Re: [FRnOG] [BIZ] [TECH] Boitier VPN + SWITCH + FW
Bonjour, je confirme qu'avec du jflow c'est possible. (Example: Configuring Packet Capture on an Interface http://www.juniper.net/techpubs/en_US/junos11.4/information-products/topic-collections/security/software-all/monitoring-and-troubleshooting/index.html?config-pcap-chapter.html) En plus ça permet d'avoir un historique centralisé de tous les SRXs Branch et High-End sur un le collecteur. A+ Le 24/03/2015 11:29, Jérôme BERTHIER a écrit : Bonjour, Le 24/03/2015 11:18, Sylvain Busson a écrit : La commande monitor interface Non monitor interface ça classifie les paquets, erreurs... monitor traffic interface ça capture seulement ce qui entre et sort de la RE Si tu veux capturer le transit, tout est décrit ici : http://kb.juniper.net/InfoCenter/index?page=contentid=KB15779 C'est possible mais plutôt pénible. A+ -- Ce message a ete verifie par MailScanner pour des virus ou des polluriels et rien de suspect n'a ete trouve. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] [TECH] Boitier VPN + SWITCH + FW
Bonjour, Sauf erreur, Jflow (ou IPFIX ou Netflow) ne capture pas le trafic lui même mais les attributs liés à ce trafic (IP, port, volume échangé, interfaces, AS, label MPLS...). Il me semble que l'on parlait de faire du dump de trafic de transit. Pour JFlow, ça reste un échantillonnage. Le JTAC ne conseille pas de monter au delà d'un ratio 1:100 si ce sont les SRX eux même qui collectent... Cdt, Le 09/04/2015 09:27, Frédéric Grosjean a écrit : Bonjour, je confirme qu'avec du jflow c'est possible. (Example: Configuring Packet Capture on an Interface http://www.juniper.net/techpubs/en_US/junos11.4/information-products/topic-collections/security/software-all/monitoring-and-troubleshooting/index.html?config-pcap-chapter.html) En plus ça permet d'avoir un historique centralisé de tous les SRXs Branch et High-End sur un le collecteur. A+ Le 24/03/2015 11:29, Jérôme BERTHIER a écrit : Bonjour, Le 24/03/2015 11:18, Sylvain Busson a écrit : La commande monitor interface Non monitor interface ça classifie les paquets, erreurs... monitor traffic interface ça capture seulement ce qui entre et sort de la RE Si tu veux capturer le transit, tout est décrit ici : http://kb.juniper.net/InfoCenter/index?page=contentid=KB15779 C'est possible mais plutôt pénible. A+ -- Jérôme BERTHIER --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] [TECH] Boitier VPN + SWITCH + FW
Autant pour moi j'avais pas vu que ça avait déjà été abordé :) Sorry El 25/3/2015, a las 19:03, Mathieu Poussin mathieu.pous...@netyxia.net escribió: Hello, Tu a regardé du côté de Mikrotik ? Je pense qu'il doit y avoir un modèle qui correspond à ce que tu cherche, sauf peut être sur la partie switching. A+ El 24/3/2015, a las 7:44, Sylvain Busson sbu12...@gmail.com escribió: Hello, Je cherche un boitier, type couteau Suisse qui sait faire : du petit BGP (une annonce et récupération d'une gateway) VPN (environ 300Mo de chiffrement IPv6 IPv4), du Firewall statfull, et du commut natif (switching,Vlan tag, logical interface IP .) au pire du bridging Nous avons des SRX qui font le boulot et des SSG qui le font presque, connaissez vous d'autre boite qui savent faire ca, pour diversifier nos techno? (Hors course : Stonesoft et Palo Alto = pas de bridg et encore moins de switching natif à ma connaissance) Et tous ça en 1U, et 8-10 ports 1Ge Tx. (Option apprécié, trou(s) 1Ge SFP dispo et routage dynamique possible dans les VPN type Hub and spoke avec 2 Hub) Si quelqu'un connait la ou les boites magiques, commerciaux acceptés ? SBU --- L'absence de virus dans ce courrier électronique a été vérifiée par le logiciel antivirus Avast. http://www.avast.com --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] [TECH] Boitier VPN + SWITCH + FW
