Что поменяется при замене MIkrotik RB4011 на pfSense?

Question

[Вася Пупкин]

Есть MikroTik RB4011итд юзается как система куда приходит инет и впн сервер для удаленщиков.
Появилась необходимость в прокси, а именно блокировать неугодные адреса, мониторить расход трафика за пользователями и т.д. Как я понимаю это может pfSense. Но он может и то, что может микротик, если верить гайдам.

Вопрос: Имеет ли смысл уходить с микротика на pfSense, будет ли какой-то плюс от этого? Может функционал расширится или прокся будет лучше себя чувствовать когда инет приходит туда же и т.д.
Я понимаю, что версия "Микротик работает, не трогай, а просто сделай pfSense как прокси и добавь к существующему и все. Но это так же добавлять дополнительные риски, появляется второе оборудование, т.е. лишняя точка отказа. Вместо одного устройства, буде 2 а следовательно шансы чему то сломаться выше. Вот если не брать во внимание все классические фразы, то с точки зрения вопроса - есть ли смысл? Или может есть какая-то прокся получше pfSense? Легковестная или с большим функционалом или еще чего?

Comments

[Akina]

Появилась необходимость в прокси, а именно блокировать неугодные адреса, мониторить расход трафика за пользователями и т.д.

Во-первых, для этого необязателен прокси. Во-вторых, Микротик всё это тоже может.

[Alexey Dmitriev]

Можно ли уточнить - вы на полном серьезе рассуждаете о переходе на решение, о котором вы вообще никакого понятия не имеете или это шутка?

[nApoBo3]

Я бы поставил отдельный squid за микротиком. Можно взять какой-нибудь сверх компактный ПК и поднять на нем.
Если прямо совсем уперлось, меняйте на pfSense, но нужно будет все перенастраивать и работать с неизвестной системой на периметре сети.

[Кот Абсолютный]

Akina, Нет. "Мы можем многое", но этого микротик не умеет. Микротик - это аппаратный роутер, с согответствующей заточкой под задачи роутера. Прокси с блокировкой ресурсов и бампингом (а без этого никакая блокировка и никакой мониторинг нынче невозможны) там просто не заработает - нет на это ни ресурсов, ни хранилища.

[Вася Пупкин]

Alexey Dmitriev, Я и микротик не умею. А судя по видео на тытубе, вопросам тут или мануалам в сети: pfSence может быть маршрутизатором, тобишь принимать инет, рулить всем и плюсом выступать ВПН сервером. А так же у него есть функция проксирования.
Поправьте если я не прав.

[Bermut]

Вася Пупкин, Да, безусловно, pfsense умеет все это, но я как пользователь pfsense, крайне не рекомендую его, если mikrotik вам достаточен, проблема pfsense в его кривизне и нестабильности, он может упасть на несколько минут просто потому, что добавлен новый статическй маршрут. Лучше сделайте squid прокси на сервере, и настраивайте клиентов на него, все остальное, что вам требуется, mikrotik и так умеет. И вообще, я надеюсь, вы не системный администратор, иначе как вы работаете даже без базовых знаний сети у меня вопрос.

[Akina]

CityCat4, ну я что вижу, о том пою... товарищ просит блокировку определённых адресов - а уж чёрный-то список адресов файрвол Микротика обеспечивает не напрягаясь. Нюхать шифрованные соединения - это немного другая задача, на которую Микротик, конечно, не рассчитан.

[Вася Пупкин]

Bermut, Причем тут базовые знания сети и вопрос об узко специализированном ПО?

Answer 1

[Кот Абсолютный]

Если в состоянии перевести все правила файрволла микротика в правила ipfw, котрый используется в pfSense, и который имеет принципиально другое построение (или pf, что нифига рояля не играет) - you are welcome! Но имейте в виду, что на pfSense - FreeBSD, и нужно будет привыкать к совершенно по-другому работающей системе.

Answer 2

[Drno]

Сделай отдельную проксю…