Форум Kerio-rus

Вернуться   Форум Kerio-rus > Общие вопросы > Курилка

Важная информация

Ответ
 
Опции темы
Старый 05.06.2013, 22:29   #1
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 14,702
По умолчанию Софтверный шлюз VS железка, куда то дальше надо пойти

подкинули мне тут идею
Juniper - SRX


за весьма небольшие деньги в одном устройстве уже всё что надо, и шлюз и роутер и IPS и антивирус трафика и антиспам и ВПН и что только ни что
не циска, понятно, но весьма функциональная железяка, с весьма внушительными пропускными способностями в том числе на шифрованых каналах

возможно я буду не оригинален, однако думаю что на фоне завершения Microsoft-ом линейки ISA\TMG и ухода Kerio от винды - данного типа устройства предлагают весьма внушительный функционал на периметре

я решил взять вот такую модельку примерно, покрутить да и возможно перейти на неё
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 06.06.2013, 00:07   #2
HOG
Одменестрадор
 
Аватар для HOG
 
Регистрация: 08.03.2006
Адрес: Из лесу, вестимо...
Сообщений: 5,821
По умолчанию Re: Софтверный шлюз VS железка, куда то дальше надо пойти

Цена?? Есть такого-же типа модельки от D-Link, ставили людям, спричем с организацией VPN со всеми филиалами, между филиалами, и.т.д. + VPN сервер на 100 юзеров на каждом из установленных (примерно 10 точек) - третий год, полет без сбоев.
__________________
[Для просмотра данной ссылки нужно зарегистрироваться]

керио
HOG вне форума   Ответить с цитированием Вверх
Старый 06.06.2013, 11:18   #3
Valery12
Одменестрадор
 
Аватар для Valery12
 
Регистрация: 21.11.2006
Адрес: Владимир, Россия
Сообщений: 2,935
По умолчанию Re: Софтверный шлюз VS железка, куда то дальше надо пойти

Цитата:
Сообщение от naliman Посмотреть сообщение
за весьма небольшие деньги в одном устройстве уже всё что надо, и шлюз и роутер и IPS и антивирус трафика и антиспам и ВПН
В свое время передо мной стоял выбор Juniper - SRX или Cisco ASA.
Вроде бы Juniper явно дешевле пока не выяснилось что все эти примочки, кроме базовых платные (при чем лицензии не постоянные а подписка) в результате реальная стоимость увеличивается в 2-3 раза, плюс очень своеобразный язык программирования.
Короче сейчас у меня стоят ASA
Valery12 вне форума   Ответить с цитированием Вверх
Старый 09.06.2013, 11:52   #4
EnMan
Телепат-тугодум
 
Аватар для EnMan
 
Регистрация: 11.05.2006
Адрес: Lipetsk
Сообщений: 4,588
По умолчанию Re: Софтверный шлюз VS железка, куда то дальше надо пойти

Цитата:
Сообщение от HOG Посмотреть сообщение
Цена?? Есть такого-же типа модельки от D-Link, ставили людям, спричем с организацией VPN со всеми филиалами, между филиалами, и.т.д. + VPN сервер на 100 юзеров на каждом из установленных (примерно 10 точек) - третий год, полет без сбоев.
Около трешки баксов (SRX240). Не, Андрюх, Жунипер от Длинка очень далеко. Очень. Это скорее ближе к циске. Циска кажется дороже долларов на триста. Junos OS понятней RouterOS Микротиковской, честно говоря. Но я пасанул перед ценой взять на поиграться даже SRX100 (около 700$)

А железка охуенная. Да. Говорят крайне капризна к перегреву, в отличии от кошки.

Обращался в начале года в Тринити солюшенс, что бы их сетевики просчитали мне стоимость перехода на жуниперы. Итог с полусотней филиалов и дублем физическим железок в двух головных офисах получилось 44K USD. Могу выложить их расчеты, если интересно.

