Modernizacja sieci

[error123]

Witam wszystkich,

Jestem jeszcze mało doświadczonym administratorem sieci dlatego chciałbym skorzystać z porady, a mianowicie:

Mam wykonać modernizację sieci. Obecnie mamy jedno łącze 20/1,5 z Netii.
NAT, DHCP, VPN Server, Dostęp WLAN jest zrobiony na routerze Draytek, czyli wszystko w jednym.


Modernizacja polega na :
- Zakup łącza symetrycznego 16/16 Mb
- Zakup nowego routera
- instalacja serwera na Debianie

Kryteria:

1. Łącza mają być redundantne, w razie awarii jednego łącza cały ruch jest przekazywany na drugie łącze. Idealnie by było, jeszcze zastosować load balancing.
2. Musi byc dostęp do sieci firmowej przez VPN
3. Oczywiście NAT, DHCP
4. Wirtualna Centrala telefoniczna przy wykorzystaniu oprogramowania Asterisk albo FreePBX.
5. Serwer FTP na potrzeby wewnętrzne
6. Ma być możliwość przekierowania adresów zewnetrzych


Z czym mam problem:

1. Oto lista routerów, które biore pod uwagę (nie wszystkie posiadają serwer vpn i nie wiem, czy jak zrobie serwer na linuksie to będzie to dobrze działac). Nie bardzo wiem, który wybrać....

Konsorcjum FEN - Value Added Distributor ... 6&pid=2227
Konsorcjum FEN - Value Added Distributor ... 0fefe5cab5
Konsorcjum FEN - Value Added Distributor ... 2461b1ff04
Konsorcjum FEN - Value Added Distributor ... 928c080121

2. Jeżeli kupię router bez klienta VPN, to na debianie będzie ok? oczywiście będę musiał przekierowac adres ip
3. gdzie jest lepiej uruchomic dhcp oraz QoS? na routerze czy debianie ?


Z góry dziękuję za pomoc.

[TQM]

Po pierwsze IPSec VPN nie zadziala na debianie jesli ten bedzie za NAT'em - IPSec nie dziala na forwardowanych portach. Mozesz zrobic jakis OpenVPN albo PPTP i to bedzie ok ale na tym sprawa sie konczy.

Ogolnie Draytek jest ok - moze po prostu znajdz inny model, taki co obsluzy 16/16 symetryka... albo po prostu daj tam modem i router kablowy z portem ethernet na WAN i po sprawie - mozesz uzyc dowolnego routera/firewalla ktory bierze ethernet, czyli prawie wszystko.

Jak chcesz miec tanio i bardzo zaawansowany router to zobacz na Mikrotik'a (routerboard.com to gotowy sprzet z oprogramowaniem Mikrotik'a - RouterOS), na prawde potrafi to cuda zdzialac... a do VoIP'a postawisz port forward na Asterisk'a/FreePBX'a i powinno byc ok.

[error123]

Dzięki za odpowiedź. Mikrotika wolę nie używać, bo nie jest to aż tak stabilny system.

U mnie w sieci jest jeszcze zrobiony "LAN to LAN profile" działanie tego jest takie, że spinamy na stałe daną firmę i na komputerze pracownik odpala tylko zdalny pulpit. Co powinien obsługiwac router, żeby zachowac ta funkcjonalnosć?

i jeszcze ostatnia rzecz - czy do skonfigurowania BGP trzeba mies specjany router? nowy provider cos wspominał na ten temat ale tak jak mówiłem, dopiero sie uczę ;/

[TQM]

Mikrotika wolę nie używać, bo nie jest to aż tak stabilny system.

Nie wiem skad taka informacja... ja bym powiedzial ze jest bardzo stabilny - znam nie jedna firme (ISP) ktore na tym leca od konca do konca, caly szkielet a nawet po urzadzenia CPE.

U mnie w sieci jest jeszcze zrobiony "LAN to LAN profile" działanie tego jest takie, że spinamy na stałe daną firmę i na komputerze pracownik odpala tylko zdalny pulpit. Co powinien obsługiwac router, żeby zachowac ta funkcjonalnosć?

Robisz IPSec VPN jesli masz stale adresy IP i po sprawie - dwie sieci LAN z roznymi adresami IP (nie moze byc ta sama podsiec) i normalnie routing leci przez VPN - maszyny moga miedzy soba gadac, nie ma co ustawiac poza zezwoleniem na firewallu na przeplyw danych co wiekszosc tanich routerow robi od razu samo. Draytek ma to do siebie ze wspiera IPSec wiec mozesz calosc na tych routerach zalatwic.

i jeszcze ostatnia rzecz - czy do skonfigurowania BGP trzeba mies specjany router? nowy provider cos wspominał na ten temat ale tak jak mówiłem, dopiero sie uczę ;/

Tak, do BGP potrzeba router ktory to obsluguje, czyli zaden z normalnie dostepnych na rynku w rozsadnym zakresie cenowym. Mozesz postawic jakiegos PC-ta i na nim zrobic BGP na Linux'ie/BSD, mozesz postawic pfSense albo po prostu wsadzic Mikrotika, ktory obsluguje BGP i chyba wiekszosc jesli nie wszystkie wspolczesnie znane protokoly. Dla porownania, jak 4 lata temu kupowalismy do firmy routery Cisco aby zrobic BGP na nich to placilismy ok 100k zlotych za sztuke, gdzie Mikrotik robiacy to samo a nawet wiecej kosztowalby w najbardziej rozbudowanej wersji wtedy dostepnej max 2-3tys. Cisco zostalo zakupone tylko dlatego, ze moj owczesny szef powiedzial 'nikt jeszcze nie zostal zwolniony za kupowanie Cisco' ;-) no i fakt, sprzet dzialal wysmienicie.
Druga sprawa, BGP wymaga posiadania wlasnej puli adresowej przyznawanej w Europie przez RIPE, numeru AS (a ilosc tych jest ograniczona - maksymalnie 65535 minus numery zarezerwowane) oraz minimum 2 laczy do internetu i oba musza wspierac BGP, czyli bedzie ekstra platne - przynajmniej w UK placisz ekstra za BGP. Inne wyjsie, poprosic Twojego provider'a aby on obslugiwal BGP ale wtedy zaden zysk moim zdaniem bo i tak masz jedno lacze - jak padnie to lezysz.

[error123]

Dzięki za obszerną wypowiedź. Zdecydowałem się na postawienie Debiana. Złożyłem już podanie o sprzęt także mam nadzieję, że to będzie najlepsze rozwiązanie (CISCO poza zasięgiem finansowym). Dzięki za wsparcie, pozdrawiam!