Met de ESG-lijn van gateways maakt EnGenius de basis voor EnGenius Cloud compleet. Wij ontvingen de ESG510 en gingen ermee aan de slag. In dit artikel lees je onze bevindingen.
EnGenius bouwt gestaag door aan het Cloud-portfolio. Nadat we eerder al switches en access points hadden, is sinds enige tijd ook de eerste gateway beschikbaar. Deze EnGenius Cloud ESG510 zorgt ervoor dat je vanuit de cloudomgeving nu niet meer eerst door een ‘vreemde’ gateway heen hoeft om bij de access points en switches te komen. Dat houdt in dat je van cloud tot access point binnen hetzelfde ecosysteem kunt blijven.
Zie onderstaande afbeelding hoe EnGenius dit schematisch voor zich ziet:
Het idee is dat al het beheer plaatsvindt vanuit een enkele omgeving in de cloud. Dat is niet alleen overzichtelijk, maar is inherent ook veiliger dan allerlei verschillende netwerkomgevingen. Je kunt bijvoorbeeld netwerkbreed bepaalde policies uitrollen. Je weet dan zeker dat je niets mist, iets wat je met een heterogene netwerkstack vrij eenvoudig kan overkomen.
We zien in bovenstaand plaatje overigens ook al PDU’s staan als onderdeel van het portfolio van EnGenius. Die komen later dit jaar. Volgens EnGenius zal dat in december zijn. Daarnaast werkt het bedrijf ook nog aan de ontwikkeling van IP-camera’s die integreren met EnGenius Cloud. Als al deze nieuwe producten er zijn, heeft EnGenius een behoorlijk compleet portfolio opgebouwd.
EnGenius Cloud ESG510
Zoals al aangegeven is de EnGenius ESG510 de eerste gateway binnen het EnGenius Cloud-aanbod. Dit is een bescheiden doosje, maar wel eentje met spierballen. Er zit een quad-core processor in, geklokt op 1,6 GHz. Daarnaast zitten er ook vier netwerkaansluitingen op. Op zich is dat nog niet zo bijzonder, net zo min als het feit dat er twee WAN-poorten geconfigureerd kunnen worden. Wel tamelijk bijzonder is dat alle vier de aansluitingen 2,5Gbps aan bandbreedte bieden. Daarmee heb je als organisatie lekker veel bandbreedte tot je beschikking. Verder is er aan de buitenkant niet zoveel bijzonders te zien. Naast een consolepoort zien we nog een USB 3.0-aansluiting. Daarop kun je een dongel aansluiten voor failover via een mobiel netwerk. Dit brengt het totaal dus op drie WAN-aansluitingen.
We komen de EnGenius Cloud ESG510 online tegen voor zo’n 650 euro, exclusief BTW.
Ook nog de EnGenius ESG320, ESG610 en ESG620
EnGenius houdt overduidelijk niet van half werk, want naast de ESG510 zijn er inmiddels nog drie gateways op komst. Dat zijn achtereenvolgens de ESG320, ESG610 en ESG620. De ESG320 is voor zeer prijsbewuste klanten, die aan 1Gbps-poorten voldoende hebben (4 stuks). Deze variant heeft een dual-core processor onder de motorkap. De ESG610 heeft dan juist weer een hoger geklokte processor (2,2 GHz), maar verder dezelfde behuizing als de ESG510. De ESG620 heeft eveneens deze krachtigste variant processor, maar daarnaast niet 4 maar 8 2,5Gbps-aansluitingen. Ook zien we hier 2 SFP+-aansluitingen.
Verder kunnen alle modellen ingezet worden om een access point van stroom te voorzien. De ESG320, ESG510 en ESG610 hebben 1 poort die PoE+ kan leveren, de ESG620 zelfs 4. Dit is een belangrijk gegeven wat ons betreft. Dit houdt namelijk in dat je voor een klein bijkantoor alleen een gateway en een access point nodig hebt om een werkend netwerk op te zetten. Je hoeft er geen switch met PoE+ tussen te hangen. Kijken we naar het aantal VPN-tunnels, een van de redenen om een dergelijke gateway aan te schaffen als organisatie, dan zien we dat de ESG510 er 200 aankan, de ESG610 en ESG620 gaan tot 300. Voor de ESG320 is de officiële opgave op dit moment nog niet bekend. Dat gaat echter gezien de beperktere rekenkracht waarschijnlijk minder dan 200 zijn.
