor de distributie van het verkeer over de verschillende lijnen en verzorgt ook de failover daarop. Firewall komt daar achter. Mochten ze in de toekomst naar glasvezel gaan dan moet je bij zakelijke aansluitingen ook nog zelf aan trafficshaping doen en dat is ook iets dat een firewall niet of slecht kan.

Vanwege het budget opperde ik een EdgeRouter die dus een compromis is en zowel routering als firewalling kan doen, maar voor een in verhouding klein budget toch nog voldoende snelheid heeft voor deze toepassing.

Jouw voorstel is vermoedelijk dan een Juniper SRX100 Base Firewall gezien de prijs. Die zit met 700mbit routing performance dan gelijk al aan zijn limiet. Een EdeRouter zoals ik voorstelde kost iets meer dan de helft en heeft 2gbit performance en is eenvoudiger te configureren. Lijkt me dan de betere keuze.

Een managed switch zou ik ook voor zijn, al is het maar omdat je dan meerdere mogelijkheden open laat voor de langere termijn.

Die egderouters zijn leuk qua specs noemen, net als Acer dat doet. Maar met een trage firewall erachter heb je sowieso niks aan snelheid van je router.

Ik denk dat er meerdere alternatieven zijn, maar een firewall van 500-600 euro moet je gewoon aan denken voor een veilige en snelle oplossing.

Ik zou zeker geen complexiteit toevoegen met meerdere apparaten voor 1 taak.

Verwijderd schreef op zondag 19 februari 2017 @ 11:55:
Een firewall heeft altijd een routeringsmogelijkheid. Dat is vanzelfsprekend. Zo niet, dan is het geen firewall. Of misschien wel, een bijzonder effectieve aangezien er geen verkeer langs zal komen. Alles erachter is dan wel lekker veilig.

In dit geval moet je op de throughput van de firewall letten, die moet minstens 500 Mbit zijn. En die ga je echt niet in de goedkoopste series vinden.
Maar eigenlijk is die ook niet belangrijk, belangrijker is de dual WAN mogelijkheid.

Ben je nu bewust zo eigenwijs of is het gebrek aan praktijkervaring?

Het gaat er niet om of een firewall kan routeren (nogal vanzelfsprekend dat dat kan), maar dat de firewalls in de prijsklasse waar we het hier over hebben gewoon erg slecht zijn qua performance indien je ze gebruikt als router.

Jouw voorbeeld (Juniper van 600 euro) is eigenlijk al te langzaam voor drie lijnen waarvan er eentje 500mbit is. Dat trekt ie wel, zolang je geen firewall regels aanmaakt . . . hoe meer regels hoe lager de throughput.

Gezien beperkt budget is elke aangedragen oplossing een compromis.

luxan schreef op zondag 19 februari 2017 @ 12:03:
Een mesh WiFi netwerk is een serie AP's die draadloos met elkaar verbonden zijn en daardoor een grotere dekking realizeren dan 1 AP.
Met alle kabels die je hebt liggen lijkt het mij echter veel beter om de AP's via een kabel met een switch te verbinden. Ubiquiti is daarbij een goede oplossing voor kleine bedrijven die professioneel spul willen zonder dat ze een IT beheerder in dienen te huren. Probeer de Ubiquiti Unify range eens. Router (de USG Firewall), switches, AP's, en een controller. Kun je alles via 1 web-interface inrichten en onderhouden.

Zie nog steeds niet wat de term mesh daarin bijdraagt. Gewoon een paar AP's met een comtrollertje. Unifi is inderdaad een goede keus in deze. Ik zou proberen om 3 AP's op te hangen. Niet zozeer voor het bereik maar vooral voor de load verdeling.

Toevallig gebruik ik zelf Unifi Ubiquiti AP's, met de controller op een simpele Windows bak. Werkt prima, maar al wel gemerkt dat bij 10-15 actieve verbindingen op 1 AP de performance echt keihard onderuit gaat. Toevoegen (zeer eenvoudig gelukkig) van wat AP's loste dat direct op.

DenizYlmz schreef op zondag 19 februari 2017 @ 11:55:
[...]

Nogmaals bedankt voor het meedenken. De situatie is een stuk complexer dan ik had voorzien.. Het betreft dus een oppervlak van zo'n 100m2, zonder betonnen muren (alleen glazen panelen). Is een alternatief voor het bekabelde netwerk een GOED mesh WiFi netwerk dat direct aangesloten is op het modem van Ziggo? Of is dit een recipe for disaster vanwege het aantal gebruikers (+/-10 tegelijk).

WiFi is leuk voor je laptop of telefoon.
1 apparaat met WiFi problemen trekt je de hele WiFi snelheid naar beneden.

Het belangenrijkste is om eerst je budget vast te stellen.
Met een wat lager budget kun je bijvoorbeeld deze apparaten gebruiken:
https://www.ip-sa.com.pl/rb3011uias-p-2033.html
https://www.ip-sa.com.pl/css326-2srm-p-2410.html

Puur fail over met 500Mbps is hiermee geen enkel probleem.
Uitgebreide QoS wordt wat lastiger, maar als je dat nog niet nodig kun je dat geld uitsparen.

