Zoals de titel al zegt. Ik vraag me af waarom iemand voor ZeroTier zou kiezen als oplossing voor S2S in plaats van een echte S2S VPN?
Zowel Site A als Site B hebben een openbaar IP (dus dat is geen probleem).
Site A gebruikt Fortigate, Site B kan pfSense gebruiken (hardware is niet beschikbaar).
Site A heeft ongeveer 90 gebruikers die toegang moeten krijgen tot bronnen op Site B.
De makkelijkste oplossing die ik kan bedenken, is het gebruik van een S2S VPN van de Fortigate naar de pfSense. De Fortigate is de enige gateway. Routes worden vanaf daar aangekondigd.
Een van mijn collega’s stelde voor om ZeroTier te gebruiken met één agent per site.
Volgens mij zou de Fortigate dan zijn routingtable aanpassen en alle verzoeken naar Site B via de ZeroTier-agent op Site A laten gaan.
Wat zijn de voordelen en nadelen van het gebruik van ZeroTier ten opzichte van de Fortigate/pfSense S2S? Dit betreft management, beveiliging en prestaties.
Ben je van plan al deze gebruikers in de toekomst thuis te laten werken? Er is geen echt voordeel aan het gebruiken van Zero Tier in plaats van een S2S VPN, tenzij je op zoek bent naar een bullet point voor je cv zoals " geïmplementeerd vendor-agnostische zero trust-netwerktechnologieën voor meer dan 90 gebruikers" of probeert te decentraliseren. Het kan zelfs geen echte zero trust-netwerktoegang bieden omdat ZeroTier geen ingebouwde postuurbeoordelingsengine heeft. SAML is ook niet gratis, dus Zero Tier zou duurder voor je zijn dan je site-naar-site VPN.
Ik hou van de KISS-methode. Als er geen reden is om een ingewikkeldere laag toe te voegen via ZT, houd dan de VPN op de firewalls, ervan uitgaande dat ze geschikt daarvoor zijn. Al het verkeer in/out van site A gaat door de firewall, of het nu bestemd is voor Site B, het internet, of ???.
Geen virtuelle machines om te onderhouden, geen cloudconnectiviteit om rekening mee te houden, geen terugkerende kosten, geen cloud onderhoudsschema, geen rare routes, en het verkeer van A naar B hoeft niet via dezelfde link van de firewall te gaan (endpoint naar fw, fw terug naar ZT, ZT terug door de firewall naar de cloud) aan beide zijden.
Omdat je ZeroTier onderzoekt, is Netmaker ook de moeite waard om te bekijken voor een meer robuuste en flexibele oplossing. Het biedt een veiliger, krachtiger en hoogpresterend alternatief, vooral als je met veel gebruikers werkt en een flexibel netwerk moet opzetten. Bovendien kun je Netmaker zelf hosten, wat je volledige controle over je netwerkverkeer geeft.
Site A is het hoofdkantoor. Site B is in feite een externe cloudklant.
Er zal geen noodzaak zijn om SAML te gebruiken voor de VPN zelf. De applicaties die de gebruikers gaan gebruiken, zijn al toegankelijk in het huidige netwerk, maar ze zullen om bepaalde redenen worden gemigreerd.
We zijn van plan om de gratis plan van ZeroTier te gebruiken omdat het budget van de klant per jaar is en heel beperkt. Of gewoon doen wat ze al hebben als netwerkapparatuur (de Fortigate).
Natuurlijk, maar een dedicated paar firewalls was niet een van de keuzes van OP. Het was of het op de firewalls doen of op apparaten die achter de firewalls liggen, dus afhankelijk van de firewalls die omhoog en verkeer passeren.