DUAL-WAN -> Na filteren WANpoort toekennen

**s1k** · 27-05-2009, 05:29 PM

Digitaal onderzoekers,

Dit is een rechtstreekse rip van mijn topic op GoT, maar vanwege weinig oplossingen wil ik deze hier ook nog eens posten.

Ik zit op mijn stage met een spannende case, en ik wil deze graag resolven voordat ik weg ben op mijn stage.

Na een zoektocht op GoT, Google, het aanschrijven van een aantal bedrijven en gesprekken met kennissen ed wil ik de diverse oplossingen voor mijn case graag bespreken.

Ik ben op zoek naar reacties die mij kunnen helpen bij het maken van mijn keuze. Denk je dat ik iets gemist heb in mijn zoektocht hoor ik dat graag middels een reactie. Wil je mij een keuze af of aanraden wil ik graag weten waarom je mij dit af of aanraad. Een reactie met “Windows FTL, streep die maar weg.” heb ik dus absoluut niets aan.

Ik wil eerst mijn case uitleggen middels een netwerktekening en een bijbehorende inleiding. Daarna toon ik de opties die ik op dit moment heb. Als laatste het kostenplaatje. Wat kosten de verschillende opties, hoe groot is het risico dat deze opties misgaan, en natuurlijk wat de kosten voor mijn stagebedrijf zijn zodra het misgaat.

De case:

Inleiding
Mijn stagebedrijf heeft een contract afgesloten met een leverancier van een Citrixomgeving die wij niet via een VPN benaderen, we loggen in op een portal en starten vanaf daar een ActiveX of Java omgeving. Dit om kosten te besparen in het onderhoud aan de servers, en omdat het vaste personeel dan geen uitgebreide kennis nodig heeft van de systemen die we gebruiken. Onze maatwerkoplossingen zijn redelijk complex, en we hebben ervoor gekozen om alleen mensen in huis te hebben met kennis van deze maatwerkoplossingen. Technische kennis over Microsoft, Linux en andere technologieën is erg beperkt aanwezig.

Mijn stagebegeleider heeft voornamelijk veel kennis over de maatwerkoplossingen, zijn stagiair(e)s zijn MBO niv4 ICT beheerders uit het laatste jaar van de opleiding. Mijn stagebegeleider begeleid voornamelijk op sociaal gebied, hierbij denk ik aan het stroomlijnen van het contact met de gebruikers. Daarnaast brengt hij de stagiair(e)s kennis bij op het gebied van onze maatwerkoplossingen. De oplossing voor mijn case hangt dus heel sterk aan de beheersbaarheid door MBO niv4 ICT beheer studenten. Een servicecontract is wellicht ook een optie, mits de kosten binnen de perken blijven.

Het netwerk:
We hebben 21 werkplekken, 2 netwerkprinters, 1 wireless accespoint voor onze gasten en 1 NAS die middels een 24-poorts switch van 3com communiceren met een Linksys RV042(dual wan/VPN router). Tussen de router en de switch heb ik een hubje geplaatst(ook 3com) zodat ik het verkeer kan sniffen. Dit is nodig omdat bij Youtube bezoek de letters die de andere gebruikers typen in bijvoorbeeld Word gewoon 2 seconden later pas verschijnen. Youtube is dan ook verboden op ons kantoor tijdens kantooruren.

Note: Windows update en dergelijke applicaties laten de lijn ook dichtslibben met dezelfde gevolgen als Youtube bezoek.

De hub voorziet op dit moment ook in de broodnodige extra poorten, we komen namelijk op 25 netwerkappliances, en maar 24 poorten op de switch die OOK nog eens moet babbelen met de router.
We hebben altijd gebruik gemaakt van een 2MBit SDSL verbinding, die KPN ons levert. Deze lijn heeft een uptime garantie van 9*%(het precieze getal kan ik nu niet opzoeken, maar het zit in de 90). Voor puur Citrix is dit overkill, maar doordat we gasten ontvangen die gebruik maken van onze lijn, en er buiten Citrix om ook gecommuniceerd moet worden met het internet trekt deze lijn het niet. Ik heb niet de materialen om te onderzoeken of het de upload of de download is die vol zit, dat is nu ook niet meer van belang. We hebben namelijk een 2de internetverbinding van een lokale kabelleverancier. Deze lijn moet in ons netwerk de default verbinding met het internet voor zijn rekening gaan nemen. De SDSL-lijn wil ik enkel nog inzetten voor Citrix, ik vermoed dat deze dan zelfs terug kan naar 1MBit(dit zou een aanzienlijke besparing in maandelijkse lasten opleveren).