fare un dump du trafic n'existe pas à ma connaissance sur les SRX). Ca existe sur SRX dans tous les sens, par interface, par flux etc etc, c'est un de leur gros avantage aux bestios SBU - Original Message - From: Louis luigi.1...@gmail.com To: Raphael Mazelier r...@futomaki.net Cc: frnog@frnog.org Sent: Tuesday, March 24, 2015 10:25 AM Subject: Re: [FRnOG] [BIZ] [TECH] Boitier VPN + SWITCH + FW Bonjour, Fortigate est un bon produit à tout faire qui en plus est très pratique pour faire du debug (la fonction diagnose sniffer packet pour faire un dump du trafic n'existe pas à ma connaissance sur les SRX). Ceci-dit, j'aurais un peu peur de faire du BGP sur ce genre de boîtier alors que je le ferais sans soucis sur les SRX. Quel est votre retour avec le routage dynamique sur fortigate? Louis Le 24 mars 2015 09:29, Raphael Mazelier r...@futomaki.net a écrit : Le 24/03/2015 08:02, Pierre LANCASTRE a écrit : Bonjour, Il y a les entrées de gamme fortinet (60 a 90D). Sinon pour du port sfp, il faut la gamme 100-D mini (sauf erreur) La GUI est très sympa (le cli pas du tout, compare a du Juniper). En tout cas le rapport features/perf/prix est très intéressant. Fortinet en complément de SRX peut être intéressant oui. Dans les dernières versions la stabilité s'est largement amélioré et en effet la gui est très agréable. Pour moi il s'agit des deux fw constructeurs les plus crédibles. (qui d'autres d'ailleurs ? il y avait bien stonesoft avant le rachat par mcaffe, mais sinon ?) -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- L'absence de virus dans ce courrier électronique a été vérifiée par le logiciel antivirus Avast. http://www.avast.com --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [BIZ] [TECH] Boitier VPN + SWITCH + FW
Hello, Les capacités de debug sont bien plus agréable à l'usage sur junos que même sur feu screenos qui était pourtant déjà pas trop mal... Les captures de packets sont aussi possible . Début 2nd semestre , devrait voir entre autre un refresh sur l'admin jweb et aussi le retour de junos SRX dans le train de release commun v15 Déjà de nombreuses features sont déjà apparues sur les dernières releases : Security Intelligence ( geoip, ip feeds, CC ) en plus de l'appsec 2.0 ( filtrage , Cos , tracking applicatif et IPS ) , déchiffrement SSL sur la gamme branch ( déjà présent depuis pas mal de temps sur le Haut de la gamme ) A venir :) prochainement du vpn ssl onbox ! Un refresh hardware est en cours ... @+ -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Louis Envoyé : mardi 24 mars 2015 10:25 À : Raphael Mazelier Cc : frnog@frnog.org Objet : Re: [FRnOG] [BIZ] [TECH] Boitier VPN + SWITCH + FW Bonjour, Fortigate est un bon produit à tout faire qui en plus est très pratique pour faire du debug (la fonction diagnose sniffer packet pour faire un dump du trafic n'existe pas à ma connaissance sur les SRX). Ceci-dit, j'aurais un peu peur de faire du BGP sur ce genre de boîtier alors que je le ferais sans soucis sur les SRX. Quel est votre retour avec le routage dynamique sur fortigate? Louis Le 24 mars 2015 09:29, Raphael Mazelier r...@futomaki.net a écrit : Le 24/03/2015 08:02, Pierre LANCASTRE a écrit : Bonjour, Il y a les entrées de gamme fortinet (60 a 90D). Sinon pour du port sfp, il faut la gamme 100-D mini (sauf erreur) La GUI est très sympa (le cli pas du tout, compare a du Juniper). En tout cas le rapport features/perf/prix est très intéressant. Fortinet en complément de SRX peut être intéressant oui. Dans les dernières versions la stabilité s'est largement amélioré et en effet la gui est très agréable. Pour moi il s'agit des deux fw constructeurs les plus crédibles. (qui d'autres d'ailleurs ? il y avait bien stonesoft avant le rachat par mcaffe, mais sinon ?) -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] [TECH] Boitier VPN + SWITCH + FW
Bonjour, Le 24/03/2015 11:18, Sylvain Busson a écrit : La commande monitor interface Non monitor interface ça classifie les paquets, erreurs... monitor traffic interface ça capture seulement ce qui entre et sort de la RE Si tu veux capturer le transit, tout est décrit ici : http://kb.juniper.net/InfoCenter/index?page=contentid=KB15779 C'est possible mais plutôt pénible. A+ -- Jérôme BERTHIER --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] [TECH] Boitier VPN + SWITCH + FW
