Keus aan "power" router(s)

[Babylonia]

Ter oriëntatie:

Voor een Stichting (met weinig financiële middelen, anders zouden we de organisatie ervan uitbesteden) die naar een oud schoolgebouw verhuist, moet een nieuw netwerk opgezet worden. Op de locatie is in ieder geval glasvezel aanwezig.
Omdat er "op zijn drukst" nogal wat mensen (draadloos) met internet verbonden moeten kunnen zijn ("flexwerkers"), en er mogelijk een scheiding gemaakt zou moeten kunnen worden in een paar afdelingen, is het het in ieder geval het idee om maar meteen de twee glasvezel aansluitingen te benutten die standaard aanwezig zijn, zodat bij elkaar een bandbreedte van 2x 500 Mbps verbindingen mogelijk zijn.

Als eerste connectie achter de glasvezel in dat geval twee routers (ik denk dat een bonding van twee glasvezelverbindingen tot één connectie, te omslachtig wordt, als het technisch tegen aanvaardbare tarieven al mogelijk is ??).

Het lijkt me het handigste de routers van de providers in het geheel niet te gebruiken. Dat betekent dat de rechtstreeks aan te sluiten "power" routers moeten beschikken over VLAN opties om zaken vanuit WAN te scheiden, en verder te verdelen over LAN.

Achter de routers, (managed) switches en pacth-panelen, waarbij bekabelde verbindingen naar de verschillende lokalen worden geleid.
In die lokalen met een (managed) switch verdere verdeling voor vast bekabelde aansluitingen voor de "vaste opstellingen".
Voor WiFi op enkele plekken krachtige Access Points, met gescheiden gast netwerken.

Afhankelijk van de verdere gewenste scheiding, in een lokaal mogelijk in plaats van een switch een eigen router met gescheiden "sub-netwerk"  (maar geschieden VLAN's zouden naar ik denk ook al vanuit de hoofd router ingesteld kunnen worden?).

Er wordt van externe servers gebruik gemaakt om data centraal op te slaan.


- Welke routers (met uitgebreide firewall instellingen) komen ervoor in aanmerking?
- Access Points mogelijk die van  Ubiquity?

Zijn er nog specifieke zaken waar aan gedacht moet worden?

[Ben(V)]

Voor zo'n omgeving zou ik voor een router gaan die WAN load balancing aankan en die tevens als VPN server dienst kan doen.
Dat is technisch niet ingewikkelt want de router doet gewoon alles voor je.

Verder zou ik voor een router zonder wifi gaan en alleen met AP's werken, een router staat toch meestal op de verkeerde plaats voor goed wifi bereik.

Kijk eens naar een Draytek Vigor 2925 (de versie zonder wifi).
Die kan dual WAN loadbalancing aan en ondersteund 50 VPN verbindinge simultaan (IPsec).

Twee routers die een verschillend subnet gebruiken lijkt me minder geschikt en voor wat betreft security zinloos.
Vlan's houden de datastromen gescheiden en zijn beveiligt tegenover elkaar (je kunt niet van het ene vlan in het andere komen) maar subnetting is natuurlijk geen afscherming.

Kijk hier eens:
https://www.routershop.nl/draytek-vigor-2925-dual-wan-vpn-gigabit-router/pid=29912&ct=001.004

[Hofstede]

Die Vigor 2925 routers zijn inderdaad prima. Wij gebruiken ze ook voor load balancing WAN en mobiele (4G) LAN-To-LAN VPN connecties.
Voor switches en access points zou je dan bijvoorbeeld voor Ubiquiti Unifi kunnen gaan. Dan kun je het hele systeem van switches en AP's centraal beheren. Kijk als voorbeeld op demo.ubnt.com.

[Plerry]

Ik zou ook zeker voor een dual WAN router met load shedding gaan.
Iedere glasvezel heeft zijn eigen modem, en vandaar naar de dual WAN router.
En dan met (event. meerdere) losse Access Point(s) werken (event. routers waarvan aleen de WiFi wordt gebruikt).