Verwijderd schreef op zondag 19 februari 2017 @ 12:06:
[...]

Zie nog steeds niet wat de term mesh daarin bijdraagt.

Mesh = zonder kabels. Je hebt dus geen kabel van je switch naar je AP lopen. Ideaal als je AP's over een groot oppervlak wil verbinden zonder dat je honderden meters kabel trekt. Het betekend (vaak) ook dat het mesh netwerk zelf geen controller heeft.

[ Voor 9% gewijzigd door luxan op 19-02-2017 12:09 ]

Verwijderd schreef op zondag 19 februari 2017 @ 12:03:
[...]

Die egderouters zijn leuk qua specs noemen, net als Acer dat doet. Maar met een trage firewall erachter heb je sowieso niks aan snelheid van je router.

Ik denk dat er meerdere alternatieven zijn, maar een firewall van 500-600 euro moet je gewoon aan denken voor een veilige en snelle oplossing.

Ik draai toevallig zo'n EdgeRouter met twee internetlijnen daaraan thuis: hoofdlijn is glasvezel 1gigabit up en down en als backup lijn nog Ziggo met 200 down en 40 up.

Die EdgeRouter doet bij mij dus routering EN firewalling. En dat kan dus prima voor een bedrag van 320 euro. Het 3 en 5 poorts model haalt dat net niet (geprobeerd, die maxed out bij 800 mbit upload) maar die heeft ook maar een max. capaciteit die de helft is dan de 8 poorts broer.

Er is dus niet nog een aparte firewall nodig . . .

lazybones schreef op zondag 19 februari 2017 @ 12:05:
[...]


Ben je nu bewust zo eigenwijs of is het gebrek aan praktijkervaring?

Het gaat er niet om of een firewall kan routeren (nogal vanzelfsprekend dat dat kan), maar dat de firewalls in de prijsklasse waar we het hier over hebben gewoon erg slecht zijn qua performance indien je ze gebruikt als router.

Jouw voorbeeld (Juniper van 600 euro) is eigenlijk al te langzaam voor drie lijnen waarvan er eentje 500mbit is. Dat trekt ie wel, zolang je geen firewall regels aanmaakt . . . hoe meer regels hoe lager de throughput.

Gezien beperkt budget is elke aangedragen oplossing een compromis.

Ik denk dat het probleem niet aan deze kant zit hoor.

Prachtig voorstel om er dan maar een extra apparaat voor te zetten. Maar dan heb je 2 of 3 firewalls nodig erachter. Of ga je een router plaatsen en dan een firewall erachter en de 3 lijnen daarop? Wat is dan het voordeel precies van je router? Die gaat nog steeds alles naar je firewall door duwen.

Een dedicated router heb je alleen nodig in een complex netwerk met bijvoorbeeld meerdere VLAN's die je met elkaar wil verbinden.

In het geval van ts is er helemaal niks te routeren. Er zijn geen complexe netwerken. Er is enkel een firewall nodig die 2 of 3 lijnen aankan. Meer niet.

Firewall lijkt mij ook overbodig omdat je geen inkomende verbindingen hebt of andere lastige zaken waarvoor je een firewall nodig hebt.

luxan schreef op zondag 19 februari 2017 @ 12:09:
[...]


Mesh = zonder kabels. Je hebt dus geen kabel van je switch naar je AP lopen. Ideaal als je AP's over een groot oppervlak wil verbinden zonder dat je honderden meters kabel trekt. Het betekend (vaak) ook dat het mesh netwerk zelf geen controller heeft.

Alleen kakt de snelheid dan wel in, want je moet bandbreedte delen met traffic dat voor andere APs bedoeld is. Is een goede oplossing voor een groot bereik wanneer je geen kabels kunt of wilt aanleggen (buiten bijv.) en snelheid niet zo belangrijk is.

luxan schreef op zondag 19 februari 2017 @ 12:09:
[...]


Mesh = zonder kabels. Je hebt dus geen kabel van je switch naar je AP lopen. Ideaal als je AP's over een groot oppervlak wil verbinden zonder dat je honderden meters kabel trekt. Het betekend (vaak) ook dat het mesh netwerk zelf geen controller heeft.

Mesh betekent helemaal niet zonder kabels, hoe kom je daar nu bij?

lazybones schreef op zondag 19 februari 2017 @ 12:12:
[...]


Alleen kakt de snelheid dan wel in, want je moet bandbreedte delen met traffic dat voor andere APs bedoeld is. Is een goede oplossing voor een groot bereik wanneer je geen kabels kunt of wilt aanleggen (buiten bijv.) en snelheid niet zo belangrijk is.

Precies mijn punt, je kunt je AP's in deze situatie beter aansluiten via een kabel (er liggen er namelijk al 40 zo te horen)

Verwijderd schreef op zondag 19 februari 2017 @ 12:11:
[...]

