![]() |
|
![]() |
#1 | ||||
Администратор
|
![]()
подкинули мне тут идею
Juniper - SRX ![]() за весьма небольшие деньги в одном устройстве уже всё что надо, и шлюз и роутер и IPS и антивирус трафика и антиспам и ВПН и что только ни что не циска, понятно, но весьма функциональная железяка, с весьма внушительными пропускными способностями в том числе на шифрованых каналах возможно я буду не оригинален, однако думаю что на фоне завершения Microsoft-ом линейки ISA\TMG и ухода Kerio от винды - данного типа устройства предлагают весьма внушительный функционал на периметре я решил взять вот такую модельку примерно, покрутить да и возможно перейти на неё
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
|
||||
![]() |
![]() ![]() |
![]() |
#2 | ||||
Одменестрадор
|
![]()
Цена?? Есть такого-же типа модельки от D-Link, ставили людям, спричем с организацией VPN со всеми филиалами, между филиалами, и.т.д. + VPN сервер на 100 юзеров на каждом из установленных (примерно 10 точек) - третий год, полет без сбоев.
|
||||
![]() |
![]() ![]() |
![]() |
#3 | ||||
Одменестрадор
|
![]() Вроде бы Juniper явно дешевле пока не выяснилось что все эти примочки, кроме базовых платные (при чем лицензии не постоянные а подписка) в результате реальная стоимость увеличивается в 2-3 раза, плюс очень своеобразный язык программирования. Короче сейчас у меня стоят ASA |
||||
![]() |
![]() ![]() |
![]() |
#4 | ||||
Телепат-тугодум
|
![]() А железка охуенная. Да. Говорят крайне капризна к перегреву, в отличии от кошки. Обращался в начале года в Тринити солюшенс, что бы их сетевики просчитали мне стоимость перехода на жуниперы. Итог с полусотней филиалов и дублем физическим железок в двух головных офисах получилось 44K USD. Могу выложить их расчеты, если интересно. А в итоге сейчас всерьез рассматриваю вариант самопальных Kerio Control Box в филиалах на вот [Для просмотра данной ссылки нужно зарегистрироваться] платформе и реальных серверов на аплянсе в головных. Сейчас пилотный вариант из Британии приедет, протестирую и чем черт не шутит закажем может полсотни таких девайсов в Российском представительстве Jetway. Чем не решение? ![]()
__________________
керио Последний раз редактировалось EnMan; 09.06.2013 в 12:04. |
||||
![]() |
![]() ![]() |
![]() |
#5 | ||||
Администратор
|
![]() соответственно более старшые - дороже
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
|
||||
![]() |
![]() ![]() |
![]() |
#6 | ||||
Одменестрадор
|
![]() |
||||
![]() |
![]() ![]() |
![]() |
#7 | ||||
Филозоф-Телепад
|
![]()
жаль меня здесь не было..... юнипер это не сиська, функционал гораздо богаче и стоит на порядок выше, а потом ещё прогить придётцо, шо тоже бабки, ибо прогеров под юнипер по пальцам можно пересчитать в россии. Задача какая?
__________________
Решил бросить пить. Утром следующего дня осознал: недобросил… |
||||
![]() |
![]() ![]() |
![]() |
#8 | ||||
Администратор
|
![]()
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
|
||||
![]() |
![]() ![]() |
![]() |
#9 | ||||
Администратор
|
![]()
Описание Mikrotik CCR1036-12G-4S-EM
[Для просмотра данной ссылки нужно зарегистрироваться] Беспрецедентная мощь и непревзойдённая производительность - это Cloud Core Router, новейшее флагманское устройство от MikroTik. Если Вам требуется обработка миллионов пакетов в секунду - CCR1036-12G-4S-EM станет лучшим выбором. Новая модель, позволяющая осуществлять ещё больший объём задач - размер оперативной памяти увеличен до 16 ГБ! Сетевой процессор нового поколения - 36 ядер по 1.2 ГГц, суммарно 12 МБ кэша, высокоскоростной механизм шифрования. Высочайшая производительность - более 8 миллионов пакетов в секунду в режиме standart forwarding, более 24 миллионов пакетов в секунду в режиме fastpath forwarding, пропускная способность до 16 Гбит/с, порты подключены напрямую к процессору. Дополнительные особенности - стоечный корпус 1U, 12 гигабитных портов, 4 порта SFP, цветной сенсорный дисплей, порт USB. Управляется устройство фирменной операционной системой от MikroTik - RouterOS V6 64bit максимальной "комплектации" Level6. ![]() [ame]http://www.youtube.com/watch?v=RoH1UA0P11A[/ame]
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
|
||||
![]() |
![]() ![]() |
![]() |
#10 | ||||
Администратор
|
![]() ![]() Описание Mikrotik RB2011UAS-RM По сравнению с серией RB2011L, помимо пяти портов Gigabit и пяти Fast Ethernet, RB2011UAS-RM имеет порты SFP и microUSB и увеличенный объём ОЗУ - 128 Мб. Также предустановлена лицензия RouterOS Level 5 и сенсорный LCD-экран для настройки. Технические характеристики Mikrotik RB2011UAS-RM: Процессор Atheros AR9344 600 МГц Оперативная память 128 МБ Порты 5x 10/100/1000 Mbit/s Gigabit Ethernet + 5x 10/100 Fast Ethernet с поддержкой Auto-MDI/X + 1x SFP (Mini-GBIC) + 1x microUSB 2.0 Дополнительно Датчики напряжения и температуры платы Питание: 8-28V DC Jack или 8-28V DC PoE в порт Ether1 Максимальная потребляемая мощность 8 Вт Корпус: 1U для стойки Размеры: 214 х 86 мм PCB (печатная плата) Вес: 1200 г Рабочая температура: -30 .. +70°C Операционная система: MikroTik RouterOS Level 5
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
|
||||
![]() |
![]() ![]() |
![]() |
#11 | ||||
Телепат-тугодум
|
![]()
Я тут за последние месяца четыре наковырялся их вдоволь, после Kerio Control некоторый разрыв шаблонов происходит. Но после понимания философии RouterOS настраивается оно очень легко. Дома теперь тоже [Для просмотра данной ссылки нужно зарегистрироваться]
__________________
керио |
||||
![]() |
![]() ![]() |
![]() |
#12 | ||||
Администратор
|
![]() ![]()
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
|
||||
![]() |
![]() ![]() |
![]() |
#13 | ||||
Администратор
|
![]()
бля не могу правило фаервола сделать
что б трафик публикации пустить пиздец какой RouterOS на PC-ке EnMan, помоги!!! ![]()
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
|
||||
![]() |
![]() ![]() |
![]() |
#14 | ||||
Телепат-тугодум
|
![]()
Жень, второй день плавно протекает день рождения. Завтра расскажу. А правил нужно два.
