Wij huren colo-ruimte en zijn van plan een paar pfsense-boxen te gebruiken als onze firewall en enkele Fortigate-boxen voor IPsec, SSL en SDWAN-verkeer.
Zijn de Fortigates in staat om strikt VPN/SDWAN-concentratoren te zijn (ik weet zeker dat ze dat kunnen..)? Hoe zouden we dit fysiek en logisch opzetten?
We willen dat VPN-verkeer ook kan communiceren met hosts achter de pfsense-box(en).
Dit is onze eerste keer dat we de twee functies scheiden en vooral vanwege de kosten voor de nabije toekomst. Het is goedkoper om een pfsense-firewall te bouwen die multi-gig doorvoer aankan met 10GB-interfaces dan een 100F of groter aan te schaffen voor 10GB. Ik vermoed dat we over een paar jaar de knop zullen doorhakken, maar voor het interim, om binnen het budget te blijven, is dit de route die we besloten hebben.
Ik kan misschien niet op alle reacties reageren, dus alvast bedankt!
Bewerking: we kunnen soms ook multi-gig inter-vlan verkeer zien, dus een pfsense-box met 10GB-interfaces helpt daar ook bij. Ja, we zouden die rol kunnen verplaatsen naar de core switches met VRFs, maar is het dan de moeite waard om de moeite te doen met ACLs? Dit inter-vlan probleem is niet groot en kan gemakkelijk worden opgelost, maar het blijft een gedachte.
Zeker kunnen. Ze zullen geweldig zijn als VPN-concentrators. Ze zijn ook relatief goedkoop. Vooral als je niet licentieert voor UTM. Als alles wat je nodig hebt de hardware + ondersteuning is (2x voor HA + misschien PRMA als het mission-critical is), is het een vrij economische aanpak. Veel sneller dan algemene computing, gezien ASIC-offload voor encryptie. Hardware firewalls zullen ook je virtualisatiecluster besparen voor echte workloads, in plaats van dat je een deel toewijst aan pfSense voor de berekeningen van hetzelfde VPN-verkeer/werkbelasting.
Een 100F kan 11,5 Gbps IPsec-verkeer verwerken als dat is waar je het voor inzet (bijvoorbeeld andere processen nemen niet weg van de beschikbare berekeningen voor die functie). Dit wordt gemeten volgens de datasheet bij gebruik van AES256-SHA256. Het kan iets variëren afhankelijk van de sterkere/zwakkere algoritmen die je gebruikt.
Hoe je dit zou opzetten, hangt af van wat er aan de andere kant is. Het kan zo geautomatiseerd zijn als het maken van een dial-up VPN (geverifieerd zoals je wilt), die dynamische IP’s toestaat zolang ze aan andere criteria voldoen, of zo complex als je wilt, waarbij je handmatig elke tunnel aanmaakt en toewijst aan een zone om de firewallregels vooraf te configureren (bijv. “ipsec-zone → veeam-edge”).
Het kan de moeite waard zijn om ook iets als een FortiAnalyzer-VM te overwegen als je logging/analytics voor de oplossing nodig hebt. Anders kun je modellen met schijf gebruiken (bijv. FG-101F) voor lokale logging op het apparaat en niet afhankelijk zijn van logging naar RAM of FortiCloud, maar wees je bewust van de hogere aankoop- en herlicentiekosten. FAZ-VM kan ook fungeren als een repository voor SYSLOG en log forwarding doen als CEF met voorwaardelijke filtering, handig voor SOC/SIEM-achtige setup.
Firewalls zonder schijf met SYSLOG-forwarding, als je al een setup hebt, is ook een optie, maar bedenk hoe je het zult parseren en rapporteren.
Als je inter-VLAN routing daarvoor wilt gebruiken en je verwacht multi-gig throughput, heb je een krachtigere box nodig met meer SFP±poorten en rekenkracht. Maar als je de setup gebruikt als VPN-concentrator zonder UTM, is het weinig zinvol om dit op firewall-niveau te pushen (behalve voor zichtbaarheid). Sluit een L3 switch aan voor inter-VLAN/intra-DC verkeer en laat de rand het concentreren van VPN’s/externe verbindingen doen waar nodig.
