Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 1837 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

RED Appropriate for this?

Simon Shaw
Hi, thinking about using RED's in our branch offices.

Head office is in Perth, Western Australia on a 40mbit fibre link.

Branch offices are overseas in locations like Almaty, Kazakhstan, UlaanBaatar, Mongolia, Johannesburg, South Africa and so on.

From what I understand, RED's normally push all traffic through the ASL link, so all traffic would have to come through head office unless we use split mode.

Now a lot of these branch offices have poor internet and high latencies back to head office.  Would a RED be suitable in situations like this?  I'd like to control web browsing rules, packet filter etc from head office, but if it slows down the branch's internet switching to REDs; then they are a no go.

I don't have a RED unit to trial.


This thread was automatically locked due to age.
  • 0
    PS: All branch offices currently run Astaro but standalone.
  • 0
    Would a RED be suitable in situations like this?
     

    It could be or not.  RED is nothing but a dedicated hardware-based IPSEC site-to-site VPN.  The biggest advantage of which is ease of deployment.  If the connections at branch offices are only poor back to HQ, then it may not be a good idea to use full-tunnel mode, but if their connections are bad to everywhere anyway, then the impact to the branch office would be minimal, while allowing you better visibility and control.

    You don't necessarily have to use all RED devices in the same mode and you can configure some in full and others in split tunnel mode, depending on the specific circumstances.  

    I would suggest that you do some testing.  Optimally, you could hit up your reseller for a loaner test RED to play with for a few weeks and see what you think.  Failing that, REDs really aren't very expensive.  Less that $300 in the US.  Squeek a little bit out of the budget to buy a test unit.  If you decide afterwards to not use them at the branch offices, you can send that test unit home with the on-call IT person on the weekends.  [:)]
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0
    Yeah sounds good.  Will see if I can get a test unit.  Thanks for the clarification.
  • 0
    Error of information on my part....it's an SSL VPN tunnel with RED, not IPSEC.  Same concept applies though.  [:)]
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0
    Hi Simon,

    it may or may not be a fit. Please keep in mind that the RED device itself doesn't do any kind of local enforcement, so you cannot push down packet filter rules or Web filtering policies. Any traffic that you want to control has to be routed back to the ASG the RED tunnel is connected to or has to be enforced by other means.

    As for the ASG location: you may also evaluate if a cloud-based ASG (e.g. hosted with CloudSigma or hetzner.de or in a friendly datacenter close to your customers' locations) may be an alternative to routing the traffic back to Australia.

    Probably, some 120s would do a better job, as they can enforce the policies locally.
Unfiltered HTML