__________________
керио |
||||
![]() |
![]() ![]() |
![]() |
#15 | ||||
Администратор
|
![]()
аа, у тебя шоле?
с днём варенья!!
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
|
||||
![]() |
![]() ![]() |
![]() |
#16 | ||||
Администратор
|
![]()
подробнее шо нада:
1. разрешить клиентам выход в тырнеты только по определённым протоколам\портам 2. пробросить на внутренний комп RDP с нестандартного порта правила NAT: 0 chain=srcnat action=masquerade out-interface=WAN 1 chain=dstnat action=netmap to-addresses=192.168.18.5 to-ports=3389 protocol=tcp in-interface=WAN dst-port=8889 правила Firewall filter: 0 chain=forward action=accept protocol=icmp src-address-list=test in-interface=LAN 1 chain=forward action=accept protocol=tcp src-address-list=test in-interface=LAN dst-port=21 2 chain=forward action=accept protocol=tcp src-address=192.168.18.5 in-interface=LAN dst-port=80 3 chain=forward action=accept protocol=tcp src-address-list=test in-interface=LAN dst-port=443 4 chain=forward action=accept protocol=tcp src-address-list=test in-interface=LAN dst-port=3389 5 chain=forward action=accept protocol=tcp dst-address=192.168.18.5 in-interface=WAN dst-port=8889 6 chain=forward action=drop in-interface=LAN
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
|
||||
![]() |
![]() ![]() |
![]() |
#17 | ||||
Телепат-тугодум
|
![]()
Для того, что бы достучаться из интернета на RDP через нестандартный порт на 192.168.18.5 необходимы два правила. Первое разрешающее стандартный порт RDP в цепочке forward в /ip firewall filter
add chain=forward dst-address=192.168.18.5 dst-port=3389 in-interface=WAN protocol=tcp Второе правило в /ip firewall nat add action=dst-nat chain=dstnat dst-port=8889 in-interface=WAN protocol=tcp to-addresses=192.168.18.5 to-ports=3389 У меня приведены команды, которые нужно выполнить в терминале. Если смотреть через print то правила должны выглядеть так. /ip firewall filter chain=forward action=accept protocol=tcp dst-address=192.168.18.5 in-interface=WAN dst-port=3389 /ip firewall nat chain=dstnat action=dst-nat to-addresses=192.168.18.5 to-ports=3389 protocol=tcp in-interface=WAN dst-port=8889 Т.е. у тебя ошибка в правиле 4 и пятое не нужно вообще. Кажется так. Разницу между netmap и dst-nat я сам понимаю не особо, можно и так и так. netmap используют когда нужно пробрасывать диапазоны адресов 1:1. Но единичные адреса тоже можно нетмапить.
__________________
керио Последний раз редактировалось EnMan; 29.09.2013 в 10:15. |
||||
![]() |
![]() ![]() |
![]() |
#18 | ||||
Администратор
|
![]()
EnMan,ужо разобрался
![]() не хватало служебных правил: рылся в тырнетах, нашёл понятные инструкции-примеры [Для просмотра данной ссылки нужно зарегистрироваться] теперь всё выглядит так: 8 разрешает пинг для списка адресов test 9 разрешает набор портов для списка test 10 разрешает прохождение пакета на внутренний адрес на порт рдп 11 блочит весь остальной форвард 12 блочит весь остальной инпут ну и правила NAT: 1 - публикация рдп на нестандартном порта ЗЫ до 6 утра, сначала копался, потом читал кучу разного ЗЗЫ влюблён в микротик
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
|
||||
![]() |
![]() ![]() |
![]() |
#19 | ||||
Охуительный пейсатель
|
![]()
Блин. Очень хорош микротик, настроил и забыл. Сука, ЗАБЫЛ! Я забыл чего я там понастроил и как. Вот счас надо создать вторую сетку, в неё не давать интырнетов, но в неё ходить с девайсов в первой сетке. По простому - залочить трафиг в иннет с девайса, но так не хочу, потому как хочу повесить пару шнурков и всякие железки для чистого файлообмена цаплять. Создал второй бридж, взвесил на нём ДХЦП. Бридж с сетки с иннетом пингую, устройство с ровутера через интырфейс бриджа тоже, с устройства бридж не пингую, блять. Чую гдета в фаерволах не то, голову уже паламал... вот как хорошо бывает када всё работает, что аж можно забыть.
|
||||
![]() |
![]() ![]() |
![]() |
#20 | ||||
Администратор
|
![]() в январе включил, отстроил и тоже забыл ![]() Winbox пользуешь? покажи правела?
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
|
||||
![]() |
![]() ![]() |
© Kerio-rus.ru |
![]() ![]() |