On Tue, Mar 24, 2015, at 10:25, Louis wrote: alors que je le ferais sans soucis sur les SRX. Quel est votre retour avec le routage dynamique sur fortigate? Il y a quelques annees, je l'avais fait. OSPF et BGP sur des interfaces IPSEC (IPSEC in interface mode). le BGP je le fais encore aujourd'hui (firewall inter-VRF). Pas de probleme particulier, il faut juste faire un peu attention a la config BGP (pas mal d'options accessibles uniquement en CLI). --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] [TECH] Boitier VPN + SWITCH + FW
ha oui, moi je cause des branch, je n'ai pas essayer ca que sur un 100 210 240 550. Les ACL+log ne fonctionne pas non plus? SBU - Original Message - From: Louis To: Sylvain Busson Cc: Raphael Mazelier ; frnog@frnog.org Sent: Tuesday, March 24, 2015 11:25 AM Subject: Re: [FRnOG] [BIZ] [TECH] Boitier VPN + SWITCH + FW j'avais essayé cette commande à l'époque mais elle ne fonctionnait pas sur un SRX 3600 avec de l'ASIC. De quelle gamme parles-tu? Le 24 mars 2015 11:18, Sylvain Busson sbu12...@gmail.com a écrit : La commande monitor interface Ou une ACL statless avec log SBU - Original Message - From: Louis To: Sylvain Busson Cc: Raphael Mazelier ; frnog@frnog.org Sent: Tuesday, March 24, 2015 10:51 AM Subject: Re: [FRnOG] [BIZ] [TECH] Boitier VPN + SWITCH + FW Je serais intéressé par avoir une procédure pour faire ça sur SRX car j'arrivais (en 2012) à avoir que les paquets SYN, ce qui me faisait une belle jambe. Juniper n'avait pas su me répondre. La réponse que j'avais eu était que les paquets une fois passés à l'ASIC n'étaient plus visibles. Le 24 mars 2015 10:41, Sylvain Busson sbu12...@gmail.com a écrit : fare un dump du trafic n'existe pas à ma connaissance sur les SRX). Ca existe sur SRX dans tous les sens, par interface, par flux etc etc, c'est un de leur gros avantage aux bestios SBU - Original Message - From: Louis luigi.1...@gmail.com To: Raphael Mazelier r...@futomaki.net Cc: frnog@frnog.org Sent: Tuesday, March 24, 2015 10:25 AM Subject: Re: [FRnOG] [BIZ] [TECH] Boitier VPN + SWITCH + FW Bonjour, Fortigate est un bon produit à tout faire qui en plus est très pratique pour faire du debug (la fonction diagnose sniffer packet pour faire un dump du trafic n'existe pas à ma connaissance sur les SRX). Ceci-dit, j'aurais un peu peur de faire du BGP sur ce genre de boîtier alors que je le ferais sans soucis sur les SRX. Quel est votre retour avec le routage dynamique sur fortigate? Louis Le 24 mars 2015 09:29, Raphael Mazelier r...@futomaki.net a écrit : Le 24/03/2015 08:02, Pierre LANCASTRE a écrit : Bonjour, Il y a les entrées de gamme fortinet (60 a 90D). Sinon pour du port sfp, il faut la gamme 100-D mini (sauf erreur) La GUI est très sympa (le cli pas du tout, compare a du Juniper). En tout cas le rapport features/perf/prix est très intéressant. Fortinet en complément de SRX peut être intéressant oui. Dans les dernières versions la stabilité s'est largement amélioré et en effet la gui est très agréable. Pour moi il s'agit des deux fw constructeurs les plus crédibles. (qui d'autres d'ailleurs ? il y avait bien stonesoft avant le rachat par mcaffe, mais sinon ?) -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- L'absence de virus dans ce courrier électronique a été vérifiée par le logiciel antivirus Avast. http://www.avast.com L'absence de virus dans ce courrier électronique a été vérifiée par le logiciel antivirus Avast. www.avast.com --- L'absence de virus dans ce courrier électronique a été vérifiée par le logiciel antivirus Avast. http://www.avast.com --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] [TECH] Boitier VPN + SWITCH + FW
