Какой выбрать маршрутизатор для офиса в 100 человек?

Question

[jidckii]

Всем привет.
Есть небольшой офис.
Внешний канал в 50 мбит.
Сейчас использую виртуальную машину с ubuntu в качестве NAT роутера в интернет.
из функционала:
1) Nat,
2) VPN/pptp для удаленного доступа (использует всего человек 10),
3) HTB шейпинг на часть внутренней подсети,
4) Мониторинг доступности аплинка, в случае падения переключается на резервный канал(просто меняя дефолтный маршрут) , с последующим уведомлением по почте).

Мне то все ок, но вот есть 2 коллеги админа с линуксом на Вы мягко говоря.
Да и в случае падения гиппервизора рискуем остаться без гугла )).
В общем задумался о приобретении какой то железки, которую будет удобно эксплуатировать не только мне, при этом она сможет удовлетворить все мои потребности перечисленные выше.

Немного думаю в сторону Mikrotik, вроде все есть из коробки, удобный GUI, графики там рисовать будет.
А вот на счет классов для шейпинга не в курсе, да и с мониторингом доступности вопросы.

Кто, что может посоветовать ???

Answer 1

[Игорь]

Купите mikrotik. Шейпинг есть, айпи есть, снмп есть. Скриптинг есть. Вебморда и ГУИ есть для настройки. Куча материала в нете. Стоит не дорого.

Comments

[jidckii]

Скриптинг а-ля BASH ?

[werw]

jidckii: Скрипты там свои. Но Микротик специально заточенное решение под сеть. Можно и с ГУЕм очень много сделать.

[Игорь]

jidckii: не совсем. но почти. вам его хватит для ваших задач.

[werw]

Игорь: Кроме производительности. Если делать на них VPN и канал на самом деле 50 мегабит - тут нужно модель выбирать не какую попало.

[jidckii]

werw: Игорь: По поводу производительности как раз читал, что микротики на шейпинге загибаются. Мне прям 100500 классов создавать не надо. Просто именно часть внутренней подсети зарезать, что бы всю полосу не занимали.

[Игорь]

werw: это само собой. но точные требования и бюджет у автора думаю есть, нагуглить описание производительности вроде ниче не помешает

[jidckii]

Игорь: Спасибо за конкретику. Буду искать! С праздником мужики )

Answer 2

[CityCat4]

Микротик однозначно. SNMP есть. Мониторинг есть. Файрволл - линуховый iptables, слегка расширенный, можно использовать все линуховые схемы для прохождения пакетов. Правда, без знания как пакеты идут через iptables все равно микротиковский файрволл освоить будет трудновато.

Что же до pfSense, то хрен редьки не слаще - он основан на FreeBSD и pf. Человек, не рубящий в линухе, вряд ли справится с FreeBSD :-)

Comments

[jidckii]

Спасибо за мнение ) я уже думаю в сторону Mikrotik RB3011UiAS-RM !

[Игорь]

jidckii: неплохой выбор, но с замахом на вырост посмотрите еще в сторону cloud router. Они лучше с шифрованным VPN в качестве сервера будут справляться.

[jidckii]

Игорь: да, уже смотрел в их сторону, но это уже в 2 раза дороже да тот функционал наврятли нужен будет в этой компании ))

[Игорь]

jidckii: а также там есть возможность установки на обычный комп или виртуалку, но у меня опыт такой работы пока печальный. их аппаратное решение дешевле и стабильнее

Answer 3

[werw]

pfSense.
там все просто с администрированием.

Ну купите вы какой-нибудь Микротик. И что?
Если коллеги Линух не освоили, то и Микротик не освоят.
Там не сложно, но нужно ориентироваться где и что искать в разветвленнейшем меню.

Гипервизор поднимается на раз-два. Образ виртуальной машины туда закачивается на три-четыре.
Провести небольшие учения, хранить образ в известном месте - и горя не знать.

А что вы будете делать, если аппаратный маршрутизатор выйдет из строя?

Comments

[jidckii]

Там больше боязнь консоли как огня! Если покажу, куда тыкать в случае чего, то хоть что то смогут делать.
pfSense вроде интересно, а как там с русским ?) С английским тоже проблемки ))

[werw]

jidckii: Употребляя слово "админ" к людям, которые боятся консоли - вы унижаете это слово. Даже в Win админ должен уметь делать простейшие cmd/bat-файлы.
Админ без базовых знаний английского - второе унижение.

Не "админы" они - и не надо.
Составить пошаговую инструкцию.
Там не сложно.

В pfSense по сути нужно раз сделать нормальную настройку.
Сохранить настройку. Научить восстанавливать настройку - и большего не давать этим "админам".

Кстати в pfSense это реализовано очень удобно - на флешке, поставил свежую pfSense воткнул флешку со старой конфигурацией - и все заработало.

[jidckii]

Ну это же организация!) Конечно я куплю 2 одинаковых и настрою одинаково.
Если конечно цена позволит.
Коммутатор тоже всегда есть запасной.
На край обратно подниму виртуалку )
Вопрос, "что делать если" можно обсуждать часами )

[jidckii]

werw: должность придумал не я )) Так уж она называется ) А так полностью с вами согласен!) ПО сути это более менее продвинутые эникеи )

[werw]

jidckii:
Микротики, к примеру, недорогие - если не брать модель на 100 портов, а чисто как маршрутизатор (портов 5). Можно и 2 купить.
Загрузка и выгрузка конфигураций у них тоже есть.

[jidckii]

werw: я так понял Вы pfSense в продакшене где то используете. Где посоветуете за него почитать, кроме википедии ? Ну и по поводу конкретных моделей, на что смотреть ? У чего ест баги ?

[werw]

jidckii:
pfSense - это чисто программное решение. На базе отлично подходящей для сетевых задач FreeBSD.
pfSense - по сути, это вебморда для легкого администрирования + механизм очень быстрого и простого развертывания/установки.

Для вашей задачи польза от pfSense в том, что можно обычное компьютерное железо и виртуалки. У Микротиков вы можете наткнуться на ограничение возможностей, если будете шифровать трафик.

Прочитать про pfSense можно много где. Очень распространенная система.
Навскидку, 5 секунд поиска
https://habrahabr.ru/post/257787/

Answer 4

[Клёвый Админ]

Берите микротик, он разве что кофе варить не умеет (на самом деле не умеет).

Comments

[Игорь]

умеет если у вас коферка имеет доступ по ssh или web api. у меня варит :)

[Клёвый Админ]

Игорь: респектую =)