Astaro behind fully managed MPLS VPN?

i would suggest to leave the astaro as the default gateway an set the static routes on astaro to your cisco routers. ospf would be another option for routing. transparent mode is another option, it depends on what you like more...

T1---CISCO---ASTARO---LAN

with this setup you can use all features of astaro.

The IPSec Site-to-Site VPN in the Astaro is every bit as robust as those in the Cisco devices, so I'm curious.  What's the justification for buying the Cisco routers?

Thanks - Bob

And MPLS is actually LESS secure than an encrypted VPN.

Barry

Thank you for all the replies. Bob / Barry - I agree than mpls is less secure than the IPSec that I've been using with Astaro. I would love to keep the Astaro boxes doing all their work as is. We have a new version of a software package that requires more bandwidth and performance of a VPN. To make a long story short, having the vendor manage the VPN using their cisco routers let's them make good on their latency guarantees, apparently. MPLS is not new to me, but actually going through it first hand, and being in the trenches, is - I hope I am describing things clearly to everyone. We did not purchase the cisco routers - they are coming as part of the mpls upgrade package from the vendor. Can/should I have them turn off all the features of the cisco, and just have it pass traffic to the Astaro to handle? If I must keep the cisco's managing the VPN, is it best to just have Astaro run a static route to the cisco, turn off the IPSec VPN, and keep all other settings the same? 

I just want to keep all my Astaro's!

It should be fine to let the Ciscos do the routing, and have Astaro use a static route to the Cisco.

You can still do IPSec on Astaro if you want, if the performance is acceptable.

Where is the Internet connection?

Barry

Each site is going to be able to use the T1 they receive as an Internet connection. I'm going to research static routes, and play with them in this configuration. I appreciate everyone's input.

If you tell Astaro the Cisco is the gateway, then it'll create the static routes for you.

I assume the Cisco or ISP will handle the rest of the routing, between internet and MPLS.

Barry

Barry,

Thank you for the help - it almost sounds too easy then. If I tell Astaro that the cisco is the gateway, it sounds like all other setting will remain the same. I can give Astaro a public IP, keep NAT, proxies and packet filters the same, but turn off the IPSec VPN. Since we don't have a domain controller, or internal DNS servers, will the cisco's know to forward requests to other internal IP addresses across the VPN?

I would assume so. You may need to stop doing NAT and/or Masquerading though.

Barry

If you can give the Astaro a public IP, then the Cisco may not be creating a VPN.  If that were the case, then you would need to change the way everyone accesses your various locations.  I'm guessing that you can't put a public IP on the Astaro, and that you'll need to make sure the Ciscos aren't doing NAT or Masquerading.

Please report on your experience here.  I'm developing an opportunity where I want to replace dedicated T1s with Astaro VPNs and DSL or cable modems at the branches.  The server location will be upgraded to a 5MB digital line and an ASG that can handle the VPN and other traffic.  I thought that would increase the throughput for everyone and save money, but it sounds like you're going in the opposite direction hoping to get to the same place.

Cheers - Bob

FWIW, where I work, they are closing some sales offices and giving salespeople laptops with aircards (cellular/evdo 'modems') in them. The aircards will be locked into an MPLS into our main office, and will only get on the internet through the main office.
This is being done instead of remote-access VPN clients as our VPN infrastructure doesn't support dual-factor authentication, which seems to be a PCI requirement.

Barry

In a sense, it seems to me that the Astaro L2TP over IPSec VPN meets the requirement of two factor authentication.  To access the Astaro VPN, a road warrior must possess the pre-shared key or a certificate AND must know a valid username/password combination.

Cheers - Bob

In a sense, it seems to me that the Astaro L2TP over IPSec VPN meets the requirement of two factor authentication.  To access the Astaro VPN, a road warrior must possess the pre-shared key or a certificate AND must know a valid username/password combination.

Cheers - Bob

We're using a Cisco 3030 for most of our client VPNs, but our PCI consultant (Ambiron/Trustwave) says that the shared key doesn't count as part of a 2-factor system.

They said client certificates would be OK, IF they're unique for each client, but apparently there's no practical way for us to manage them with the Cisco and AD infrstructure, so we're looking at RSA keys for VPN users, and MPLS for salesreps.

I'm not deeply involved, so I'm not sure if the network manager's plan is best, but I did recommend client certificates a few times, but they say there's no way to automate that process for our hundreds of salesreps.

Barry

I think the Astaro User Portal would allow that easily.  I think you also could enforce changing certificates by deleting the users autocreated by Active Directory authentication and causing the creation of new 509 certificates - but I'd like an Astaro guru to confirm that for me.

Cheers - Bob

Update: our MPLS VPN is being installed this week. For whatever reason, all of the engineers I've spoken with from the MPLS VPN vendor were not as knowledgeable as the engineer I spoke with today, from the same vendor. I explained to him that I understand these Cisco routers are very flexible, and there are a million ways to accomplish the same MPLS VPN end result. I also told him how I needed our Astaro firewalls to remain intact, as we've become accustomed to how well they work. We came up with a plan that we're going to implement next week.

We have a hub and 9 spoke network. Each Cisco router at the spokes has a public port and a private port. The public port on the Cisco goes into the External Interface on the Astaro. The Internal Interface on the Astaro will feed our network switch. From the network switch, we will plug back into the private port on the Cisco. So, in this example, since I'm using the 2nd spoke on our 9 spoke hub, Astaro will have the IP 192.168.2.1. The Cisco will be 192.168.2.254. I will have to create a static route on the Astaro 192.168.0.0 /16 which forwards to 192.168.2.254. So, this way, the internal 192.168.0.0 /16 traffic will go through the Cisco and thus use the MPLS VPN. 

I hope this works - I'll be testing it very soon. It looks good theoretically. I will update this thread in the hopes that it will help someone else. 

Any comments are welcome. Thanks for everyone's earlier feedback.