Bonjour, Fortigate est un bon produit à tout faire qui en plus est très pratique pour faire du debug (la fonction diagnose sniffer packet pour faire un dump du trafic n'existe pas à ma connaissance sur les SRX). Ceci-dit, j'aurais un peu peur de faire du BGP sur ce genre de boîtier alors que je le ferais sans soucis sur les SRX. Quel est votre retour avec le routage dynamique sur fortigate? Louis Le 24 mars 2015 09:29, Raphael Mazelier r...@futomaki.net a écrit : Le 24/03/2015 08:02, Pierre LANCASTRE a écrit : Bonjour, Il y a les entrées de gamme fortinet (60 a 90D). Sinon pour du port sfp, il faut la gamme 100-D mini (sauf erreur) La GUI est très sympa (le cli pas du tout, compare a du Juniper). En tout cas le rapport features/perf/prix est très intéressant. Fortinet en complément de SRX peut être intéressant oui. Dans les dernières versions la stabilité s'est largement amélioré et en effet la gui est très agréable. Pour moi il s'agit des deux fw constructeurs les plus crédibles. (qui d'autres d'ailleurs ? il y avait bien stonesoft avant le rachat par mcaffe, mais sinon ?) -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] [TECH] Boitier VPN + SWITCH + FW
La commande monitor interface Ou une ACL statless avec log SBU - Original Message - From: Louis To: Sylvain Busson Cc: Raphael Mazelier ; frnog@frnog.org Sent: Tuesday, March 24, 2015 10:51 AM Subject: Re: [FRnOG] [BIZ] [TECH] Boitier VPN + SWITCH + FW Je serais intéressé par avoir une procédure pour faire ça sur SRX car j'arrivais (en 2012) à avoir que les paquets SYN, ce qui me faisait une belle jambe. Juniper n'avait pas su me répondre. La réponse que j'avais eu était que les paquets une fois passés à l'ASIC n'étaient plus visibles. Le 24 mars 2015 10:41, Sylvain Busson sbu12...@gmail.com a écrit : fare un dump du trafic n'existe pas à ma connaissance sur les SRX). Ca existe sur SRX dans tous les sens, par interface, par flux etc etc, c'est un de leur gros avantage aux bestios SBU - Original Message - From: Louis luigi.1...@gmail.com To: Raphael Mazelier r...@futomaki.net Cc: frnog@frnog.org Sent: Tuesday, March 24, 2015 10:25 AM Subject: Re: [FRnOG] [BIZ] [TECH] Boitier VPN + SWITCH + FW Bonjour, Fortigate est un bon produit à tout faire qui en plus est très pratique pour faire du debug (la fonction diagnose sniffer packet pour faire un dump du trafic n'existe pas à ma connaissance sur les SRX). Ceci-dit, j'aurais un peu peur de faire du BGP sur ce genre de boîtier alors que je le ferais sans soucis sur les SRX. Quel est votre retour avec le routage dynamique sur fortigate? Louis Le 24 mars 2015 09:29, Raphael Mazelier r...@futomaki.net a écrit : Le 24/03/2015 08:02, Pierre LANCASTRE a écrit : Bonjour, Il y a les entrées de gamme fortinet (60 a 90D). Sinon pour du port sfp, il faut la gamme 100-D mini (sauf erreur) La GUI est très sympa (le cli pas du tout, compare a du Juniper). En tout cas le rapport features/perf/prix est très intéressant. Fortinet en complément de SRX peut être intéressant oui. Dans les dernières versions la stabilité s'est largement amélioré et en effet la gui est très agréable. Pour moi il s'agit des deux fw constructeurs les plus crédibles. (qui d'autres d'ailleurs ? il y avait bien stonesoft avant le rachat par mcaffe, mais sinon ?) -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- L'absence de virus dans ce courrier électronique a été vérifiée par le logiciel antivirus Avast. http://www.avast.com --- L'absence de virus dans ce courrier électronique a été vérifiée par le logiciel antivirus Avast. http://www.avast.com --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] [TECH] Boitier VPN + SWITCH + FW
j'avais essayé cette commande à l'époque mais elle ne fonctionnait pas sur un SRX 3600 avec de l'ASIC. De quelle gamme parles-tu? Le 24 mars 2015 11:18, Sylvain Busson sbu12...@gmail.com a écrit : La commande monitor interface Ou une ACL statless avec log SBU - Original Message - *From:* Louis luigi.1...@gmail.com *To:* Sylvain Busson sbu12...@gmail.com *Cc:* Raphael Mazelier r...@futomaki.net ; frnog@frnog.org *Sent:* Tuesday, March 24, 2015 10:51 AM *Subject:* Re: [FRnOG] [BIZ] [TECH] Boitier VPN + SWITCH + FW Je serais intéressé par avoir une procédure pour faire ça sur SRX car j'arrivais (en 2012) à avoir que les paquets SYN, ce qui me faisait une belle jambe. Juniper n'avait pas su me répondre. La réponse que j'avais eu était que les paquets une fois passés à l'ASIC n'étaient plus visibles. Le 24 mars 2015 10:41, Sylvain Busson sbu12...