Verdere informatie die ik weet:
Het IP van de citrixserver, en de overige IP-adressen van de Citrixpartner
Het gebruikte protocol, dat identificeert zichzelf als TLSv1 in wireshark.
We hebben geen domein, dit omdat de voordelen hiervan niet opwogen tegen de nadelen. Mijn stagebegeleider is geen serverbeheerder, en zou het dus lastig krijgen wanneer we kiezen voor een setup met een domein. Het netwerk is dus een werkgroep.

We verhuren regelmatig vergaderzalen. Hierbij bieden we ook wireless internet aan. Zelf maken we gebruik van het Wireless internet om in 1 van de zalen gebruik te kunnen maken van de Citrixomgeving. Het wireless AP moet dus ook gefilterd worden op citrix/niet citrixverkeer.

Voor wat betreft de IP-adressen: Het IP van mijn stage begint met 65., het IP van de Citrixpartner begint met 193..

Een tekening van het huidige netwerk:
To view this link please Register

Huidige opties:

Linksys RV042[/*:m:31kj82q7]
Juniper SG5(Router)[/*:m:31kj82q7]
SonicWALL NSA 2400(Firewall)[/*:m:31kj82q7]
To view this link please Register[/*:m:31kj82q7]
Spare server inrichten met Linux, Iptabels toepassen.[/*:m:31kj82q7]
Spare server inrichten met MSFT Server2003 SBS, routering en RAS toepassen[/*:m:31kj82q7]

De Linksys RV042
Met wat nieuwe info begin ik te twijfelen of ik deze af moet schepenNaast de optie voor protocolbidning kan de RV042 namelijk ook een VPN opbouwen met een andere VPN-bak, en dat over een te selecteren WAN-poort. Ik denk dat we dan met volwaardige citrixclients moeten gaan werken, en op 1 of andere manier de RV042 moeten wijsmaken dat deze niet het internet op kan over dat VPN, maar dat deze de kabelverbinding moet pakken voor internet.
-> dit lijkt mij het default gateway verhaal, maar ik heb hier geen ervaring mee, de handleiding helpt mij ook niet heel erg. Volgens de supportmedewerker van Linksys zou dit de oplossing kunnen zijn. Hoe zijn jullie ervaringen? Hoe slim is deze router, en hoe groot is de kans dat deze het VPN wil misbruiken voor windows update en dergelijke?

De andere optie is protocolbinding. Catch: Je kunt alleen een protocol binden, je kunt niet instellen dat je 1 protocol bind aan één van de 2 WAN-poorten, en de andere protocollen over de andere poort wilt sturen. De protocollen die niet aan één van de 2 WAN-poorten gebind zijn worden dmv loadbalancing verdeelt over de 2 lijnen.

De kans op fouten lijkt mij erg hoog hier.

Wat wel een voordeel is, is dat de webinterface gemakkelijk te bedienen is. Het instellen in het begin gaat extreem arbeidsintensief zijn, maar na de eerste setup moet het aanpassen geen probleem zijn. Hoeveel protocolbindings het apparaat maximaal aan kan ga ik nog opzoeken in de handleiding van dit beest.
Het is misschien niet verkeerd om nog even te vermelden dat we dit apparaat al in huis hebben, en dus geen aanschafkosten zouden hoeven te maken.

De Juniper SG5
De Juniper SG5 is één van de oplossingen die ik na contact met verschillende bedrijven heb gekregen. Deze zou volledig ingericht opgeleverd worden, en zouden we verder geen kind aan hebben.

Nadelen:
Niemand op mijn stage kan hiermee overweg, een aanpassing kost gewoon het uurloon van de technicus die deze uit moet voeren.

De SonicWALL NSA 2400
Zie Juniper. Ook een oplossing uit offerte.

