avis/choix routeur 4 WAN

Message par **dsebire** » jeu. 2 oct. 2014 09:22

allez, un feedback en plus.

cette nuit, vers 1h30, DoS sur la fibre (je vois pas trop pourquoi mais bon...)
bah le routeur (le 310) a tenu sans problème !
pas de coupure de service, évidement fortement ralenti, mais pas en vrac comme j'ai eu le cas avec les USG100/1000 avant.

le CPU est monté a 90%, mais tout était encore accessible.
l'attaque s'est arrêtée quelques heures après, avant que j'arrive.

par contre:
obligé de reboot (bien que ça aurait pu tourner encore comme ça, j'ai préféré assurer).
la RAM, FLASH, et CPU étaient restés assez haut (pt 'être une fuite mémoire ou un truc du genre)

PS: attaque par ICMP/IGMP avec gros paquets mal formatés.
tous droppés par le firewall/ADP

A+

Message par **gizmo78** » jeu. 2 oct. 2014 09:42

comme quoi ils ont peut être pris les remarques en comptes !

Message par **dsebire** » jeu. 2 oct. 2014 10:02

le CPU est surtout une dizaine de fois plus costaud que les versions précédentes

Message par **gizmo78** » jeu. 2 oct. 2014 10:24

forcément ca aide ^^

Message par **Alucardfh** » ven. 3 oct. 2014 00:02

J'été justement en train de chercher des infos sur du matos pour faire du multi link failover.

Vu mes moyens et mes conditions j'vais surement finir avec deux openbsd.

Mais si jamais quelqu'un a un retour sur Ubiquiti ou sur Meraki je suis preneur

https://meraki.cisco.com/products/appliances

Message par **augur1** » ven. 3 oct. 2014 07:24

Bcp de retour positif sur l'Edge router lite dee ubiquiti, sur le topic dédié dans réseaux chez hardware.fr

En parallèle tu peux regarder également les router board et cloud router de Mikrotik mais moins d'info en français.

Message par **TheMartel** » ven. 3 oct. 2014 08:18

meraki c'est cher, et soumis a licence de 3 ans renouvellable (vs pepetes bien sur...)
Matos de bonne qualité par contre, pas mal de fonctions sympa: mais tout pars dans le cloud ...

Message par **merlin2000fr** » lun. 6 oct. 2014 15:46

salut salut

perso je proposerais bien du pfsense monté dans une machine ou plusieurs dédiés, et ou un pfsense dans une boiboite déjà toutes prêtes comme celle propose via le site de la distribution, apres tout reste question de budget et pouvoir faire avec ou pas.

Message par **dsebire** » mar. 17 févr. 2015 10:58

en accès WAN, au pire je suis a 3-4% d'occupation CPU
en LAN to LAN en etant proche de la limite du giga, je suis a 8%, et pas en continu, ça repasse parfois a 0.

petit complément sur les perfs, tunnel IPSec up depuis hier, qq soucis de débit réglés ce matin (MTU), je transfère entre mes sites a 4Mo/s (la fibre NC bride, je ne sais pas pourquoi, l'accès au net sans VPN monte bien plus haut), mais le routeur grimpe à 35-40% de CPU

le 110 ne tiendra clairement pas la cadence si on doit basculer dessus un jour

donc toujours satisfait du 310

pour l'histoire, j'ai (encore) découvert un bug dans les firmware 4.X.
dans une certaine config (trop long a détailler ici) le routeur fait n'importe quoi avec les paquets.
ça rentre par un WAN et ressort par un autre.
évidement les paquets sortants sont droppés par le premier routeur opérateur vu qu'il comprend pas qu'on émette avec l'IP d'un autre

normalement, ça devrait être corrigé dans la prochaine release

PS: quasi aucune chance que vous tombiez dessus, c'est vraiment un cas extrême

Message par **micha30000** » mar. 17 févr. 2015 12:43

J'avais raté ce topic. C'est trop tard mais dans la gamme de ce que tu cherchais y a les parefeux Fortinet aussi

Message par **dsebire** » mar. 17 févr. 2015 13:00

trop cher

Message par **kevin_server** » sam. 21 févr. 2015 22:24

Un de mes fournisseurs au bureau me conseillait du mikrotik (faut dire qu'il est revendeur en France aussi) et m'en disait beaucoup de bien. Bon, j'ai pas testé donc je sais pas ce qu'ils ont vraiment dans le ventre mais bon, si augur en dit aussi du bien, c'est peut être pas pour rien.
Je gère trois connexions internet: 1 ADSL, 1 SDSL 2Mb et une fibre 500/200 Orange avec un stormshield SN300. Stormshield c'est une société créé lors de la fusion de Arkoon et Netasq et c'est franchement assez sympa d'un point de vu administration et je n'ai pas eu un plantage en 5-6 mois de prod.
Pour la conf: l'ADSL est en failover de la fibre et la SDSL c'est notre MPLS.
Si certains veulent des stats sur les conso, je peux vous fournir ça lundi.