@gmail.com a écrit : fare un dump du trafic n'existe pas à ma connaissance sur les SRX). Ca existe sur SRX dans tous les sens, par interface, par flux etc etc, c'est un de leur gros avantage aux bestios SBU - Original Message - From: Louis luigi.1...@gmail.com To: Raphael Mazelier r...@futomaki.net Cc: frnog@frnog.org Sent: Tuesday, March 24, 2015 10:25 AM Subject: Re: [FRnOG] [BIZ] [TECH] Boitier VPN + SWITCH + FW Bonjour, Fortigate est un bon produit à tout faire qui en plus est très pratique pour faire du debug (la fonction diagnose sniffer packet pour faire un dump du trafic n'existe pas à ma connaissance sur les SRX). Ceci-dit, j'aurais un peu peur de faire du BGP sur ce genre de boîtier alors que je le ferais sans soucis sur les SRX. Quel est votre retour avec le routage dynamique sur fortigate? Louis Le 24 mars 2015 09:29, Raphael Mazelier r...@futomaki.net a écrit : Le 24/03/2015 08:02, Pierre LANCASTRE a écrit : Bonjour, Il y a les entrées de gamme fortinet (60 a 90D). Sinon pour du port sfp, il faut la gamme 100-D mini (sauf erreur) La GUI est très sympa (le cli pas du tout, compare a du Juniper). En tout cas le rapport features/perf/prix est très intéressant. Fortinet en complément de SRX peut être intéressant oui. Dans les dernières versions la stabilité s'est largement amélioré et en effet la gui est très agréable. Pour moi il s'agit des deux fw constructeurs les plus crédibles. (qui d'autres d'ailleurs ? il y avait bien stonesoft avant le rachat par mcaffe, mais sinon ?) -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- L'absence de virus dans ce courrier électronique a été vérifiée par le logiciel antivirus Avast. http://www.avast.com -- [image: Avast logo] http://www.avast.com/ L'absence de virus dans ce courrier électronique a été vérifiée par le logiciel antivirus Avast. www.avast.com --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] [TECH] Boitier VPN + SWITCH + FW
Le 24/03/15 10:25, Louis a écrit : Bonjour, Fortigate est un bon produit à tout faire qui en plus est très pratique pour faire du debug (la fonction diagnose sniffer packet pour faire un dump du trafic n'existe pas à ma connaissance sur les SRX). Ceci-dit, j'aurais un peu peur de faire du BGP sur ce genre de boîtier alors que je le ferais sans soucis sur les SRX. Quel est votre retour avec le routage dynamique sur fortigate? Moyen. Cela fonctionne pour des fonctionnalités basiques. Et pour le coup tu es obligé de passer en cli (il manque vraiment beaucoup d'options dans la gui). -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] [TECH] Boitier VPN + SWITCH + FW
Je serais intéressé par avoir une procédure pour faire ça sur SRX car j'arrivais (en 2012) à avoir que les paquets SYN, ce qui me faisait une belle jambe. Juniper n'avait pas su me répondre. La réponse que j'avais eu était que les paquets une fois passés à l'ASIC n'étaient plus visibles. Le 24 mars 2015 10:41, Sylvain Busson sbu12...@gmail.com a écrit : fare un dump du trafic n'existe pas à ma connaissance sur les SRX). Ca existe sur SRX dans tous les sens, par interface, par flux etc etc, c'est un de leur gros avantage aux bestios SBU - Original Message - From: Louis luigi.1...@gmail.com To: Raphael Mazelier r...@futomaki.net Cc: frnog@frnog.org Sent: Tuesday, March 24, 2015 10:25 AM Subject: Re: [FRnOG] [BIZ] [TECH] Boitier VPN + SWITCH + FW Bonjour, Fortigate est un bon produit à tout faire qui en plus est très pratique pour faire du debug (la fonction diagnose sniffer packet pour faire un dump du trafic n'existe pas à ma connaissance sur les SRX). Ceci-dit, j'aurais un peu peur de faire du BGP sur ce genre de boîtier alors que je le ferais sans soucis sur les SRX. Quel est votre retour avec le routage dynamique sur fortigate? Louis Le 24 mars 2015 09:29, Raphael Mazelier r...