Router/brandvägg för företag/servrar
 

Hej.

Söker en router/brandvägg för server / LAN. (hårdvarubaserad).

Den ska användas för att skydda servrar och nätverket (det lokala nätverket).

100/100 Mbit/s Wan port (eller snabbare)

Den ska klara allt från 60 datorer och uppåt.

Den ska kunna övervakas/styras. ha vlan möjlighet (separering av nätverket via logiska system).

Och om detta finns så är det bra men är inget tvång:

Och om det finns så även kunna "erbjuda" ett "öppet" LAN (som kan användas till t.ex. gäster på besök eller liknande).
Det "öppna" lanet ska gå direkt ut genom brandväggen till internet ( så dem ej kommer åt det fasta LANet) ( ett liknande har Zyxel på en billig hemma router, där är det ett öppet wlan (trådlöst) som går direkt ut genom brandväggen till internet separerat från det "vanliga" trådbundna/trådlösa).

Med t.ex. 4 lan portar eller med 100 Mbit/s hastighet eller mer.

Har ni förslag på olika brandväggar?

Ska väll poäntera att jag EJ söker nån "hemmarouter" eller trådlös router/brandvägg.

Tar gärna emot alla förslag som ni kan komma med.

Hej och välkommen till forumet!

Jag skulle rekommendera en ZyXEL USG-300 för dina krav. USG-200
skulle säkert räcka, men det är aldrig fel att gå upp ett extra snäpp
när man ändå gör en investering.

USG-300 har 7 st Gigabit-portar som du själv konfigurerar hur du vill.
Du kan ha flera WAN-portar om du behöver redundans.

ZyXEL spec'ar cleartext throughput runt 200 Mbit och IPsec 3DES/AES
på 100 Mbit. Den har också två USB-portar som kan användas för 3G
failover och PCMCIA-port på baksidan för WiFi-kort om du vill integrera
ett gästnät direkt i brandväggen. Annars sätter du bara en valfri AP och
konfigurerar en av portarna som Ext-WLAN.

Den stöder givetvis massvis med annat som SSL-VPN, VLAN, antivirus,
anti-spam, content filtering, m.m.

Om du vill veta mer i detalj får du gärna skicka ett PM.

Jag är själv en ägare till en ZyXEL USG-200 som jag inhandlade under en affärsresa i USA. Den kostade ca. 3300kr mot sveriges lägsta 6675 + frakt (källa: prisjakt.nu). Hur som helst, den fungerar jättebra och jag rekommenderar den. Tänk dock på att din hastighet mot Internet sjunker drastiskt när du har något annat än brandvägg-funktionen igång. Min hastighet dök från 100mbit (min uppkoppling är 100mbit) till ca. 30mbit när jag slog på IDP och ADP, jag använder inte VPN.

Ett problem jag stött på är att när jag anger ett alias i min webbläsare (jag är på LAN1 interface) till någon av mina webbservrar (ex. http://zerosec, som också är på samma interface) hamnar jag på externa WAN1 interfacet med routerns inloggningsida och externa IP:t i URL fältet(!?) Det roliga är att jag har stängt av att man skall kunna komma åt routern från internet (vilket jag kan verifiera genom att försöka komma åt den från jobbet), att ange IP address direkt till servern fungerar såklart.

jayzee:
Har du en intern DNS-server där du har med zerosec? Pekar uppslaget
mot det interna IP't eller något annat?

Det kan göra skillnad om du slår på Add corresponding Policy Route rule for
NAT Loopback under Virtual Server>Tjänsten-du-forwardar

NAT Loopback låter dig ansluta via det externa IP:t från samtliga interface
och den förstår att den ska följa forwarden i Virtual Server.

Hej Kristian,

ZyXEL agrerar som både DHCP samt gateway och jag har inga andra DNS servrar förrutom Telias som är inlagda i ZyXEL:en. Gör jag traceroute på zerosec så får jag mitt externa IP direkt. Det är inte bara min webserver som påverkas av detta utan alla andra enheter såsom NAS/nätverksskivare etc. så då är virtual server ingen lösning. Jag misstänker att det kan vara något fel i routing-tabellen...

Vad får du för IP på nslookup?

Om du vill kan du lägga in zerosec på det interna IP:t i
ZyXELns DNS-tabell. Då får de maskiner som har ZyXELn
som primär DNS detta IP som svar vid namnuppslag.