Prachtig voorstel om er dan maar een extra apparaat voor te zetten. Maar dan heb je 2 of 3 firewalls nodig erachter. Of ga je een router plaatsen en dan een firewall erachter en de 3 lijnen daarop? Wat is dan het voordeel precies van je router? Die gaat nog steeds alles naar je firewall door duwen.

Normaliter 1x router met daarachter 1x firewall. Wil je alles redundant uitvoeren dan meer, maar ik denk dat dit buiten de scope ligt van TS.

Een dedicated router heb je alleen nodig in een complex netwerk met bijvoorbeeld meerdere VLAN's die je met elkaar wil verbinden.

VLANs kun je ook laten routeren door een beetje fatsoenlijke switch. Die is daar weer veel sneller in. Een router(functie) heb je nodig om je verschillende IP ranges op met elkaar te kunnen laten praten. In dit geval 4 namelijk intern en de drie externe lijnen.

In het geval van ts is er helemaal niks te routeren. Er zijn geen complexe netwerken. Er is enkel een firewall nodig die 2 of 3 lijnen aankan. Meer niet.

Er is niks te routeren? Tegen zoveel onnozelheid kan ik niks inbrengen.

Eerst hebben we een router nodig volgens jouw, dan weer niet en volstaat een firewall. Een firewall kan volgens jouw niet routeren. Maar nu weer wel. Je hebt echt werkelijk geen idee waar je mee bezig bent.

Meerdere VLAN's (er staat overigens bijvoorbeeld bij) houdt meestal ook in meerdere IP ranges. En die moet je soms routeren. Soms ook niet, iets met subnets maar daar zal ik je niet mee vermoeien op deze zondag.

Feit blijft dat TS een multi WAN firewall nodig heeft. Een Juniper, Unifi of willekeurig ander merk doet niet zozeer ter zake. Zolang de throughput maar een beetje fatsoenlijk is. En die hoeft niet hetzelfde te zijn als de maximale snelheid van de verbinding. Kwestie van kosten en baten afwegen.

Verwijderd schreef op zondag 19 februari 2017 @ 12:27:
Eerst hebben we een router nodig volgens jouw, dan weer niet en volstaat een firewall. Een firewall kan volgens jouw niet routeren. Maar nu weer wel. Je hebt echt werkelijk geen idee waar je mee bezig bent.

Meerdere VLAN's (er staat overigens bijvoorbeeld bij) houdt meestal ook in meerdere IP ranges. En die moet je soms routeren. Soms ook niet, iets met subnets maar daar zal ik je niet mee vermoeien op deze zondag.

Feit blijft dat TS een multi WAN firewall nodig heeft. Een Juniper, Unifi of willekeurig ander merk doet niet zozeer ter zake. Zolang de throughput maar een beetje fatsoenlijk is. En die hoeft niet hetzelfde te zijn als de maximale snelheid van de verbinding. Kwestie van kosten en baten afwegen.

Als je je oogkleppen af had gezet dan had je kunnen lezen in mijn post van 11:18 dat ik daar voorstelde om router + firewall functie te combineren in een (als voorbeeld genoemde) EdgeRouter . . . en dat kan uiteraard ook met diverse andere merken (Microtik, Sophos UTM, Cisco, Juniper, etc.)

En een EdgeRouter is dus wel primair een router die toevallig ook firewall functies heeft, al zijn die lang niet zo uitgebreid als een dedicated firewall. Het is een - wat ik al eerder schreef - compromis.

Het is altijd een compromis. Ook als je Palo Alto's van 100.000 euro koopt maak je een compromis.

Je advies voor een Unifi EdgeRouter is overigens een prima advies hoor. Met een beetje geluk kan het ding ook nog wat Unifi AP's aansturen en heb je dus een prima totaal oplossing voor een klein bedrijf. Maar heb de spec sheets niet afdoende gelezen om te weten of dit een functionaliteit is.

Mijn advies is om dit professioneel te laten installeren zodat je een goed netwerk krijgt wat een paar jaar meekan.

Pfsense met multi-wan mogelijkheid en een managed 48 poorts switch en prepatchen die handel. Pfsense kan die 500mbit makkelijk aan, zeker met een c2xxx bordje (alleen ff jammer van die clock issues)

Qua wifi: wat wil je en wat is je budget?

Met alles is eigenlijk budget een issue... Heb ik je niet over gehoord. Price-performance kan je xclaim, ubiquity of zyxel (6103D iirc) bekijken

Verwijderd schreef op zondag 19 februari 2017 @ 12:38:
Het is altijd een compromis. Ook als je Palo Alto's van 100.000 euro koopt maak je een compromis.

Je advies voor een Unifi EdgeRouter is overigens een prima advies hoor. Met een beetje geluk kan het ding ook nog wat Unifi AP's aansturen en heb je dus een prima totaal oplossing voor een klein bedrijf. Maar heb de spec sheets niet afdoende gelezen om te weten of dit een functionaliteit is.