Wellicht is genoemde Draytek hiervoor een prima optie; zelf heb ik heel goede ervaringen met de Cisco RV320.
Als je verkeer van verschillende groepen gescheiden wil houden kan je goed werken met VLAN's.
Zeker ondersteund door genoemde Cisco, waarschijnlijk ook door genoemde Draytek.

[Ben(V)]

Die Cisco RV320 doet geen loadbalancing, alleen failover.
Daarvoor zou je de RV325 nodig hebben, die heeft tevens 16 lanpoorten dus dat scheelt weer een switch erbij kopen.

De Cisco's hebben minder VPN capaciteit, slecht 25 VPN's ten opzichte van de Draytek die 50 VPN's aankan.

Uiteraard ondersteunen all genoemde routers Vlan's

[Babylonia]

Met de gegeven informatie ben ik al erg content en geeft input om verder te overdenken  Bedankt voor zover.
Zal er later wat uitgebreider op terug komen als ik na het weekend weer terug ben op de thuis locatie.
(Zit nu op een tablet met priegel lettertjes dit bericht te tikken).

[Pippin]

Mag het ook open source zijn?
pfSense, de hardware waar je het op installeert bepaalt de prestatie.
Biedt vele zaken en meer door packages, is echter wel een ander "beestje" dan men "normaal" gewent is.

Is er behoefte aan OpenVPN?
Is er dan b.v. ook behoefte aan toegangs controle voor users die verbonden zijn, waar zij toegangsrecht hebben op het netwerk.
Op groeps/usernivo...

Er passen normaal 253 users (63 users als OpenVPN "oud" is) in een tunnel, dan zijn zoveel tunnels niet nodig toch?
Per groep een tunnel met firewall regels per groep b.v.

[Plerry]

Die Cisco RV320 doet geen loadbalancing, alleen failover. ...

Je doet de RV320 tekort ...
Met uitzondering van het aantal LAN ports (4 vs. 14) en de rack-mount capability van de RV325, zijn de RV320 en RV325 functioneel identiek.
De RV320 doet dus, net als de RV325, wel degelijk load balancing. Zie bijv. hier.

[Babylonia]

Terug van het weekend. Als aanvullende informatie.

Omdat bij de stichting er mogelijk bepaalde lokalen in het gebouw worden onderverhuurd aan andere organisaties, lijkt een keus voor in ieder geval twee aparte basis routers voor aansluiting met glasvezel de voorkeur naar uit te gaan. (Men biedt internet als totaaloptie aan bij de verhuur van ruimte).
Bij meer vraag naar "eigen" aansluitingen / IP-adressen moet worden bezien of een organisatie nog extra glasvezel grondkabels zou willen laten aanleggen. Maar daar zijn al gauw erg hoge kosten aan verbonden.

Wat dat betreft heb ik het in de wijk wel eens anders gezien indertijd (ruim anderhalf jaar terug bij de aanleg van glasvezel), bij een gewoon woonhuis waar er kennelijk studenten woonden, en er gelijk 3 glasvezelkabels bij de aanleg werden uitgerold (3x2 = 6 aansluitingen).


Een Draytek Vigor 2925 (de versie zonder wifi) was ook al in het achterhoofd.  En inderdaad zien we weinig nut in de WiFi in de basis router zelf.  Maar eerder in extra Access Points op strategisch goede plaatsen in het gebouw.

Aangaande de VPN functionaliteiten in de router heb ik wel een vraag aangaande die Draytek Vigor 2925.
50 VPN-verbindingen, maar kan niet nagaan of het dan om 50 aparte tunnels / accounts gaat, of bijv. minder accounts, maar met hetzelfde account meerdere keren een verbinding opgezet?

Zelf heb ik een "simpele" Synology router RT1900ac, die "officieel" niet meer dan 5 VPN-verbindingen kan opzetten.
Maar per VPN-type / account wel 10 verbindingen. Dan kom ik ook aan 50 stuks VPN verbindingen.
Heb dat maximum overigens nog nooit getest / kunnen testen 
(Een Synology RT2600ac kan 10x 10 VPN verbindingen opzetten).

