Что поменяется при замене MIkrotik RB4011 на pfSense?
Есть MikroTik RB4011итд юзается как система куда приходит инет и впн сервер для удаленщиков.
Появилась необходимость в прокси, а именно блокировать неугодные адреса, мониторить расход трафика за пользователями и т.д. Как я понимаю это может pfSense. Но он может и то, что может микротик, если верить гайдам.
Вопрос: Имеет ли смысл уходить с микротика на pfSense, будет ли какой-то плюс от этого? Может функционал расширится или прокся будет лучше себя чувствовать когда инет приходит туда же и т.д.
Я понимаю, что версия "Микротик работает, не трогай, а просто сделай pfSense как прокси и добавь к существующему и все. Но это так же добавлять дополнительные риски, появляется второе оборудование, т.е. лишняя точка отказа. Вместо одного устройства, буде 2 а следовательно шансы чему то сломаться выше. Вот если не брать во внимание все классические фразы, то с точки зрения вопроса - есть ли смысл? Или может есть какая-то прокся получше pfSense? Легковестная или с большим функционалом или еще чего?
Я бы поставил отдельный squid за микротиком. Можно взять какой-нибудь сверх компактный ПК и поднять на нем.
Если прямо совсем уперлось, меняйте на pfSense, но нужно будет все перенастраивать и работать с неизвестной системой на периметре сети.
Akina, Нет. "Мы можем многое", но этого микротик не умеет. Микротик - это аппаратный роутер, с согответствующей заточкой под задачи роутера. Прокси с блокировкой ресурсов и бампингом (а без этого никакая блокировка и никакой мониторинг нынче невозможны) там просто не заработает - нет на это ни ресурсов, ни хранилища.
Alexey Dmitriev, Я и микротик не умею. А судя по видео на тытубе, вопросам тут или мануалам в сети: pfSence может быть маршрутизатором, тобишь принимать инет, рулить всем и плюсом выступать ВПН сервером. А так же у него есть функция проксирования.
Поправьте если я не прав.
Вася Пупкин, Да, безусловно, pfsense умеет все это, но я как пользователь pfsense, крайне не рекомендую его, если mikrotik вам достаточен, проблема pfsense в его кривизне и нестабильности, он может упасть на несколько минут просто потому, что добавлен новый статическй маршрут. Лучше сделайте squid прокси на сервере, и настраивайте клиентов на него, все остальное, что вам требуется, mikrotik и так умеет. И вообще, я надеюсь, вы не системный администратор, иначе как вы работаете даже без базовых знаний сети у меня вопрос.
CityCat4, ну я что вижу, о том пою... товарищ просит блокировку определённых адресов - а уж чёрный-то список адресов файрвол Микротика обеспечивает не напрягаясь. Нюхать шифрованные соединения - это немного другая задача, на которую Микротик, конечно, не рассчитан.
Если в состоянии перевести все правила файрволла микротика в правила ipfw, котрый используется в pfSense, и который имеет принципиально другое построение (или pf, что нифига рояля не играет) - you are welcome! Но имейте в виду, что на pfSense - FreeBSD, и нужно будет привыкать к совершенно по-другому работающей системе.
Можно попробовать установить на mikrotik+docker+pihole. Перенаправить на него все DNS запросы, на mikrotik запретить все DNS в мир, в том числе DOH и DOT.
Получишь возможно блокировать ресурсы по DNS, так же будешь видеть статистику по запрошенным доменным именам, но не будет статистики по количеству скачанных данных.
Чел заходит на новостной агрегатор (mail.ru, рамблер, etc), который на https. Мы видим, что чел пошел на mail.ru новостишек почитать. А чел внутри mail.ru переходит на love.mail.ru - и опа - он уже телок кадрит!
Без бампинга статистика возможна только если она дополняет СМП
Простой