Al met al dus best een mooie line-up aan gateways die EnGenius neerzet, of in ieder geval in de nabije toekomst neer gaat zetten. Er is voor allerlei formaten organisaties en bijkantoren keuze. Hieronder zie je de ESG320, ESG610 en ESG620 samen met de ESG510 bij elkaar:
Meer SD-WAN dan Security
Als je de afkorting ‘ESG’ ziet staan, ben je wellicht geneigd om te denken dat dit staat voor EnGenius Security Gateway. Dat was voor zover wij het weten in eerste instantie ook de naam, toen we er in augustus vorig jaar over schreven. Inmiddels lijkt de ‘S’ vooral te staan voor SD-WAN. EnGenius noemt de gateway zelf ook zo. Het richt zich met name op het optimaal inrichten van meerdere verbindingen en het opzetten van VPN-tunnels tussen locaties.
Er zit uiteraard wel een stateful firewall op, maar geen zaken zoals DPI, intrusion detection, antivirus, anti-spam en ga zo maar door. Op een security gateway zou je dit wel verwachten, op een SD-WAN gateway niet per se. Aan de andere kant kunt je erover twisten of je op een gateway nog al die security features moet hebben, aangezien het meeste verkeer via versleutelde verbindingen (SSL/TLS/IPSec) zal gaan.
Kijken we naar de mogelijkheden voor de ESG510 binnen de EnGenius Cloud beheeromgeving, dan zijn die lekker overzichtelijk. Er is uiteraard een tabblad waarin je de WAN-verbinding en de subnets binnen de eigen omgeving kunt inrichten. Op het WAN-tabblad kun je twee WAN-verbindingen configureren en aangeven of het mobiele netwerk ook toegevoegd moet worden. Verder kun je hier je publieke IP-adres eenvoudiger bereikbaar maken bij het opzetten van VPN-tunnels door een van de dynamische DNS-diensten toe te voegen.
De instellingen voor de WAN op een gateway zoals de EnGenius ESG510 zijn iets waar je heel even over na moet denken. Niet per se wat die instellingen moeten zijn, maar wel hoe je deze op het doosje krijgt. We hebben hier immers te maken met een apparaat dat verbinding maakt met de EnGenius Cloud. Als je in de cloudomgeving de instellingen invoert, dan staan die nog niet op de ESG510. Ook niet als je deze aansluit op je WAN. Althans, niet als je nog specifieke instellingen voor PPPoE of een VLAN mee moet geven. Dan kan de gateway geen verbinding maken.
Een manier om dit op te lossen is om eerst rechtstreeks een pc op de ESG510 aan te sluiten en dan in de interface van de gateway zelf de instellingen goed te zetten. Een wellicht nog iets eenvoudiger alternatief is om de ESG510 eerst achter een bestaande gateway te zetten. Dan maakt hij in ieder geval verbinding en kun je meteen de juiste instellingen vanaf de cloudomgeving erop wegschrijven. Uiteraard valt de verbinding dan wel weer weg op het moment dat de eerdergenoemde PPPoE of VLAN-gegevens doorgevoerd worden. Op dat moment kun je de WAN-verbinding omprikken van oude naar nieuwe gateway (de ESG510 dus).
Veel aandacht voor VPN
Naast de WAN-instellingen gaat het bij de ESG510 verder vooral om de mogelijkheden op het gebied van de VPN-verbindingen. Dat is logisch als je bedenkt dat de ESG510 vooral als SD-WAN-gateway wordt gepositioneerd.