IP adressen ersatt med xxx är min externa IP, 10.0.0.1 är interna adressen till brandväggen.
Vetifan dock var den får mail1.telia.com...

Hrm.. Men då gör den uppslag på din externa adress. Testa att
lägga in zerosec på interna adressen i brandväggen:

System>DNS

hej.

Om man har dator ( eller nas-server eller nätverkanslutna saker) i nätverket och dem är namngivna med t.ex. tvdator osv.

Om man då skriver in i anslut nätverksenhet i windows \\tvdator\mappnamn

Går den då på routerns externa ip som det pratats om?

Måste man lägga in tvdator´s ipadrss i dns listan och sätta så att den pekar tvdator mot den interna ip adressen på den datorn?

Namnuppslagning är inget som försämras av att man har en
brandvägg.

Just i denna vi talar om så kommer uppslagningarna gå fort-
are om man lägger till dem i DNS-servern i brandväggen.

nej men han sa ju att han kom till routerns extrerna ip adress om han slog in datanamnet? och han kom ju till login rutan sa han?

Nu börjar jag misstänka starkt att jag gjort något fel... :)
Screenshot på min DNS flik, de 2 DNS:erna är Telias DNS:er som jag fick lägga till. Behövs screenshot på någon annan flik är det bara att säga till.

EDIT: Jag upptäckte precis att när jag ansluter till någon av mina lagringsenheter via samba genom att använda deras alias istället för IP så fungerar det, märkligt nog är det bara http (såvitt jag vet) som blir fel. Detta kan dock bero på NAS som agerar WINS server?

EDIT 2: Provade med SSH och hamnade hos brandväggen *bummer*

http://img36.imageshack.us/img36/4430/dns.gif

OK, har löst det genom att lägga till enheterna i Address/PTR Record fältet. Dock kan jag inte låta bli att känna som detta är något slags workaround då jag aldrig behövt göra något liknande med min Netgear FVX538 förr? Rätta mig gärna ifall jag har fel. Jag vet dock fortfarande inte var den får mail1.telia.com ifrån...

Jo en liten workaround är det allt.. Eftersom våra kunder normalt sett
alltid har en DNS så är detta aldrig något problem.

Hemma lägger jag alltid in DNS-inläggen i brandväggen oavsett om jag
kör ZyXEL eller m0n0wall. Uppslagen går bättre, helt enkelt. :)

Så den skriver inte ut mail1.telia.com här. Det är inte så att du under
System>Host name råkat skriva mail1.telia.com som namn på brand-
väggen?

Hmm, nej...

System name: zywall
Domain name: mydomain.com

Har du senaste firmware?

ftp.zyxel.dk

Javisst, kör med 2.12(AQU.2) sedan igår.

Problemet löst!

Det verkar som USG-200 inte är "medveten" om sin egen IP adress utan vidarebefodrar DNS förfrågan med 10.0.0.1 till Telias DNS som matchar mail1.telia.com till 10.0.0.1 i dess eget nät :)
Att lägga till zyxel med dess privata IP adress (10.0.0.1) till Address/PTR Record löste problemet med mail1.telia.com och att man hamnar på zywall inloggninssida vid okänd adress.

Sköna är att du hann fixa det precis innan Kalle Anka! :)

Jag skulle köpa en ASA 5505 om man är van vid Cisco så är den väldigt enkelt att konfigurera, är man inte van vid cisco har den ett trevligt GUI (Separat applikation)

Cisco ASA är fint, men en FW är en rätt simpel sak man betalar ocker priser för.

En sak som ska neka eller tillåta och hålla koll på state, dock så klarar dom inte av lite Kpps. Massa Kpps från random source så får du problem alla fall.

Så nästan valfri skit FW skulle klara vanligt behov av trafik. Även dom lite dyrare finare sakerna skulle med lägga sig på knä när det börjar komma massa Kpps om du inte vill lägga över 50k

Köp en Cisco så får du så sätt en fin produkt, och så kan du även skylla på någon annan om allt skiter sig alla fall. Är det det folk köper service avtal för kunna skylla sin inkompetens på andra.

Jag har en Cisco ASA5505 till salu om du är intresserad. Inköpt i mars förra året och inte uppackad ännu. Originalfaktura finns kvar.

EDIT:

Det är denna jag har http://www.dustin.se/pd_5010101373.aspx
Unlimited user och med security plus.

Min Halon SX-50 finns kvar även den. Helt oanvänd.

Köp och Sälj-tråd