Mijn advies is om dit professioneel te laten installeren zodat je een goed netwerk krijgt wat een paar jaar meekan.

Helaas kun je met een EdgeRouter geen Unifi spul aansturen. De EdgeRouter komt uit de EdgeMax familie en deze producten werken niet met de Ubiquiti Unifi controller software. Een alternatief voor de EdgeRouter die wel met de Unifi controller werkt is de USG (Unifi Security Gateway.)

luxan schreef op zondag 19 februari 2017 @ 13:30:
[...]


Helaas kun je met een EdgeRouter geen Unifi spul aansturen. De EdgeRouter komt uit de EdgeMax familie en deze producten werken niet met de Ubiquiti Unifi controller software. Een alternatief voor de EdgeRouter die wel met de Unifi controller werkt is de USG (Unifi Security Gateway.)

Waarschijnlijk kom je dan wel bij deze uit: pricewatch: Ubiquiti UniFi USG PRO Gateway Router gezien de hele performance discussie. Lijkt mij dat die gelijk is aan de gewone EdgeRouter, waar de 3 poorts USG gelijk is aan ik meen de EdgeRouter Lite. In ieder geval is de USG (non Pro) qua hardware 100% identiek aan een EdgeRouter model, dus ga er ook vanuit dat dat geldt voor de USG Pro.

Daarbij zou je dan nog kunnen kiezen voor de pricewatch: Ubiquiti Unifi Switch (24-poorts, 250W PoE+) (de PoE variant voor de APs, maar zou ook zonder PoE kunnen en dan met de injectors) in combinatie met een aantal UniFi APs (2 of 3 werd eerder genoemd?) en kom je uit op E1000 tot E1100 voor het totaal.

Verwijderd schreef op zondag 19 februari 2017 @ 12:14:
[...]

Hahahahahaa

Sorry, veeg me op.

Jij hebt ook geen slot op de voordeur omdat je in een veilige wijk woont?

Uiteraard bedoel ik een separate firewall, en ieder router is eigenlijk in de basis ook een firewall maar dan op een ander niveau. Daarbij als ik lees met wat voor soort devices hij gaat werken zou je bij wijze van spreken zelfs een volledig openbaar netwerk kunnen gebruiken.
Dus ja een groot complex slot lijkt mij in deze overdreven omdat er weinig te halen is. Of heb jij thuis ook camera beveiliging, vingerafdruk lezers met pincodes en continu toezicht door meldkamer?

[ Voor 8% gewijzigd door Frogmen op 19-02-2017 16:17 ]

Frogmen schreef op zondag 19 februari 2017 @ 16:15:
[...]

Uiteraard bedoel ik een separate firewall, en ieder router is eigenlijk in de basis ook een firewall maar dan op een ander niveau. Daarbij als ik lees met wat voor soort devices hij gaat werken zou je bij wijze van spreken zelfs een volledig openbaar netwerk kunnen gebruiken.
Dus ja een groot complex slot lijkt mij in deze overdreven omdat er weinig te halen is. Of heb jij thuis ook camera beveiliging, vingerafdruk lezers met pincodes en continu toezicht door meldkamer?

Als ik mijn telefoon als meldkamer mag classificeren is het antwoord ja, hoezo?

Een separate firewall is geen overdreven of complex slot. Het is de basis van je beveiliging. Het hoeft de hoofdprijs niet te kosten en het is afdoende om een basis beveiliging neer te leggen, maar je moet wel een basis neerleggen. En voor die hoeveelheid gebruikers is een basis van 300 tot 600 euro geen overdreven uitgave.

Wil je wel eens horen als ze je persoonsgegevens bij een dergelijk bedrijf op halen. Behalve dat jouw privacy in het geding komt kan het bedrijf ook zijn borst natmaken met alle nieuwe regels en meldplicht die daaraan vast zit.

Het weglaten van een firewall is als een nieuwe auto kopen en zeggen dat je geen airbags hoeft, omdat je toch niet van plan bent een ongeluk te krijgen.

Verwijderd schreef op zondag 19 februari 2017 @ 16:37:
[...]

Als ik mijn telefoon als meldkamer mag classificeren is het antwoord ja, hoezo?

Een separate firewall is geen overdreven of complex slot. Het is de basis van je beveiliging. Het hoeft de hoofdprijs niet te kosten en het is afdoende om een basis beveiliging neer te leggen, maar je moet wel een basis neerleggen. En voor die hoeveelheid gebruikers is een basis van 300 tot 600 euro geen overdreven uitgave.

Wil je wel eens horen als ze je persoonsgegevens bij een dergelijk bedrijf op halen. Behalve dat jouw privacy in het geding komt kan het bedrijf ook zijn borst natmaken met alle nieuwe regels en meldplicht die daaraan vast zit.

Het weglaten van een firewall is als een nieuwe auto kopen en zeggen dat je geen airbags hoeft, omdat je toch niet van plan bent een ongeluk te krijgen.