De Peplink Balance 30
Op advies van To view this link please Register eens gaan zoeken naar peplink. De interface lijkt foolproof, ik zou mijn zusje met een gerust hart dit apparaat kunnen laten beheren(het puberale gedrag daargelaten natuurlijk :P). Dit kan een zeer goede reden zijn om voor de peplink te kiezen.

Het is de goedkoopste dedicated oplossing die ik tot nu toe gevonden heb.

Nadelen: Zoektocht naar een supportende partij starten

[i]De spare server inzetten[/]
We hebben nog een server staan(Dual Xeon dingetje) met Server2003 SBS OEM licentie.
Ik heb van verschillende mensen gehoord dat ik dit met Routering en RAS op zou moeten kunnen lossen. Echter heb ik hier geen ervaring mee. Ik vermoed dat deze oplossing gaat bestaan uit 2 NIC's bijplaatsen, om vervolgens in de config aan te geven dat het citrixverkeer(identificeren aan de hand van doel IP of protocol) over de SDSL mag, en al het andere over de kabel te gooien.

Een andere optie icm deze server is gebruik maken van een Linux distro. We zouden dan door middel van IP-tables het verkeer naar het IP van onze Citrixpartner hard over de SDSL kunnen sturen, en ander verkeer over de Kabel. Hier zijn vast meer alternatieven voor, en ik sta ook open voor andere open source besturingssystemen.

De harddisks van de NAS zouden in de server geplaatst kunnen worden, waardoor de ruimte die deze behuizing in beslag neemt weer iets meer gerechtvaardigd kan worden.

Het kostenplaatje:

De Linksys RV042
De Linksys RV042 hebben we al, geen aanschafkosten
Het configureren moeten we wel zelf doen. Dit zal ongeveer 4 uur duren, inclusief testen. Mijn vrije uren dus.

Totale kosten: € 0,-

De Juniper SG5
De offerte hangt hier rond de 1400 euro ex btw, inclusief de 8 uur die de leverancier denkt bezig te zijn met configureren en testen. Eventuele aanpassingen naderhand zouden ook weer verrekend moeten worden met een normaal uurloon voor een senior engeneer.

Totale kosten: € 1400+

De SonicWall
De offerte hangt hier rond de € 2400,- met weer een los uurloon voor de installatie.

De tijd die de engeneer bezig gaat zijn met configureren is niet vermeld op de offerte.

Totale kosten(geschat): € 3000,-

De Peplink Balance 30

Volgens de website € 399,- en dan nog 40 euro verzenden(duurt 2-4 dagen).

Daarnaast zoek ik hier ook een supportcontract voor,

Het inzetten van de spare server:
Aanschaf 2 netwerkkaarten: 5 euro per stuk + verzenden

Gok dit op 20 euro voor 2 kaartjes met realtek chipje. Lijkt me niet meer dan voldoende?
Licentie is OEM, en hebben we dus al.
Tijd besteed inclusief testen: 4 uur in Windows, Linux gok ik op 8 uur.

Again, mijn vrije tijd. Staat tegenover dat ik er meer voor voel om dit uit te voeren, omdat ik hier zeer waarschijnlijk meer van leer dan van het stoeien met de webinterface van die linksys.

Totale kosten: € 20,-

Gevolgen van het verliezen van de verbinding met het internet:

Citrix niet meer beschikbaar, niemand die verder kan werken. Simpele en snelle workaround: Enkel de SDSL-lijn in de Linksys RV042 prikken, het eventueel besliste apparaat tussen het netwerk en het internet uitvissen, en indien de Linksys onze gekozen oplossing is, de config die we op dit moment hebben inladen in de Linksys.

We kunnen dan met 5 minuten weer verder werken, en wachten op de monteur(in het geval van 1 van de oplossingen uit de offertes) of zelf de schade gaan herstellen aan de server. In het geval van de Linksys zullen we de config in de avond opnieuw in moeten laden, en hopen dat het dan weer beter gaat.

Van de kansen op falen heb ik absoluut geen besef. Dit is dan ook 1 van de zaken die ik in moet winnen om een goede beslissing te kunnen nemen.

Het uiteindelijke doel van dit draadje:

Ik wil ongeveer 5 opties aan kunnen bieden aan een beleidsoverleg, zodat zij de beslissing kunnen nemen.