@futomaki.net a écrit : Le 24/03/2015 08:02, Pierre LANCASTRE a écrit : Bonjour, Il y a les entrées de gamme fortinet (60 a 90D). Sinon pour du port sfp, il faut la gamme 100-D mini (sauf erreur) La GUI est très sympa (le cli pas du tout, compare a du Juniper). En tout cas le rapport features/perf/prix est très intéressant. Fortinet en complément de SRX peut être intéressant oui. Dans les dernières versions la stabilité s'est largement amélioré et en effet la gui est très agréable. Pour moi il s'agit des deux fw constructeurs les plus crédibles. (qui d'autres d'ailleurs ? il y avait bien stonesoft avant le rachat par mcaffe, mais sinon ?) -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- L'absence de virus dans ce courrier électronique a été vérifiée par le logiciel antivirus Avast. http://www.avast.com --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] [TECH] Boitier VPN + SWITCH + FW
Bonjour Mikrotik serie CCR1009 - CCR1016 - CCR1036 http://wiki.mikrotik.com/wiki/Manual:IP/IPsec pour les perfs http://forum.mikrotik.com/viewtopic.php?t=87892 A+ Thierry _ From: Sylvain Busson [mailto:sbu12...@gmail.com] To: frnog-t...@frnog.org, frnog-...@frnog.org Sent: Tue, 24 Mar 2015 07:44:48 +0100 Subject: [FRnOG] [BIZ] [TECH] Boitier VPN + SWITCH + FW Hello, Je cherche un boitier, type couteau Suisse qui sait faire : du petit BGP (une annonce et récupération d'une gateway) VPN (environ 300Mo de chiffrement IPv6 IPv4), du Firewall statfull, et du commut natif (switching,Vlan tag, logical interface IP .) au pire du bridging Nous avons des SRX qui font le boulot et des SSG qui le font presque, connaissez vous d'autre boite qui savent faire ca, pour diversifier nos techno? (Hors course : Stonesoft et Palo Alto = pas de bridg et encore moins de switching natif à ma connaissance) Et tous ça en 1U, et 8-10 ports 1Ge Tx. (Option apprécié, trou(s) 1Ge SFP dispo et routage dynamique possible dans les VPN type Hub and spoke avec 2 Hub) Si quelqu'un connait la ou les boites magiques, commerciaux acceptés ? SBU --- L'absence de virus dans ce courrier électronique a été vérifiée par le logiciel antivirus Avast. http://www.avast.com --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] [TECH] Boitier VPN + SWITCH + FW
Hello c'est encore pire que ca il te faut utiliser la cryptographie camelia en 128 pour obtenir du Gig sur le port sinon en AES tu pousses quand même à 300 Mbps sur du paquet de 512 ( test chez nous ) je suis d'accord avec ton analyse ce ne sont pas des produits prévus pour l'entrée de gamme des Network Engineer A+ Thierry WideVOIP - WhichWAN 1, rue Jacob Mayer 67200 Strasbourg tél : +33 390 400 675 fax : +33 390 400 676 _ From: Sebastien Lesimple [mailto:slesim...@laposte.net] To: t.w...@widevoip.com, frnog-t...@frnog.org Sent: Tue, 24 Mar 2015 17:21:28 +0100 Subject: Re: [FRnOG] [BIZ] [TECH] Boitier VPN + SWITCH + FW Salut Thierry, Je pense qu'il faut que tu précises que l’accélération VPN est opérationnelle (ce n'était pas le cas lors de la sortie du CCR-1036 il me semble), que les perfs sont intimement liées aux configurations faites et a la version d'OS utilisée. J'ai vu passer un nombre incroyable de commentaires c'est pourris, c'est de la daube, uniquement pour des questions de config bancales d'un tech qui sait mieux que mikrotik comment ca marche mais qui obtiens des perfs minables... Donc c'est un produit marrant, flexible, pratique, fiable et vraiment pas cher mais à utiliser uniquement si l'on se donne la peine d'apprendre et de tester avant de passer en prod comme un bourrin et de se prendre un mur... Seb. Le 24/03/2015 16:26, Thierry Wehr a écrit : Bonjour Mikrotik serie CCR1009 - CCR1016 - CCR1036 http://wiki.mikrotik.com/wiki/Manual:IP/IPsec pour les perfs http://forum.mikrotik.com/viewtopic.php?t=87892 A+ Thierry _ From: Sylvain Busson [mailto:sbu12...@gmail.com] To: frnog-t...@frnog.org, frnog-...