Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 2690 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

General RED Deployment & Usage Questions

Xfiring
We are considering using RED appliances on a larger rollout with an ASG625 as a host and was wondering a few things.

1.) Is the RED device really plug & plug if it has been preconfigured with the AS625 name/IP Address etc, so when you ship the box out and the location has an internet connection, can it really be plugged in and 'phone home'? 

2.) To question 1, if the location has a static IP does that require more setup?  This gets the question if the location has an internet connection and the RED has been presetup will it just work?

3.) Is there anything inherently easier in using a RED vs using an ASG110/120 from a deployment perspective?

4.) Are there any reliability issues with using RED?  How often does it drop the VPN connection, what happens if it drops.

5.) How does split tunneling work exactly?  I know you can separate by IP, but does that open ports or just let any traffic in and out with a certain IP address?  

6.) What risk does split tunneling certain IP's create for a network.

I know these are open ended questions but I appreciate any help.

Thanks


This thread was automatically locked due to age.
  • 0
    1)  If setup correctly and if the RED has outbound connectivity on Port 3400, yes.
    2)  Initial connection must be through DHCP in order to obtain the config, then can be switched to static IP.
    3)  Potentially yes, but it really depends on your use case/budget.
    4)  Reliability is 100% based on the internet connection in use.  If it is very low bandwidth and/or high latency, you'd get more drops.
    5)  The traffic that goes over the RED tunnel is set by modifying a routing table, so it is based on IP/Network and not specific ports.
    6)  Split tunneling means that traffic destined for the LAN behind the ASG goes over the tunnel, while other traffic does not.  The inherent risk is that a client machine behind the RED could become infected with some malware, if no other protections are provided.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0
    Thanks for the feedback.

    So for questions 1 and 2, what I was asking was if the locations internet connection (WAN) has a static IP is more connectivity required, or as long as the RED can see the internet and has been preconfigured to see the ASG, will it connect?

    I understand that the ASG will initially give RED a DHCP address which I can change later, I am more concerned with the ease of RED finding the ASG in the first place.  Does this make sense.

    Thanks for all the other answers that helps a lot.
  • 0
    Hm - I think a static WAN IP will not be a problem - the main point is that the RED Device behind the wan router (on the LAN side of the access router) will get a working IP config via DHCP and can access the RED configuration server (a hosted service that has stored the configuration for each red device).

    The most common misunderstanding ist that a RED device is a dsl router or something like this. You always need an internet connecion line AND a router AND a red device to get a working config.

    Regards
    Manfred

    PS. we only one RED device in use but that one is working behind 6/1 ADSL Line without any issues.
  • 0 in reply to Xfiring
    So for questions 1 and 2, what I was asking was if the locations internet connection (WAN) has a static IP is more connectivity required, or as long as the RED can see the internet and has been preconfigured to see the ASG, will it connect?


    The RED will initially require an IP Address retrieved from a DHCP Server so that it can connect to the RED provisioning servers at Astaro. If you set a static IP Address via the RED Configuration, it will then come online with the static IP Address after the new configuration is obtained.

    The most common misunderstanding ist that a RED device is a dsl router or something like this. You always need an internet connecion line AND a router AND a red device to get a working config.


    You don't need a router for the RED to function, you could just have a modem/3G USB that can be accessible either via DHCP or a static IP Address (if pre-configured.)
  • 0 in reply to Scott_Klassen

    6)  Split tunneling means that traffic destined for the LAN behind the ASG goes over the tunnel, while other traffic does not.  The inherent risk is that a client machine behind the RED could become infected with some malware, if no other protections are provided.


    I have a little question about this point (that makes 1 hour I search that on the forum and documentation..)

    If I understand correctly, the RED is juste a gateway who route traffic to the head office for the specified route, and all other traffic will not analysed for virus/malware/content filter/.. ? 

    Thank in advance

    Best regards
  • 0 in reply to peterkieser
    You don't need a router for the RED to function, you could just have a modem/3G USB that can be accessible either via DHCP or a static IP Address (if pre-configured.)


    OK - I chose the wrong words - but thats what I wanted to say - some device that creates the internet connection and provides that internet access to the inside (in best case with DHCP) - better ? ;-)

    Regards
    Manfred
  • 0
    @lbn:

    Correct. The RED device itself only handles routing and VPN tunnel establishment. It does not provide any local security features like a packet filter, a web filter or any other kinds of security functionalities.

    This was also the reason why the product was first launched without the split tunnel mode being available - to make sure that all traffic is processed by a security device before it hits the internet.

    But, customer demanded the split mode and eventually this functionality was then made available to end users.

    If you deploy the product in "Standard" mode, all traffic will be sent to the ASG and can there be processed with security technologies. If you however decide to use the product in the split mode (which is not the "preferred" / most secure way of operations), the device will simply forward the traffic that is not sent through the tunnel to the router in front of the RED device (your SOHO ADSL router....).

    Does that help?
    Christian
  • 0 in reply to christianlouis
    @lbn:

    Correct. The RED device itself only handles routing and VPN tunnel establishment. It does not provide any local security features like a packet filter, a web filter or any other kinds of security functionalities.

    This was also the reason why the product was first launched without the split tunnel mode being available - to make sure that all traffic is processed by a security device before it hits the internet.

    But, customer demanded the split mode and eventually this functionality was then made available to end users.

    If you deploy the product in "Standard" mode, all traffic will be sent to the ASG and can there be processed with security technologies. If you however decide to use the product in the split mode (which is not the "preferred" / most secure way of operations), the device will simply forward the traffic that is not sent through the tunnel to the router in front of the RED device (your SOHO ADSL router....).

    Does that help?
    Christian


    That perfect, thank you very much !
Unfiltered HTML