---

Hej,

Vi ovevejer at anskaffe et par Fortigate 100A (redundant). Kan man sige
noget ufordelagtigt om den? Findes der evt. noget bedre?

Vi har ca. 150 PCer og ca. 15 servere på netværket og 5 webservere på en
DMZ. Og vi skal bruge ca. 50 h/w baserede VPN tuneller til
hjemmearbejdspladser samt nogle få s/w baserede VPN tuneller.

mvh
Ulrik

---

On Wed, 18 May 2005 11:12:17 +0200, Ulrik Friis wrote:

> Vi ovevejer at anskaffe et par Fortigate 100A (redundant). Kan man sige
> noget ufordelagtigt om den? Findes der evt. noget bedre?
>
> Vi har ca. 150 PCer og ca. 15 servere på netværket og 5 webservere på
> en DMZ. Og vi skal bruge ca. 50 h/w baserede VPN tuneller til
> hjemmearbejdspladser samt nogle få s/w baserede VPN tuneller.
Hvis i har et par bedagede maskiner stående og samle støv, kunne i
eventuelt overveje dette: http://www.ipcop.org.

Kan det ikke bruges til jeres formål, har i ikke mistet andet en den
times tid det tager at sætte systemet op.

--
Hilsen/Regards
Michael Rasmussen
http://keyserver.veridis.com:11371/pks/lookup?op=get&search=0xE3E80917

---

> Vi ovevejer at anskaffe et par Fortigate 100A (redundant). Kan man sige
> noget ufordelagtigt om den? Findes der evt. noget bedre?
>
> Vi har ca. 150 PCer og ca. 15 servere på netværket og 5 webservere på en
> DMZ. Og vi skal bruge ca. 50 h/w baserede VPN tuneller til
> hjemmearbejdspladser samt nogle få s/w baserede VPN tuneller.

Jeg har engang brugt mange timer på en fejl sådan en boks (godtnok 50A).

Forbindelsen var mellem den og en FW-1 og denne. Fortigaten sagde at der
var en forbindelse, men FW-1 kom med en fejl.

Da jeg søgte på den fejl fandt jeg noget der matchede i en gammel
version af Freeswan. Beskrivelsen (på Freeswan altså) foreslog at man
undlod at benytte Perfect Forward Secrecy. Det prøvede jeg så på boxen,
og så kørte den.

Det spekulerede jeg noget over, der stod nemlig ikke noget om Freeswan i
den farvestrålende brochure.

Selve manualen omkring VPN var på Next->Next->Next>Finish niveau.

Jeg var faktisk så langt ude, at jeg prøvede deres support. De foreslog,
at jeg slog NAT-T til, selvom jeg ikke kørte på private IP adresser
nogen steder.

Det var fakta.. Så lidt holdninger:

Jeg syntes at det er en plastikbox i stil med D-Link, Zyxell og andet af
samme skuffe. Der er en stort antal ganske udokumentere features i den
som man så kan sidde at klikke til og fra på må og få i den nydelige
websnitflade.

Hvis du vil have noget professionelt udstyr, så køb 2 PIX 515 og sæt dem
redundant op.

Hvis du vil spare penge, så sæt en Linux op med Iptables og Freeswan.

Med venlig hilsen

Lars Møller

---

"Lars Møller" <larsmo@post3.tele.dk> wrote in message
news:428d00d4$0$274$edfadb0f@dread12.news.tele.dk...
>
> Jeg syntes at det er en plastikbox i stil med D-Link, Zyxell og andet af
> samme skuffe. Der er en stort antal ganske udokumentere features i den som
> man så kan sidde at klikke til og fra på må og få i den nydelige
> websnitflade.
>
> Hvis du vil have noget professionelt udstyr, så køb 2 PIX 515 og sæt dem
> redundant op.
>
> Hvis du vil spare penge, så sæt en Linux op med Iptables og Freeswan.
>

Tak for svarene. Det bliver nok et par PIX 506, da PIX 515 skyder noget over
målet. Et par Linux boxe vil jo også koste noget omend i hardware, da jeg
nok ikke vil sætte en udtjent server til at være firewall.

mvh
Ulrik