Zoals gebruikelijk in gateways biedt ook de EnGenius ESG510 twee smaken aan, site-to-site en client-to-site. De eerste gebruik je om twee verschillende kantoorlocaties aan elkaar te koppelen, de tweede om endpoints onderweg toegang te geven tot het netwerk achter de gateway. Je kunt bij de site-to-site-instellingen overigens wel netjes aangeven welke lokale subnets de VPN-verbinding mogen gebruiken. Je hoeft dus zeker niet je hele bedrijfsnetwerk open te zetten.
Mesh vs. Spoke-and-Hub VPN
EnGenius gebruikt iets wat door het leven gaat als one-click VPN, oftewel Auto VPN. Je kunt dan met een druk op de knop VPN-verbindingen opzetten tussen de verschillende gateways. Dit is zo eenvoudig, omdat je alles vanuit een centrale locatie aanstuurt, namelijk de cloud. Anders had dat niet gekund. Deze centrale aansturing maakt het ook mogelijk om eventuele verbroken verbindingen automatisch te herstellen. Op dit moment kan EnGenius beloven dat een verbinding nooit meer dan een paar minuten verbroken blijft. De apparaten pollen namelijk iedere vijf minuten richting de cloud. Wellicht dat er richting de toekomst nog wel stappen gezet worden om wat meer richting near realtime te gaan. In principe zou dat prima moeten kunnen.
Je kunt bij het opzetten van site-to-site VPN voor een Mesh-architectuur kiezen of een Hub-and-Spoke-architectuur. Beide hebben voor- en nadelen. Hub-and-Spoke betekent dat alles geregeld wordt vanuit een centrale locatie, de hub. Deze hub moet zeker in grotere netwerken wel behoorlijk krachtig zijn en voorzien van een enorme uplink. Anders kan deze al die gelijktijdige verbindingen nooit aan. Aan het begin van de coronapandemie hadden veel organisaties last van het laatste, toen plots 100 procent van de medewerkers via een VPN-verbinding het bedrijfsnetwerk op moest.
Met een mesh-architectuur heb je dit probleem niet. Je hebt dan alleen wel minder overzicht en controle. In sommige organisaties zal een dergelijke architectuur om die reden ook niet toegestaan zijn. Het is in ieder geval goed dat EnGenius je de keuze biedt.
Extra handigheidjes voor site-to-site VPN
Kijken we verder naar de opties die je hebt voor site-to-site VPN, dan zien we nog twee extra handigheidjes. Allereerst is er automatische NAT Traversal. Deze feature, waarvoor je wel een Pro-licentie moet hebben trouwens, zorgt ervoor dat je ook een VPN kunt opzetten tussen twee EnGenius-gateways als er een andere router tussen zit.
TIP: Wil je meer weten over de Pro-licenties van EnGenius Cloud, dan kun je terecht bij onze eerdere review van het EnGenius Cloud-platform.
Dit is wederom mogelijk vanwege de EnGenius Cloud die als een soort broker fungeert. De gateways vertellen precies aan de cloud waar ze zijn en welke instellingen ze hebben. Dan kan de verbinding als het ware dwars door de NAT van de tussenliggende router opgezet worden. Let wel, de tussenliggende router moet wel cone NAT ondersteunen. Met symmetric NAT werkt dit niet en moet je het handmatig doen. Als je geen Pro-licentie hebt moet je dat sowieso handmatig doen.
Het laatste opvallende onderdeel van de site-to-site VPN-instellingen is het kopje Add non-EnGenius Gateway. Hiermee kun je vanuit de cloudomgeving een gateway van een andere fabrikant, of een EnGenius-gateway in een andere organisatie (buitenom die je in je EnGenius Cloud hebt geconfigureerd) toevoegen aan het VPN-netwerk. Dat is wel een volledig handmatige klus, hierbij kan EnGenius Cloud niet helpen. Het heeft immers geen data en telemetrie over deze gateway. Toch is het een handige feature om te hebben. Veel organisaties zullen al investeringen hebben gedaan in het verleden. Die kunnen ze dan gewoon afschrijven, ze hoeven geen apparaten te vervangen die nog niet aan vervanging toe zijn.
