ASA oder Router

[hegl]

Ich muss eine Aussenstelle per VPN an eine ASA anbindnen. Der Kunde wünscht eine 4 MBit SHDSL-Strecke. Nun meine Frage: Bekomme ich beim Provider den Router als Abschluss mit oder würdet Ihr, wenn´s die Leitung auch ohne Router gibt, auf den Router verzichten? Welcher Router wäre dann zu empfehlen, wenn ein klassisches site-to-site zu konfigurieren ist, d.h. alles soll über das VPN in die Zentrale?
Wenn der Provider eine Router stellt, was nehme ich dann für den Tunnel, auch einen Router oder eine ASA? Der Kunde wünscht (aus Kostengründen ) kein BackUp!!! Zur Adminstration müsste ich aber als BackUp auch eine Remote-Verbindung (Modem, BRI) herstellen können.

In der Aussenstelle sind zur Zeit ca. 50 User, max. werden es 70 werden. Also gehe ich mal von 100 aus. Grundsätzlich sollen alle Server in der Zentrale genutzt werden, lediglich ein Fileserver wird in der Aussenstelle seinen Dienst verrichten und nachts mit Einem in der Zentrale abgeglichen.

Zu erwähnen ist noch, dass ich die ASA kenne und beim Router ein absoluter Rookie bin. Aber dank CCO-Zugriff gibt´s ja auch genügend samples. Davor ist mir nicht bange

[Wordo]

Cisco 878 hat ein BRI mit bei und kann SDSL. Wenn du einen Router gestellt bekommst nimm ne ASA, spart dir die Einarbeitung.

[hegl]

Zitat von Wordo Cisco 878 hat ein BRI mit bei und kann SDSL. Wenn du einen Router gestellt bekommst nimm ne ASA, spart dir die Einarbeitung.

So schlimm? Wäre aber mal endlich die Möglichkeit, in das Thema einzusteigen...

Wenn ich Dich also richtig verstehe, ist es von der security egal, da ohnehin alles über den Tunnel läuft?

[Wordo]

Ne, wenn du beides ueber Console konfigurierst find ich Router sogar einfacher. Was stellst du dir unter Security vor? Paar ACLs kann der Router auch.

[hegl]

Erstmal danke für die Infos. Werd´wohl mal schauen, wie der Zeitrahmen ist und mich dann entscheiden.

[bnice]

Das Thema Router vs. ASA interessiert mich auch...

Wir müssen unseren 871 mittelfristig durch leistungsfähigere Hardware ersetzen.
Anforderung an die neue Hardware wären dann:

- Aufbau von IPSec-VPNs (mind. 5 Tunnel mit festen IPs, gerne AES)
- zus. IPSec-VPN zu Außenstellen mit dyn. IP (ohne DynDNS)
- zus. Unterstützung von VPN-Clients (ca. 10, davon 5 gleichzeitig)
- vernünftige Firewallfunktionalität
- Möglichkeit für DMZ
- volle Nutzung einer 16MBit ADSL-Anbindung (auch bei aktiver Firewall)
- funktionierendes QoS auf Dialer wäre ein Hammer...

Von den Funktionen können wir das momentan mit dem 871er abbilden. Dynamische L2L-Tunnel und zeitgleich (!) Unterstützung von VPN-Clients zu ermöglichen war etwas tricky (geht nur über keyrings), funzt aber wunderbar.
DMZ nutzen wir z.Zt. noch nicht, ließe sich aber auch umsetzen.

Und QoS auf dem Dialer-Interface geht ja leider weder bei den 87x noch bei den 18xx, soweit ich das prüfen konnte und hier mitverfolgt habe... :-(
Wie siehts da mit einer ASA aus?

[Wordo]

Geht alles mit der ASA (besser), wobei die QoS Konfiguration nicht so umfangreich ist wie bei IOS. Aber da kann ich keine Liveerfahrungsberichte liefern

[bnice]

Hm, QoS macht ja eh nur Sinn, wenn die Gegenseite auch QoS kann... Und da dort auch noch ein 871er steht, fällt QoS wohl eh erstmal flach...
Stellt sich nur die Frage, reicht eine kleine 5505 ASA, oder doch besser eine 5510er... Oder in der Mitte (preislich) ein 1841 Router.... Hm, muss ich wohl noch mal im Detail recherchieren

[Wordo]

Mit Sec.Plus Lizenz bekommst du bei der 5505 25 VPNs hin. Musst halt dann schaun ob du ne Unlimited Client Lizenz brauchst oder was weiss ich. 5510 waere schon fast oversized, vor allem im Vergleich zu ner 871