Привет! Я работаю в компании, которая предоставляет IT-услуги, в основном для малого и среднего бизнеса, и мы рассматриваем возможность использовать USG в качестве основного фаервола для небольших филиалов и так далее. Сейчас у нас Cisco ASA5505, но, хотя они и делают действительно надежные устройства, цена кажется слишком высокой за тот уровень производительности, который они дают. К тому же, USG гораздо проще настраивать, особенно когда не нужно много разных правил и политик.
Наш главный вопрос — IPSec-маршрутизация site-to-site, так как многие наши клиенты зависят от таких туннелей для принтеров, Active Directory и удаленного DFS-хранилища. Я знаю, что можно настроить site-to-site туннели на USG через config.gateway.json, положив его в папку "$UniFi_Base/data/sites/$site_id/", и в тестах это работает стабильно. Но для обычных сотрудников из 1-й и 2-й линии поддержки, у которых нет доступа к порталу UniFi, разбираться с такими туннелями очень сложно.
Так что вот главный вопрос на миллион: планируется ли в ближайшем будущем добавить в GUI поддержку туннелирования USG с не-USG фаерволами с минимумом алгоритмов 3DES/MD5, а лучше AES/SHA? При этом обязательно должно поддерживаться туннелирование нескольких подсетей в одной туннельной группе — я так понимаю, это уже возможно? Если этот вопрос решится, и мы увидим хорошую стабильность и удобство управления, мы, скорее всего, уйдем от Cisco для «обычных» клиентов и перейдем на USG. А если так, то речь идет как минимум о 150+ устройствах USG в год.
С наилучшими пожеланиями, Конни
Наш главный вопрос — IPSec-маршрутизация site-to-site, так как многие наши клиенты зависят от таких туннелей для принтеров, Active Directory и удаленного DFS-хранилища. Я знаю, что можно настроить site-to-site туннели на USG через config.gateway.json, положив его в папку "$UniFi_Base/data/sites/$site_id/", и в тестах это работает стабильно. Но для обычных сотрудников из 1-й и 2-й линии поддержки, у которых нет доступа к порталу UniFi, разбираться с такими туннелями очень сложно.
Так что вот главный вопрос на миллион: планируется ли в ближайшем будущем добавить в GUI поддержку туннелирования USG с не-USG фаерволами с минимумом алгоритмов 3DES/MD5, а лучше AES/SHA? При этом обязательно должно поддерживаться туннелирование нескольких подсетей в одной туннельной группе — я так понимаю, это уже возможно? Если этот вопрос решится, и мы увидим хорошую стабильность и удобство управления, мы, скорее всего, уйдем от Cisco для «обычных» клиентов и перейдем на USG. А если так, то речь идет как минимум о 150+ устройствах USG в год.
С наилучшими пожеланиями, Конни