Wel eens een "gewone" versleutelde verbinding getest (https) onder één account door pakweg 35 leerlingen op een school die allemaal tegelijk waren ingelogd en data stonden te verzenden naar de achterliggende server. Was geen probleem.

Uitgaande van 2 routers (met 2 glasvezel aansluitingen) heb je een dubbel aantal aan mogelijkheden.

Met in ieder geval de specifieke opslag van centrale data buiten de deur lijkt me meer dat een VPN connectie in dat geval als "Client" de andere richting uit zal gaan naar die centrale data-opslag. Maar we moeten in ieder geval ook rekening houden met mogelijke wensen voor een VPN-server op lokaal niveau.

[Marco@70]

Edge router samen unifi AP. laag budget en professioneel spul. uitbreidbaar en heel veel opties.
Alles wat hier onder staat heeft het. En niet onbelangrijk snel.

[Babylonia]

Wat dieper spittend in de mogelijkheden van enkele voorgestelde routers, lijkt me een "Ubiquiti EdgeRouter" minder interessant.
Volgens de specs (van de Edge Pro versie) bij  "Routershop.nl"  kan die maar één VPN-tunnel opzetten.
Daarop de  PDF gebruiksaanwijzing  van een Edge router bekeken voor wat betreft VPN of ik er wat meer over terug kon vinden.
Maar de informatie is daarbij erg summier.

Even gekeken naar het hogere router segment  "DrayTek Enterprise solutions"  lijkt me die toch een stuk interessanter.
Bekijk ik de online demo van bijv. een  DrayTek Vigor 2952,  zijn de mogelijkheden aangaande VPN duidelijk meer uitgebreid.
Net als Synology (met VPN Plus) kent DrayTek naast de conventionele VPN protocollen nog een eigen SSL VPN implementatie.
Dat mist een Ubiquiti EdgeRouter ook.  Jammer genoeg is OpenVPN niet geïmplementeerd in beide merken routers.

Uit de demo blijkt verder dat het in het geval van de DrayTek Vigor 2952 echt om 100 separate VPN gebruikersnamen en verbindingen gaat.
Voor de DrayTek Vigor 2925 die @Ben(V) voorstelde zou dat 50 VPN connecties zijn.  Het instelmenu kan nog wat verder tot 64 gebruikers.
Dus ook dat lijkt nog steeds een goede optie te kunnen zijn.

[Marco@70]

Edge router config kan je dat vertellen en ook evt de config maken. Hebben voor mij de void omgezet naar DMZ poort.

[Babylonia]

Ik heb geen Edge router, kan dus ook niets uit een "configuratie" halen.
Wat is een "void"?
DMZ gebruiken voor een router lijkt me ook niet de juiste insteek om zaken uitgebreid te gaan instellen.
DMZ is overigens slechts één functie. Dat kan bij elke router. Niet iets om daarop een keus te baseren als keus voor een router.

[Marco@70]

ik wil aangeven dat er met een edge router veel kan. void moet zijn VOIP poort. ik gebruik deze poort om met een ander IP naar buiten te komen met een geheel gescheiden netwerk. Ze hebben deze zin de config aangepast. Als Draytek voor jou beter is geen probleem maar ik zou wel even kijken naar edge routers. Info is summier daar om vraag het even bij de mensen van edgerouter config.

[Babylonia]

Het uitbesteden van de aanleg van het netwerk en systeembeheer hebben we al bij plaatselijke computerbedrijven nagevraagd.
Daar hangt een te hoog prijskaartje aan.  Met zo'n "gesloten" Edge router systeem (de summiere informatie lijkt me niet voor niets),
en als je dan voor elke kleine aanpassing  edgerouterconfig.nl  moet inschakelen, lijkt me van hetzelfde (kostbare) laken een pak.
Je noemt juist die zaken op die het steeds minder aantrekkelijk maken om juist die router te kiezen.
Bedankt, ook dat is waardevolle informatie om daar kennis van te hebben.