Als je goed leest in de TS lees je dat ze alles met Google in de cloud doen dus mits jij een Chromebook en Google apps als onveilig classificeert is het overdreven. Of ga je uit veiligheidsoverweging ook altijd naar de bank om daar via wifi te bankieren? En ik ben blij dat jij camera's in huis hebt hangen als jij je daar veilig bij voelt moet je dat doen, maar ga niet beweren dat het absoluut noodzakelijk is voor ieder woonhuis want dat slaat nergens op.

DenizYlmz schreef op zondag 19 februari 2017 @ 20:57:
[...]


Precies dit.. We draaien zelf geen diensten en we hebben nauwelijks tot geen bestanden offline staan. Alles is Google Cloud en een cloud-based CRM. Ik neem aan dat een router voldoende is, ervanuitgaande dat er firewall en QoS etc inbegrepen is?

Yep en dat kun je zo gek maken als je zelf wilt (met dit ding heb je alles in 1) maar in de praktijk heb je waarschijnlijk niet eens zoveel nodig. Als je niet met die Dual WAN eis zat dan voldeed de standaard zakelijke router van de gemiddelde ISP met een eenvoudige switch waarschijnlijk al.

DenizYlmz schreef op zondag 19 februari 2017 @ 11:31:
[...]

(grachtenpand in Amsterdam)

[...]

Waarschijnlijk is één WiFi router voldoende om het hele oppervlak te dekken.

Ben je al binnen geweest voor een WiFi site survey?

Ik ben vaker in A'damse grachtenpanden geweest en WiFi kun je als volgt omschrijven:
- 2.4GHz volstrekt onbruikbaar, zowel door overvloed aan andere WiFi-netwerken in de buurt als draadloze beveiligingscamera's die te pas en onpas opgehangen zijn.
- 5GHz non-DFS kanalen bij vlagen onbruikbaar door enorme drukte en feit dat 90% van andere kantoren net zoals jij denken dat willekeurige consumentenmeuk de boel draaiend moet kunnen houden, en dat steevast apparaten zijn zonder DFS support.
- 5GHz DFS-kanalen: meestal vrij schoon, deels doordat overgrote deel van AP's er niet in kan werken en deels doordat doorgaans alleen netadmins die weten waar ze mee bezig zijn deze kanalen gebruiken, en dus ook zendsterkte lager instellen en andere buur-vriendelijke zaken.

Oftewel: enige kans op bruikbare WiFi is 5GHz in de DFS-kanalen. Zelfs dan geen sinecure. Was ooit in een pand op de Kromme Waal met zicht op het marineterrein bij het Kattenburgereiland. Geen idee wat ze daar voor installatie hadden, maar elke ~10 sec kwam er een puls energie die alle verbindingen in de 5GHz-band eruit blies. Moet haast een of andere radar geweest zijn. In dat pand was op geen enkel kanaal een bruikbaar WiFi-verbinding mogelijk (tot een jaar later die pulsen opeens ophielden, toen waren de 5GHz DFS-kanalen wel een optie).

Maar goed, als je denkt dat de boel met een enkele consumentenAP afgedekt kan worden: alsjeblieft, doe jezelf en je bedrijf een plezier en huur een professional in, niet alleen voor de draadjes maar ook voor WiFi. *Juist* als je alles in de cloud doet

Stel jezelf de vraag: wat kost het je als je een dag lang geen toegang hebt tot die cloud? Of als je at random verbindingsproblemen hebt waardoor die ene belangrijke mail wegvalt of een uitgewerkte presentatie niet goed opgeslagen wordt...

Een grachtenpand is peperduur, ga dan niet dom bezuinigen op de faciliteiten die je nodig hebt om het werk te doen dat zo'n grachtenpand rechtvaardigt!

Verwijderd schreef op zondag 19 februari 2017 @ 11:55:
Een firewall heeft altijd een routeringsmogelijkheid. Dat is vanzelfsprekend. Zo niet, dan is het geen firewall.

Ehh.. dat is dus niet waar. Sterker nog, routeren is in zijn geheel geen basis functionaliteit van een firewall maar vaak als extra, net als dat het vaak ook door een l3 switch gedaan kan worden.

Frogmen schreef op zondag 19 februari 2017 @ 16:15:
[...]

Uiteraard bedoel ik een separate firewall, en ieder router is eigenlijk in de basis ook een firewall maar dan op een ander niveau. Daarbij als ik lees met wat voor soort devices hij gaat werken zou je bij wijze van spreken zelfs een volledig openbaar netwerk kunnen gebruiken.
Dus ja een groot complex slot lijkt mij in deze overdreven omdat er weinig te halen is. Of heb jij thuis ook camera beveiliging, vingerafdruk lezers met pincodes en continu toezicht door meldkamer?