Message par **micha30000** » sam. 21 févr. 2015 22:31

Stormshield existait bien avant, ils sont même au Gartner

Ils faisaient des produits de endpoint control. Mais bon, acheter du Stormshield aujourd'hui, bon courage quand même, vu ce qu'était Arkoon et Netasq sur la fin. Surtout que le merge est très frais, ils ont pas encore trop touché à ce qui existait j'imagine.
PS: pour de la grosse société je parle, pour de la PME ça reste intéressant, même s'il y a des Fortinet au même prix qui sont des parefeux NextGen foutrement plus évolués...

Message par **micha30000** » sam. 21 févr. 2015 22:36

Sinon dsebire, pour le prix:
Zyxel 310, 2Gbps de BP, 500Mbps sur VPN, environ 1500$
Fortigate 90D, 3,5Gbps de BP, 1Gbps sur VPN IPSEC, moins de 900$
http://www.fortinet.com/sites/default/f ... te-90D.pdf

J'ai fait l'étude y a pas longtemps, Fortinet ressortait premier sur les perfs comme sur les prix (pas en PME par contre)

Message par **dsebire** » dim. 22 févr. 2015 07:03

Ya que 2 wan !!!!!
Depuis le départ, je dis que ça limite énormément le lowcost

Message par **yullito** » lun. 23 févr. 2015 14:35

salut dsebire

et si tu prenais simplement un watchguard 8 ports gigabits avec un pfsense dessus ??

Message par **dsebire** » lun. 23 févr. 2015 15:52

je viens de tomber sur les prix

lol ^1000
PS: pas trouvé les prix "nu", apparement c'est toujours revendu avec du soft et/ou licence

Message par **merlin2000fr** » lun. 23 févr. 2015 16:04

il y en a de temps en temps sur la bay des versions avec pfsense d'installé ou d'autre solution libre (car en sommes c'est juste le hard qui t interesse

Message par **dsebire** » lun. 23 févr. 2015 16:33

oui, mais du hard avec un minimum de garantie et support (utilisation en entreprise)

Message par **merlin2000fr** » lun. 23 févr. 2015 16:48

la c'est pas la meme non plus, autant partir dur un watchdog avec la total, meme si c'est cher, cela vaux le cout sur le long terme, et post garantie passer sur du pfsense, ou directement via les revendeurs de box pfsense d'origine.

Message par **micha30000** » lun. 23 févr. 2015 18:55

Ya que 2 wan !!!!!
Depuis le départ, je dis que ça limite énormément le lowcost

N'importe quel port accepte une entrée WAN... les trucs écrits du genre WAN/DMZ/whatever sont indicatifs !

Message par **dsebire** » lun. 23 févr. 2015 20:44

Si faut se taper les 500 pages de docs pour trouver cette info, c'est loin d'être "commerçant"
C'est quand même con que ca soit pas indiqué en clair sur le site de présentation

Message par **micha30000** » lun. 23 févr. 2015 21:06

Oui tu as raison c'est pas clair du tout. Ils feraient mieux de pas le mettre, mais les gens seraient perdus

C'est encore un de ces trucs qu'on se garde, hérité de l'ancien temps...
Le parefeu gère des interfaces, et n'importe quel port peut être utilisé dans ce but. Une interface physique peut avoir plusieurs virtuelles, on peut faire des agrégats de plusieurs interfaces physiques ou virtuelles, etc.

PS: même les interfaces de management peuvent être utilisées pour du LAN/WAN

PS2: tu peux même gérer des vdoms maintenant, ton FW physique peut avoir plusieurs FW logiques, qui ont des réseaux virtuels entre eux. Joyeux bordel !

Message par **XaT** » sam. 21 nov. 2015 02:45

ER8/Pro chez UBNT, pas cher et ça carbure !

XaT