Tot slot is het nog goed om te vermelden dat je op een kaart precies de verbindingen tussen de verschillende vestigingen van een organisatie kunt zien. Hier heb je wel een Pro-licentie voor nodig. Nog niet beschikbaar, maar wel op de roadmap voor einde Q2 2023 volgens onze contacten bij EnGenius, is een feature waarbij je een SSID op een remote access point via VPN kunt verbinden met de gateway. Dit is gericht op thuiswerkers die een access point van de zaak hebben met het SSID van de zaak. Die hebben dan automatisch een verbinding met kantoor. Je kunt dit vergelijken met EoGRE, waar we het in onze review van EnGenius Cloud over hadden. Het verschil hiermee is wel dat EoGRE op Layer 2 plaatsvindt, de feature waar we het hier over hebben op Layer 3.
Client VPN heeft nog wat werk nodig
De mogelijkheden voor site-to-site VPN-verbindingen zijn vrij uitgebreid. Het is duidelijk dat daar veel focus op is gelegd. Bij de pagina waar we de client-to-site VPN-instellingen kunnen doen, zien we aanmerkelijk minder opties. Nu is dat natuurlijk ook logisch, want een client-to-site VPN is nu eenmaal een stuk minder complex dan een site-to-site VPN. Toch zien we hier wel erg weinig opties als het gaat om het instellen van het protocol dat we willen gebruiken. Er is geen keuze. Het moet via IPSec.
We hadden hier toch op zijn minst graag ook OpenVPN terug gezien. Dat is inmiddels de standaard op het gebied van VPN-protocollen. Het is gebruiksvriendelijker en de prestaties zijn voor de meeste doeleinden uitstekend. Bij EnGenius zijn ze zich overigens bewust van deze omissie. Hij zou op de roadmap staan en einde Q2 2023 beschikbaar komen. Voor nu is het opzetten van een IPSec-tunnel ook geen enorm probleem. Wel moeten we ondanks de belofte dat IPSec door alle platformen ondersteund wordt alsnog een separate client downloaden en installeren om de tunnel op te kunnen zetten. De ingebouwde client in Windows blijft vage foutmeldingen geven. Dat is overigens een bekend probleem. Dus de native integratie van IPSec in alle besturingssystemen (vaak genoemd als groot voordeel van IPSec ten opzichte van OpenVPN) kunnen we met een korreltje zout nemen.
Conclusie: krachtig kastje met duidelijke nadruk op SD-WAN
Onderaan de streep heeft EnGenius met de ESG510 best een interessant product op de markt gebracht. Zeker als je niet op zoek bent naar een security gateway, maar meer naar een product om snel en efficiënt verschillende vestigingen aan elkaar te knopen, kan dit doosje prima op de shortlist. Hij is voorzien van relatief krachtige hardware, in totaal drie (W)WAN-verbindingen, poorten met een bandbreedte van 2,5Gbps en PoE+ op een van de LAN-poorten.
Qua mogelijkheden zullen de meeste organisaties ruimschoots voldoende hebben aan de opties op het gebied van site-to-site VPN, toch het voornaamste gebruiksdoel van de ESG510, naast loadbalancing en failover. Dat onderdeel is echt goed uitgewerkt. Op het gebied van client to-site VPN moet er nog wel iets bij om echt compleet te zijn. Maar dat is een kwestie van tijd, hebben we vernomen. Zodra de andere ESG-modellen beschikbaar zijn zal er ongetwijfeld de nodige focus zijn om de featureset verder uit te bouwen. Wellicht dat ook de partners van EnGenius hier goede feedback op gaan geven. Daar zoekt EnGenius er ook altijd nog wel meer van. We zijn benieuwd wat er in de loop van het jaar nog uit de koker van EnGenius komt om de toekomstvisie die we in de inleiding bespraken weer een stukje dichterbij te brengen.
1 uur geleden