Wat? Een firewall heeft letterlijk niks met routeren te maken... Spul komt erin, wordt gefilterd en komt er wel/niet door, er wordt nergens gerouterd.
Een router 'routert' verkeer, vandaar de naam, maar doet niets aan filtering.
Als je die twee combineert (zoals in de meeste consumenten boxen) dan heb je een apparaat wat zowel routert als een firewall draait, beide hebben nog steeds niks met elkaar te maken.
Je voorstel om een volledig openbaar netwerk te gebruiken voor een bedrijfsnetwerk, daar valt niks positiefs over te zeggen... Voor een thuisnetwerk is openbaar al geen optie, laat staan wanneer je je geld verdient over dat netwerk.
Wat je voorstelt is dat je de voordeur open gooit en je huisraad op staat uitstalt...
Maar ja, ik heb net zoals iedereen, thuis een firewall, sloten op de deur en rookmelders, jij niet dan?

[ Voor 3% gewijzigd door RGAT op 20-02-2017 00:53 ]

Bij de apparatuur die voor de TS interessant is, zoals Fortigate, Juniper SRX etc zit routing en firewall gewoon in een apparaat. Fortinet noemt het een firewall, Juniper een integrated services router. Feit is dat het beiden volwaardige firewalls én routers zijn (tot BGP en bij Juniper zelfs MPLS aan toe).

Verwijderd schreef op maandag 20 februari 2017 @ 08:27:
Dus jij wilt zeggen dat een firewall geen verkeer van 10.1.1.2 (interne PC) naar 216.58.212.99 (Google.nl) kan sturen?

Ja, 'sturen' of 'doorlaten' is iets heel verschillends. Het bijhouden van NAT of PAT sessies is überhaupt geen routeren. Kijk maar eens naar de Cisco ASA's, veel mensen gaan daar de mist in omdat ze vaak vergeten dat die firewall geen router is.

Iedereen weet het blijkbaar beter.

@TS
Haal uit de discussie de voor jou belangrijke punten en laat een vrijbijvende offerte opstellen door 3 partijen en laat ze daarin alles meenemen.

Kies dan de offerte waar je voor jou gevoel het beste bij zit.
Deze kan je natuurlijk zonder naam en toenaam hier plempen zodat ze er een plasje overeen kunnen doen

Verwijderd schreef op maandag 20 februari 2017 @ 08:37:
[...]


Echt, je hebt werkelijk geen idee waar je het over hebt. Het feit dat je cloud diensten gebruikt zegt niets over je eigen interne veiligheidssystemen.

Jij laat je voordeur dus gewoon open staan, want je tablet is gesynced met de cloud.

Waar het in deze om gaat is dat er A geen poorten of iets van buiten naar binnen open staan. B er intern geen devices die diensten delen waar bedrijfsgegevens opstaan. C er alleen HTTPS verbindingen opgezet worden naar Cloud omgevingen.
Leg mij even uit welke kwetsbaarheden er zijn waar je een grote firewall voor nodig hebt. Theoretisch is een man in the middle mogelijk mits je eerst certificaten op de devices vertrouwd krijgt, maar dan moet je dat nog op de standaard router geinstalleerd krijgen. Anderzijds gaat men werken met apparatuur waarvan we het allemaal normaal vinden om op ieder netwerk te werken. Dus leg uit wie heeft er geen idee.
Graag een duidelijk overzicht van de risico's

Frogmen schreef op maandag 20 februari 2017 @ 10:17:
[...]


Waar het in deze om gaat is dat er A geen poorten of iets van buiten naar binnen open staan. B er intern geen devices die diensten delen waar bedrijfsgegevens opstaan. C er alleen HTTPS verbindingen opgezet worden naar Cloud omgevingen.
Leg mij even uit welke kwetsbaarheden er zijn waar je een grote firewall voor nodig hebt. Theoretisch is een man in the middle mogelijk mits je eerst certificaten op de devices vertrouwd krijgt, maar dan moet je dat nog op de standaard router geinstalleerd krijgen. Anderzijds gaat men werken met apparatuur waarvan we het allemaal normaal vinden om op ieder netwerk te werken. Dus leg uit wie heeft er geen idee.
Graag een duidelijk overzicht van de risico's

Als je oprecht alle firewalls hebt uitgeschakeld en verwijderd dan zou ik graag weten welk bedrijf dat dan is zodat ik daar nooit mijn gegevens in hoef te vullen, als je zo weinig geeft om beveiliging dat je expres beveiliging verwijderd...
Jouw netwerk is 'veilig' zolang alles exact werkt zoals jij het wil. Zodra er een medewerker een virus binnen brengt ben je klaar...
Maar als we dat moeten uitleggen dan heb je (no offense intended, ondanks dat het niet vriendelijk klinkt...) niet geschikt om dat netwerk te beheren, again niet verkeerd bedoeld maar kan het niet echt vriendelijker brengen
Alleen op een LAN zonder enige verbinding met een ander netwerk zou je kunnen zeggen dat een firewall niet cruciaal is en dan nog alleen als alle systemen 100% vertrouwd zijn, dus geen USB poorten, geen netwerk en geen enkele mogelijkheid om erin te komen, zo'n situatie bestaat hooguit in een kernreactor...
Geloof je wel in spamfilters?