Wij huren colo-ruimte en zijn van plan een paar pfsense-boxen te gebruiken als onze firewall en enkele Fortigate-boxen voor IPsec, SSL en SDWAN-verkeer.
Zijn de Fortigates in staat om strikt VPN/SDWAN-concentratoren te zijn (ik weet zeker dat ze dat kunnen..)? Hoe zouden we dit fysiek en logisch opzetten?
Ja dat kunnen ze, wij doen dat momenteel.
We hebben niet zoveel verkeer als jij, maar we gebruiken een 600E met sslvpn in één Vdom en s2s IPsec VPNs in een tweede Vdom.
Elke klant is in een gebruikersgroep met de naam van die klant en hun eigen adresblok. Bij het maken van firewallregels moet je ook een SSL VPN-gebruikersgroep toevoegen, zodat je scheiding tussen klanten hebt.
Ik begrijp niet waarom je dit doet, terwijl pfsense alle functies die jij van Fortigates verwacht, perfect kan uitvoeren.
De architectuur lijkt onnodig complex voor weinig rendement, tenzij ik iets mis.
Wat serveer je achter de firewall en hoeveel GB doorvoer heb je eigenlijk nodig?
Ben je zeker?
pfSense? SD-WAN? Serieus?
We host onze Veeam-backups en verschillende servers (AD, FS, RDS, SW PDM, QB, enzovoort).
We zijn van plan om over te stappen op een commit van 2-5 Gbps. We kunnen misschien iets doen als de DC WAN-feed splitsen en een ‘dual(+) wan’ draaien, en dan load balancing toepassen. Natuurlijk brengt dat andere complexiteiten en beperkingen mee.
Ons primaire gebruik van bandbreedte is van de systemen die we voor onze klanten hosten, daarom is een VPN-concentrator met een gigabit-snelheid voldoende. Sommige klanten hebben contracten die hen toestaan video’s te streamen en andere taken uit te voeren vanaf hun RDS. (Ze worden natuurlijk extra in rekening gebracht voor de extra capaciteit)
We moeten ook sessies overwegen. We zouden een pfsense-box kunnen bouwen die miljoenen sessies aankan voor minder kosten.
^dit
We hebben enkele klanten die via SDWAN door het datacenter worden geleid en functies zoals FEC en pakketde/dupliceerd gebruiken.
Ook is het makkelijker om SSL VPN-gebruikersgroepen te maken onder één poort (443) op de Fortigate dan verschillende OVPN-servers/poorten (1194+/aangepast).
Dit is niet voor een enkele organisatie, we zijn een MSP die meerdere organisaties ondersteunt.
Ik ben een HA-cluster voor 200F’s die in twee datacenters zitten en via een layer 2-fiber verbonden zijn.
We hebben ongeveer 200 IPsec-tunnels die via advpn op die boxes eindigen.
We hebben ook ongeveer 300 SSL VPN’s die erop eindigen en groeien.
Dus ja, dat is perfect mogelijk.
Houd er rekening mee dat je echt EMS wilt gebruiken om FortiClient te beheren wanneer je opschaalt, voor het geval je een wijziging wilt doorvoeren.
SDWAN wordt ook gebruikt voor transit-internetverkeer over twee internetproviders.
De 100F, maar eigenlijk is de 200F het doel, maar nog niet op korte termijn.
Omdat we een MSP zijn, kunnen we verschillende EMS-beleidsregels maken voor verschillende klanten?
Ja. Je kunt meerdere groepen maken in EMS. We hebben er een onboarding-groep, en als je daar 2 dagen in zit, wordt de licentie na die tijd gedeactiveerd.
Dat is genoeg tijd om ze naar de eindpuntgroep te verplaatsen en de juiste VPN-instellingen te krijgen.
Ik heb ook gekozen voor de Fortinet SaaS FortiClient, maar er is geen reden waarom je je eigen niet kunt hosten.
Zo is het ook met de EMS-client. Het enige verschil is dat je ondersteuning krijgt met EMS.
Kun je je powershell-script delen? Ik heb er nooit een werkend gekregen.
Multi-tenancy is beschikbaar in EMS v7 en later.