Что поставить в пограничье?

Question

[Вася Пупкин]

Подскажите, что поставить как стену между L3 и провайдером в офис на 100-150 человек.

Есть L3 коммутатор, который является шлюзом на всех ПК. На нем настроены простенькие ACL, маршруты и VLAN'ы. Какое устройство поставить перед ним, куда будет подключаться кабель от интернет провайдера? Чтобы настраивать правила, доступы, проброс портов, запреты и т.д.

Вопросы:
1. Самое очевидное - это микротик, который нужно будет сидеть и настраивать. Хз че там по санкциям и есть ли смысл его брать. Какую модель?
2. В сети есть точки UniFi AP. У них на сайте есть куча оборудования в том числе и такие "стены", которые идеально интегрируются с точками и прочими своими устройствами. Кто пользовался их продукцией в плане управления сети? Стоит рассматривать?
3. Что поставить в качестве веб-прокси с аналитикой. В идеале готовое решение "поставил и забыл", а не сборку на коленке.

Comments

[Рамис]

Посмотрите pfSense

[Вася Пупкин]

Рамис, pfSencse лучше микротика или он гибче?

[Рамис]

Вася Пупкин,

pfSencse лучше микротика или он гибче?

Я не отвечу на этот вопрос.
Предлагаю Вам установить pfSencse, посмотреть его возможности, и выяснить, покроет ли он ваши потребности.

Answer 1

[CityCat4]

Микротик, конечно же. Насчет санкций-херанкций ничего не скажу. С одной стороны, Латвия - одна из наиболее антироссйских стран, с другой стороны - пока продают и пока не говорили про прекращение продаж, доступ к сайту не блокируют, с громкими заявлениями не выступают... Пока, конечно же, хз что там будет даже через полгода.

У нас стоит 4011, вывозит спокойно. Если по деньгам ой, то можно рассмотреть и более младшие модели - 3011, 2011 (последний только как совсем #опа - он запросто может не вывозить)

Прокси у Вас нарисовано несколько неправильно. Ну имхо. Прокси должен контролировать трафик, но не создавать лишней нагрузки на сеть, поэтому я бы вывел прокси к микротику отдельным проводом. Аналитика - это значит ssl-bump, нынче по-другому никак. Мне коробочных решений не известно, обычно ставят squid + какой-нибудь парсер логов.

Comments

[Вася Пупкин]

Спасибо, по деньгам пока не определились, поглядим все модели.
Касательно прокси - это просто рисунок. Пока не планировал его ставить именно там, но когда рисовал отталкивался от того, что обычно у роутера пропускная способность намного ниже чем у L3, и посчитал что это будет нагрузкой на него, поэтому нарисовал у L3, если не прав - окей. Пока реально не рассматривал варианты. Учту ваш совет, спасибо.

[CityCat4]

Вася Пупкин, Если планируете еще и VPN держать на микротике, ищите с аппаратным шифрованием.

[Вася Пупкин]

CityCat4, Планировал, следовательно 4011 уже не подходит или он покрывает все задачи? Вроде стоит не баснословных денег, так что купить его не проблема.

[CityCat4]

Если там не десятки туннелей одновременно - то покрывает. Если планируется приличное (два-три десятка) людей/узлов на связи одновременно - можно замахнуться на железку посерьезнее, типа CCR1016

Answer 2

[Drno]

Это называется роутер…
Микротик ставь, не ошибешься

Comments

[Вася Пупкин]

Роутер обычно в домашних сетях ставится, а тут я думал нужна система которая умеет чуть больше, всякие там IPS и прочее. Ну пусть будет роутер. Модель не подскажите?

[Drno]

Вася Пупкин, если что то больше - то это какой нить линукс или pfSense.
Модель не подскажу, тк не совсем понятно количество траф, правил фаервола и нагрузке

[AlXan]

Роутер = маршрутизатор. Он ставиться везде, где есть задача контроля/управления траффиком. А вот какого уровня--возможностей нужен роутер в конкретном случае - это другой вопрос.

[hint000]

Вася Пупкин,

Роутер обычно в домашних сетях ставится, а тут я думал нужна система которая умеет чуть больше

Ну вот один пример роутера: https://en.wikipedia.org/wiki/Carrier_Routing_System высота шкафов около 2 метров, это всё один роутер. Не для домашних сетей. :) И умеет чуть больше, да.

[Вася Пупкин]

Drno, Чем pfSense будет лучше микротика? Он гибче в настройке или что?

[Drno]

Вася Пупкин, ну функционала там немного больше, но основной смысл что это програмный роутер. И ставится на любой пк

Answer 3

[Алексей Черемисин]

Ну, вместо микротика, я обычно ставлю компухтер с intel atom, парой-тройкой сетевых карт и линуксом. По деньгам - одно и тоже.
Очень часто такое решение намного гибче, чем роутер.
Например на нем можно держать и прокси и пару-тройку контейнеров.
А если вместо атома воткнуть что-то с поддержкой VT-x, то можно и несколько виртуалочек развернуть дополнительно.

Comments

[Вася Пупкин]

Сложно

[Алексей Черемисин]

Вася Пупкин, Чем?
Например вот, не хуже, уверяю
- https://opnsense.org/ (BSD)
- https://www.ipfire.org (Linux)
Ну или самому собрать - дело 1 дня.

А Вы думаете сиськи системз или микротик проще? Ну-ну...

[Вася Пупкин]

Алексей Черемисин, почему тогда не pfSense?

[Алексей Черемисин]

Вася Пупкин, лично для меня - не линукс.