RGAT schreef op maandag 20 februari 2017 @ 15:16:
[...]


Als je oprecht alle firewalls hebt uitgeschakeld en verwijderd dan zou ik graag weten welk bedrijf dat dan is zodat ik daar nooit mijn gegevens in hoef te vullen, als je zo weinig geeft om beveiliging dat je expres beveiliging verwijderd...
Jouw netwerk is 'veilig' zolang alles exact werkt zoals jij het wil. Zodra er een medewerker een virus binnen brengt ben je klaar...
Maar als we dat moeten uitleggen dan heb je (no offense intended, ondanks dat het niet vriendelijk klinkt...) niet geschikt om dat netwerk te beheren, again niet verkeerd bedoeld maar kan het niet echt vriendelijker brengen
Alleen op een LAN zonder enige verbinding met een ander netwerk zou je kunnen zeggen dat een firewall niet cruciaal is en dan nog alleen als alle systemen 100% vertrouwd zijn, dus geen USB poorten, geen netwerk en geen enkele mogelijkheid om erin te komen, zo'n situatie bestaat hooguit in een kernreactor...
Geloof je wel in spamfilters?

Welke firewall helpt tegen virus die ik via Gmail binnen zou krijgen? Welke firewall beschermt tegen USB sticks?
En voor de duidelijkheid waarom is een extra firewall nodig buiten die in de standaard modems/router die je van de provider krijgt? Er wordt heel stellig iets geroepen maar ik heb nog geen concrete bedreiging gezien waarvoor een extra firewall noodzaak is.
Laten we dus wel de bal spelen en niet de man, we zijn geen politici

Frogmen schreef op maandag 20 februari 2017 @ 16:20:
[...]

Welke firewall helpt tegen virus die ik via Gmail binnen zou krijgen? Welke firewall beschermt tegen USB sticks?
En voor de duidelijkheid waarom is een extra firewall nodig buiten die in de standaard modems/router die je van de provider krijgt? Er wordt heel stellig iets geroepen maar ik heb nog geen concrete bedreiging gezien waarvoor een extra firewall noodzaak is.
Laten we dus wel de bal spelen en niet de man, we zijn geen politici

Fair enough, bedoel het niet persoonlijk
Anyway, een ingebouwde firewall wel gebruiken is wel wat anders dan je eerdere statement om zonder firewall te gaan
Met de ingebouwde kunnen we het wel eens zijn dat die (meestal) zat zijn voor een simpel kantoor etc. zolang er maar iets is. Overigens is beveiliging iets wat op elke laag speelt, een firewall helpt (afhankelijk van de firewall) op L3 tot L7, om tegen de gebruikers te beveiligen heb je wat beters nodig
Je firewall kan echter wel helpen als iemand een RAT binnen haalt, dan is het fijn dat je een firewall hebt die dat tegen houdt, of die RAT nou via mail/USB binnen komt

Maar of ik heb het fout en leer graag, zelfs als je de firewall in het modem uitzet zal je toch lastig verkeer naar binnen krijgen of zie ik dat verkeerd.

In theorie niet, als je NAT hebt draaien. Maar het gaat niet alleen om ingaand verkeer

Welke risico's loop ik nog meer (ik leer altijd graag en ik denk dat het voor de TS behulpzaam kan zijn).

Frogmen schreef op maandag 20 februari 2017 @ 16:43:
Welke risico's loop ik nog meer (ik leer altijd graag en ik denk dat het voor de TS behulpzaam kan zijn).

Gebruiker heeft PC dat geinfecteerd is met een of ander. Gaat spam versturen waardoor je IP geblacklist wordt, zet uitgaande verbinding (reverse shell) op naar botnet CnC server. Boze medewerker doet FTP dump van bedrijfsgegevens bij concurrent of pers. Allemaal uitgaande zooi die je zou willen kunnen verhinderen. En nee, geen firewall is waterdicht, maar dat is geen reden om niets te doen.

Een goede reden om je firewall zo strak mogelijk af te stellen voor zowel inkomend als uitgaand verkeer is het beschermen van internet of things apparaten.

Bijvoorbeeld: IP-camera's, NAS-apparaten, toegangscontrolesystemen, netwerkprinters, klimaatbeheer en andere industriële systemen horen niet van buitenaf benaderbaar te zijn.

In al deze casussen is het gebrek aan netwerkbescherming slechts één onderdeel van het grotere probleem: onwetendheid en/of onwilligheid om het beter te doen.

dion_b schreef op maandag 20 februari 2017 @ 18:03:
[...]

Gebruiker heeft PC dat geinfecteerd is met een of ander. Gaat spam versturen waardoor je IP geblacklist wordt, zet uitgaande verbinding (reverse shell) op naar botnet CnC server. Boze medewerker doet FTP dump van bedrijfsgegevens bij concurrent of pers. Allemaal uitgaande zooi die je zou willen kunnen verhinderen. En nee, geen firewall is waterdicht, maar dat is geen reden om niets te doen.