@frnog.org Sent: Tue, 24 Mar 2015 07:44:48 +0100 Subject: [FRnOG] [BIZ] [TECH] Boitier VPN + SWITCH + FW Hello, Je cherche un boitier, type couteau Suisse qui sait faire : du petit BGP (une annonce et récupération d'une gateway) VPN (environ 300Mo de chiffrement IPv6 IPv4), du Firewall statfull, et du commut natif (switching,Vlan tag, logical interface IP .) au pire du bridging Nous avons des SRX qui font le boulot et des SSG qui le font presque, connaissez vous d'autre boite qui savent faire ca, pour diversifier nos techno? (Hors course : Stonesoft et Palo Alto = pas de bridg et encore moins de switching natif à ma connaissance) Et tous ça en 1U, et 8-10 ports 1Ge Tx. (Option apprécié, trou(s) 1Ge SFP dispo et routage dynamique possible dans les VPN type Hub and spoke avec 2 Hub) Si quelqu'un connait la ou les boites magiques, commerciaux acceptés ? SBU --- L'absence de virus dans ce courrier électronique a été vérifiée par le logiciel antivirus Avast. http://www.avast.com --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] [TECH] Boitier VPN + SWITCH + FW
Salut Thierry, Je pense qu'il faut que tu précises que l’accélération VPN est opérationnelle (ce n'était pas le cas lors de la sortie du CCR-1036 il me semble), que les perfs sont intimement liées aux configurations faites et a la version d'OS utilisée. J'ai vu passer un nombre incroyable de commentaires c'est pourris, c'est de la daube, uniquement pour des questions de config bancales d'un tech qui sait mieux que mikrotik comment ca marche mais qui obtiens des perfs minables... Donc c'est un produit marrant, flexible, pratique, fiable et vraiment pas cher mais à utiliser uniquement si l'on se donne la peine d'apprendre et de tester avant de passer en prod comme un bourrin et de se prendre un mur... Seb. Le 24/03/2015 16:26, Thierry Wehr a écrit : Bonjour Mikrotik serie CCR1009 - CCR1016 - CCR1036 http://wiki.mikrotik.com/wiki/Manual:IP/IPsec pour les perfs http://forum.mikrotik.com/viewtopic.php?t=87892 A+ Thierry _ From: Sylvain Busson [mailto:sbu12...@gmail.com] To: frnog-t...@frnog.org, frnog-...@frnog.org Sent: Tue, 24 Mar 2015 07:44:48 +0100 Subject: [FRnOG] [BIZ] [TECH] Boitier VPN + SWITCH + FW Hello, Je cherche un boitier, type couteau Suisse qui sait faire : du petit BGP (une annonce et récupération d'une gateway) VPN (environ 300Mo de chiffrement IPv6 IPv4), du Firewall statfull, et du commut natif (switching,Vlan tag, logical interface IP .) au pire du bridging Nous avons des SRX qui font le boulot et des SSG qui le font presque, connaissez vous d'autre boite qui savent faire ca, pour diversifier nos techno? (Hors course : Stonesoft et Palo Alto = pas de bridg et encore moins de switching natif à ma connaissance) Et tous ça en 1U, et 8-10 ports 1Ge Tx. (Option apprécié, trou(s) 1Ge SFP dispo et routage dynamique possible dans les VPN type Hub and spoke avec 2 Hub) Si quelqu'un connait la ou les boites magiques, commerciaux acceptés ? SBU --- L'absence de virus dans ce courrier électronique a été vérifiée par le logiciel antivirus Avast. http://www.avast.com --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] [TECH] Boitier VPN + SWITCH + FW
Bonjour, Il y a les entrées de gamme fortinet (60 a 90D). Sinon pour du port sfp, il faut la gamme 100-D mini (sauf erreur) La GUI est très sympa (le cli pas du tout, compare a du Juniper). En tout cas le rapport features/perf/prix est très intéressant. Pierre Lancastre Ingénieur Réseaux et Sécurité *-* SENSS - AS59798 *-* +33 6 34 65 84 66 /* depuis mon mobile */ Le 24 mars 2015 07:50, Sylvain Busson sbu12...@gmail.com a écrit : Hello, Je cherche un boitier, type couteau Suisse qui sait faire : du petit BGP (une annonce et récupération d'une gateway) VPN (environ 300Mo de chiffrement IPv6 IPv4), du Firewall statfull, et du commut natif (switching,Vlan tag, logical interface IP .) au pire du bridging Nous avons des SRX qui font le boulot et des SSG qui le font presque, connaissez vous d'autre boite qui savent faire ca, pour diversifier nos techno? (Hors course : Stonesoft et Palo Alto = pas de bridg et encore moins de switching natif à ma connaissance) Et tous ça en 1U, et 8-10 ports 1Ge Tx. (Option apprécié, trou(s) 1Ge SFP dispo et routage dynamique possible dans les VPN type Hub and spoke avec 2 Hub) Si quelqu'un connait la ou les boites magiques, commerciaux acceptés ? SBU --- L'absence de virus dans ce courrier électronique a été vérifiée par le logiciel antivirus Avast. http://www.avast.com --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] [TECH] Boitier VPN + SWITCH + FW
