Ищу советы и рекомендации по использованию устройств на месте для завершения корпоративных VPN-соединений с клиентами и третьими лицами.
На данный момент у нас есть некоторые ASA, выполняющие эту работу, однако они показывают свой возраст, и нам нужны дополнительные функции, которых у них пока нет.
Я хочу иметь возможность запускать мультиконфиденции, например VRF. Идея заключается в том, что если клиент хочет site-to-site VPN вместо MPLS, мы можем завершить их VPN и напрямую передать их в их VRF. Однако для обеспечения безопасности потребуется контроль доступа и функции следующего поколения для фильтрации трафика перед входом в VRF клиента. Также нам нужны возможности маршрутизации BGP.
В настоящее время у нас 30 клиентов; не все используют site-to-site VPN, однако в долгосрочной перспективе это может стать необходимым масштабом.
Я думал о маршрутизаторах Cisco для завершения VPN с использованием FVRF для построения туннелей и размещения интерфейса туннеля в их форвардинговом VRF. Также использовал бы L2-файрвол для соединения маршрутизатора Cisco и их VRF. Причина в использовании маршрутизатора в том, что, по моему опыту, они отлично подходят для VPN и обеспечивают все необходимые возможности маршрутизации.
От человека, который активно управляет парой Cisco ASR как концентраторами VPN (с BGP): не делайте этого. Они могут делать всё, что хотите, и работают очень хорошо, но становятся непосильными в управлении при росте более 5 туннелей. Даже не говоря о попытках автоматизации.
Нам пришлось создавать блок-схему, чтобы инженеры не забывали части конфигурации (профиль IKE, профиль IPsec, набор трансформаций IKE, набор трансформаций IPsec, ключевые кольца, предложения, настройка FVRF, интерфейсы туннеля, интерфейсы Vasili и т.д.) и никто реально не понимал, что есть что.
Чтобы дать представление, каждый устройство содержит около 40 туннелей, вписанных в 3100 строк конфигурации. Совет — выбрать устройство с интерфейсом пользователя, будь то Fortigate или Palo Alto.
Fortinet может делать всё это с помощью VDOM, которые по сути являются VRF.
Поместите каждого клиента в VDOM и завершайте их VPN-туннели в каждый VDOM по мере необходимости.
Контролируйте трафик с помощью политик, так что можете делать все L7/приложения.
ASR 1000 — мой предпочтительный выбор для site-to-site. В них практически всё возможно, но они не являются файрволами. Можно также использовать Palo Alto и виртуальные маршрутизаторы с правилами.
Компания, в которой я работал, использовала Meraki Z3 в качестве концентраторов VPN, подключая их от своих офисов к нашим дата-центрам. Думаю, они хорошо справлялись.
У нас было около 250 устройств.
/u/rotame12a, не уверен, почему вы заблокировали свой вопрос о виртуальном Fortigate, из-за этого я не могу ответить в нужной теме.
Поэтому я здесь отвечу…
Это просто виртуальный средство Fortigate, работающее на вашем vSphere (или другом) инфраструктурном окружении, как Cisco с CSR1000v.
VRF достигаются за счет VDOM в FGT.
Также можно автоматизировать создание VDOM и туннелей с помощью Ansible, поскольку существуют модули почти для всех элементов конфигурации.
Если хотите отказоустойчивость, можно построить кластер HA, как при использовании двух физических устройств, это две виртуальные машины.
Да, количество настроек на маршрутизаторе меня беспокоило. Не особо волнуюсь по поводу развертывания, так как я использовал бы ansible для настройки.
Больше обеспокоен диагностикой и тем, что младшие инженеры будут вынуждены разбирать строки конфигурации.
Предпочел бы веб-интерфейс с API, чтобы туннели можно было создавать через ansible.
Это мое первоначальное представление, но оно не подходит под требования Nextgen Firewall. Мне нравится использование маршрутизаторов для туннелей, я делаю так со AWS через наши прямые подключения, и это очень хорошо работает.