Spam zou kunnen alhoewel niet al te waarschijnlijk met chromebooks. FTP dump met GDrive sorry geen nut doet hij thuis wel. Kortom beetje vergezocht.
Dit is precies waar het hier om gaat geef advies op maat voor de risico's passend bij de omgeving.
Ik ben nog niet overtuigd.

Frogmen schreef op maandag 20 februari 2017 @ 19:58:
[...]

Spam zou kunnen alhoewel niet al te waarschijnlijk met chromebooks.

Ik lees over Chromeboxen, niet Chromebooks. Dan nog, al zouden het Chromebooks zijn, ook Chromebooks kunnen malware draaien (zij het (nog) niet met rootrechten).

FTP dump met GDrive sorry geen nut doet hij thuis wel.

Mits hij persoonlijk over de toegang beschikt voor gegevens in kwestie. Op het werk is het een stuk makkelijker als het gaat om dingen waar hij niet zelf bij kan maar collega die even roken is wel.

Kortom beetje vergezocht.
Dit is precies waar het hier om gaat geef advies op maat voor de risico's passend bij de omgeving.
Ik ben nog niet overtuigd.

Advies voor ieder netwerk zou moeten zijn: deny all tenzij... - ook/juist uitgaand

Het is sowieso niet te doen om op basis van summiere informatie een ook maar enigszins sluitende security analyse te doen, maar het is altijd een stuk makkelijker en minder schadelijk om een te dichte netwerk iets opener te maken dan als het kalf verdronken is de put van een wagenwijd openstaande te dempen. Ook hier: network security is een vak. Mogelijk zijn de eisen in dit geval inderdaad niet zo hoog, maar als het bedrijf zelf de kennis niet heeft is dit ook iets om in te kopen, zowel qua ontwerp als beheer (tenzij iemand in het bedrijf die beheersrol kan nemen, maar gezien iemand zonder die kennis de vraag stelt is het niet aannemelijk dat zo iemand er is, laat staan dat er genoeg mensen zijn met de kennis om vakanties/ziekte etc te kunnen opvangen).

Frogmen schreef op maandag 20 februari 2017 @ 19:58:
[...]

Spam zou kunnen alhoewel niet al te waarschijnlijk met chromebooks. FTP dump met GDrive sorry geen nut doet hij thuis wel. Kortom beetje vergezocht.
Dit is precies waar het hier om gaat geef advies op maat voor de risico's passend bij de omgeving.
Ik ben nog niet overtuigd.

Op moment dat je je beveiliging basseert op aanames (assumptions are the mother of...)...
Je neemt aan dat je geen Chromebook virus krijgt maar een Windows of Mac/Linux virus, terwijl een aanvaller dat prima kan kiezen... Hoe heeft een FTP dump met GDrive geen nut? FTP werkt even goed met GDrive... Je data gaat dus alsnog naar je aanvaller.
Dit is precies waar het hier om gaat, we kunnen niet op maat advies geven als we niet de details weten. We kunnen echter wel de minimum beveiliging aanraden en vertellen hoe beveiliging werkt en geen firewall (helemaal geen) is waanzin.
Beveiliging uitzetten omdat er 1 ding door kan is ook niet al te goed... Een tank kan ook door je huis rijden, maar voor de rest heb je een slot op de deur Ook dat slot helpt maar op 1 laag tegen een beperkt aantal risico's, dat is hoe beveiliging werkt.
Een uitleg waarom firewalls handig zijn is niet nodig, dat is gewoon een feit
Specifieke voorbeelden waar je systeem gevoelig voor is werken niet als je steeds maar 1 of 2 details geeft en verder kaap je het topic van TS daar ook mee
Als je specifiek vragen over je netwerk hebt, open een topic met uitgebreide topic start, dan kan daar veel beter geholpen worden dan hier waar e.a. gesplitst loopt
Als je zaken niet zeker weet ga dan iig niet uitspraken plaatsen zoals 'Firewall lijkt mij ook overbodig' omdat je daarmee TS extra snel naar een ramp stuurt

hallo,

voor mijn stage heb ik afgelopen weken ook onderzoek gedaan om onze firewall te vervangen.
ik kan bevestigen dat er een groot verschil is tussen de capaciteit van 2gbit/s van de edgerouter pro8 van uni, en de behaalde snelheid wanneer je de firewall dingen zoals UTM/XTM aanzet.
als je utm/xtm achtige firewall bescherming wilt, kom je echt te kijken naar gespecialiseerde producten zoals die juniper en watchguard heeft. houdt hier rekening mee dat de capaciteit met utm ingeschakeld 50-80% lager kan zijn dan uitgeschakeld. des te meer soorten firewall actief, of regels aangemaakt, des te langzamer. dan hebben we antivirus nog niet eens aangezet.
voor zover ik weet voldoet de basis firewall zoals een cisco router of een edgerouterpro heeft in normale kantoor situaties. scheelt ook een hoop budget.

goodluck