GoT is groot, Google en Internet ook. Het zou zomaar kunnen dat ik iets gemist heb ik mijn zoektocht, of dat er tijdens het schrijven van dit topic nieuwe topics zijn aangemaakt, of er nieuwe informatie beschikbaar is gekomen.

Wijs mij alsjeblieft op deze informatie. Het gaat mij hier niet alleen om een snelle afhandeling, ik wil van het proces ook leren.

Verder wil ik vragen om een beetje in te schatten of je een zinnige reply kunt geven. Ik ben voor hardop denken, maar vermeld het wanneer je iets niet zeker weet.

Ik loop stage tot en met 3 juli 2009, ik zou graag voor 20 juni alles volledig draaiend hebben. Ik hoop eind deze maand een voorstel te kunnen leveren aan de beleidsmedewerkers, zodat zij dit in een beleidsoverleg kunnen bekijken.

Een hoop doelen, een hoop informatie. Ik hoop dat ik hier aan het juiste adres ben, en voldoende informatie heb kunnen geven. Informatieverzoeken probeer ik zoveel mogelijk in de eerste post te beantwoorden, zodat alle info centraal te vinden is.

**themaster** · 27-05-2009, 05:43 PM

Als ik jou was zou ik eens een aantal productenen van dual wan netwerk producten benaderen en bekijk waarmee ze komen.
Maar in princiepe moet iedere multi Wan router dit soort dingen toch wel kunnen doen.

**s1k** · 28-05-2009, 10:47 AM

Originally Posted by themaster

Als ik jou was zou ik eens een aantal productenen van dual wan netwerk producten benaderen en bekijk waarmee ze komen.
Maar in princiepe moet iedere multi Wan router dit soort dingen toch wel kunnen doen.

Ik weet dat het veel tekst is, maar daar ben ik dus mee bezig. Helaas kan niet elke multi-wan router dit trucje. Meestal zijn het namelijk loadbalancers of failovers.

Het filteren snappen de meesten niet, en moet uitgevoerd worden door en policy based router of een policy based firewall.

**Ken Cijsouw** · 28-05-2009, 10:54 AM

Ligt het aan mij of is jullie netwerk indeling een beeetje raar. Ten eerste komt het niet echt je snelheid van het netwerk verkeer ten goede als jij een hub in je netwerk plaatst helmaal niet als je het voor een switch zet. Ook snap ik niet waarom dat het netwerk is opgebouwd in een werkgroep. De beheerlast is hier gewoon velemale hoger dan als je gewoon een activedirectory bouwt met policies wat nou wel en niet mag. Ook las ik iets over dat youtube niet is toegestaan op het werk. Als je in een domein zit blokeer je dat gewoon voor de gebruikers. Ook als je wilt gaan sniffen installeer dan gewoon een tool op de server. Die dingen trekken dat makkelijk en het is gewoon veel simpeler. Ook snap ik niet precies wat je wilt met vpn. Kan je dat nader toelichten?

**themaster** · 28-05-2009, 12:48 PM

Van die hub is bull natuurlijk.
Want hij luistert alleen op die lijn hij zend niks dus het is een beetje vertraging maar niet tot haast niet merkbaar.
Maar kun je niet als het verkeer via de gewone verbinding slepen behalve als het een VPN ip is dan routeer je het met je routertje via de SDSL / VPN verbinding
En idd met zoveel machines is een AD/SUS/Whatever server wel ideaal

**Ken Cijsouw** · 28-05-2009, 01:06 PM

Originally Posted by themaster

Van die hub is bull natuurlijk.
Want hij luistert alleen op die lijn hij zend niks dus het is een beetje vertraging maar niet tot haast niet merkbaar.
Maar kun je niet als het verkeer via de gewone verbinding slepen behalve als het een VPN ip is dan routeer je het met je routertje via de SDSL / VPN verbinding
En idd met zoveel machines is een AD/SUS/Whatever server wel ideaal

Dan mag jij mij eens uitleggen wat een verschil tussen een hub en een switch is :lol: En dan nog is op de vraag ingaan ofdat het vertraging oplevert of niet

**s1k** · 28-05-2009, 04:06 PM