Le 24/03/2015 08:02, Pierre LANCASTRE a écrit : Bonjour, Il y a les entrées de gamme fortinet (60 a 90D). Sinon pour du port sfp, il faut la gamme 100-D mini (sauf erreur) La GUI est très sympa (le cli pas du tout, compare a du Juniper). En tout cas le rapport features/perf/prix est très intéressant. Fortinet en complément de SRX peut être intéressant oui. Dans les dernières versions la stabilité s'est largement amélioré et en effet la gui est très agréable. Pour moi il s'agit des deux fw constructeurs les plus crédibles. (qui d'autres d'ailleurs ? il y avait bien stonesoft avant le rachat par mcaffe, mais sinon ?) -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] [TECH] Boitier VPN + SWITCH + FW
On Tue, Mar 24, 2015, at 07:44, Sylvain Busson wrote: Hello, Je cherche un boitier, type couteau Suisse qui sait faire : du petit BGP (une annonce et récupération d'une gateway) VPN (environ 300Mo de chiffrement IPv6 IPv4), du Firewall statfull, et du commut natif (switching,Vlan tag, logical interface IP .) au pire du bridging Et tous ça en 1U, et 8-10 ports 1Ge Tx. (Option apprécié, trou(s) 1Ge SFP dispo et routage dynamique possible dans les VPN type Hub and spoke avec 2 Hub) Regarde du cote des Fortinet entree-milieu de gamme : series 200D, 100D et la jungle des 60D/70D/90D. Cherche plutot les modeles avec switch integre. Ils ont aussi le IPSEC interface mode (interface tunnel, sur la quelle tu peux faire tourner du OSPF par exemple) ce qui doit aider intellectuellement pour la partie hub-and-spoke. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] [TECH] Boitier VPN + SWITCH + FW
On Tue, Mar 24, 2015 at 08:42:19AM +0100, Radu-Adrian Feurdean wrote: Regarde du cote des Fortinet entree-milieu de gamme : series 200D, 100D Je confirme, le 200D semble répondre à tes besoins. On en a deux en prod (cluster) et ça marche très bien. -- Thomas Lecomte --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] [TECH] Boitier VPN + SWITCH + FW
je conseille aussi la gamme fortinet, dans ma société nous les utilisons en front et coté stabilité il n'y a aucun soucis. A savoir que les fonctionnalités évolue rapidement sur demande au support. Le 24 mars 2015 08:02, Pierre LANCASTRE pierre.lancas...@gmail.com a écrit : Bonjour, Il y a les entrées de gamme fortinet (60 a 90D). Sinon pour du port sfp, il faut la gamme 100-D mini (sauf erreur) La GUI est très sympa (le cli pas du tout, compare a du Juniper). En tout cas le rapport features/perf/prix est très intéressant. Pierre Lancastre Ingénieur Réseaux et Sécurité *-* SENSS - AS59798 *-* +33 6 34 65 84 66 /* depuis mon mobile */ Le 24 mars 2015 07:50, Sylvain Busson sbu12...@gmail.com a écrit : Hello, Je cherche un boitier, type couteau Suisse qui sait faire : du petit BGP (une annonce et récupération d'une gateway) VPN (environ 300Mo de chiffrement IPv6 IPv4), du Firewall statfull, et du commut natif (switching,Vlan tag, logical interface IP .) au pire du bridging Nous avons des SRX qui font le boulot et des SSG qui le font presque, connaissez vous d'autre boite qui savent faire ca, pour diversifier nos techno? (Hors course : Stonesoft et Palo Alto = pas de bridg et encore moins de switching natif à ma connaissance) Et tous ça en 1U, et 8-10 ports 1Ge Tx. (Option apprécié, trou(s) 1Ge SFP dispo et routage dynamique possible dans les VPN type Hub and spoke avec 2 Hub) Si quelqu'un connait la ou les boites magiques, commerciaux acceptés ? SBU --- L'absence de virus dans ce courrier électronique a été vérifiée par le logiciel antivirus Avast. http://www.avast.com --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