А в итоге сейчас всерьез рассматриваю вариант самопальных Kerio Control Box в филиалах на вот [Для просмотра данной ссылки нужно зарегистрироваться] платформе и реальных серверов на аплянсе в головных. Сейчас пилотный вариант из Британии приедет, протестирую и чем черт не шутит закажем может полсотни таких девайсов в Российском представительстве Jetway. Чем не решение?
__________________
керио

Последний раз редактировалось EnMan; 09.06.2013 в 12:04.
EnMan вне форума   Ответить с цитированием Вверх
Старый 10.06.2013, 19:34   #5
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 14,702
По умолчанию Re: Софтверный шлюз VS железка, куда то дальше надо пойти

Цитата
Сообщение от Valery12 Посмотреть сообщение
В свое время передо мной стоял выбор Juniper - SRX или Cisco ASA. Вроде бы Juniper явно дешевле пока не выяснилось что все эти примочки, кроме базовых платные (при чем лицензии не постоянные а подписка) в результате реальная стоимость увеличивается в 2-3 раза, плюс очень своеобразный язык программирования. Короче сейчас у меня стоят ASA
спасибо, это важно


Цитата:
Сообщение от HOG Посмотреть сообщение
Цена??
модель типа 100-ки около 30 штук
соответственно более старшые - дороже
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 10.06.2013, 23:10   #6
HOG
Одменестрадор
 
Аватар для HOG
 
Регистрация: 08.03.2006
Адрес: Из лесу, вестимо...
Сообщений: 5,821
По умолчанию Re: Софтверный шлюз VS железка, куда то дальше надо пойти

Цитата:
Сообщение от naliman Посмотреть сообщение
модель типа 100-ки около 30 штук
Реально смотреть в сторону ASA, ибо у него функционал реально лучше чем все то, что я видел.
__________________
[Для просмотра данной ссылки нужно зарегистрироваться]

керио
HOG вне форума   Ответить с цитированием Вверх
Старый 11.06.2013, 09:25   #7
Babah22
Филозоф-Телепад
 
Аватар для Babah22
 
Регистрация: 17.12.2006
Адрес: Малый мухосранск
Сообщений: 9,257
По умолчанию Re: Софтверный шлюз VS железка, куда то дальше надо пойти

жаль меня здесь не было..... юнипер это не сиська, функционал гораздо богаче и стоит на порядок выше, а потом ещё прогить придётцо, шо тоже бабки, ибо прогеров под юнипер по пальцам можно пересчитать в россии. Задача какая?
__________________
Решил бросить пить. Утром следующего дня осознал: недобросил…
Babah22 вне форума   Ответить с цитированием Вверх
Старый 20.06.2013, 02:35   #8
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 14,702
По умолчанию Re: Софтверный шлюз VS железка, куда то дальше надо пойти

Цитата:
Сообщение от Babah22 Посмотреть сообщение
Задача какая?
пока лишь осознать
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 25.09.2013, 01:29   #9
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 14,702
По умолчанию Re: Софтверный шлюз VS железка, куда то дальше надо пойти

Описание Mikrotik CCR1036-12G-4S-EM
[Для просмотра данной ссылки нужно зарегистрироваться]

Беспрецедентная мощь и непревзойдённая производительность - это Cloud Core Router, новейшее флагманское устройство от MikroTik. Если Вам требуется обработка миллионов пакетов в секунду - CCR1036-12G-4S-EM станет лучшим выбором. Новая модель, позволяющая осуществлять ещё больший объём задач - размер оперативной памяти увеличен до 16 ГБ!
Сетевой процессор нового поколения - 36 ядер по 1.2 ГГц, суммарно 12 МБ кэша, высокоскоростной механизм шифрования.
Высочайшая производительность - более 8 миллионов пакетов в секунду в режиме standart forwarding, более 24 миллионов пакетов в секунду в режиме fastpath forwarding, пропускная способность до 16 Гбит/с, порты подключены напрямую к процессору.
Дополнительные особенности - стоечный корпус 1U, 12 гигабитных портов, 4 порта SFP, цветной сенсорный дисплей, порт USB.
Управляется устройство фирменной операционной системой от MikroTik - RouterOS V6 64bit максимальной "комплектации" Level6.


[ame]http://www.youtube.com/watch?v=RoH1UA0P11A[/ame]
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 25.09.2013, 01:32   #10
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 14,702
По умолчанию Re: Софтверный шлюз VS железка, куда то дальше надо пойти


Описание Mikrotik RB2011UAS-RM

По сравнению с серией RB2011L, помимо пяти портов Gigabit и пяти Fast Ethernet, RB2011UAS-RM имеет порты SFP и microUSB и увеличенный объём ОЗУ - 128 Мб.
Также предустановлена лицензия RouterOS Level 5 и сенсорный LCD-экран для настройки.
Технические характеристики Mikrotik RB2011UAS-RM:

Процессор Atheros AR9344 600 МГц
Оперативная память 128 МБ
Порты 5x 10/100/1000 Mbit/s Gigabit Ethernet + 5x 10/100 Fast Ethernet с поддержкой Auto-MDI/X + 1x SFP (Mini-GBIC) + 1x microUSB 2.0
Дополнительно Датчики напряжения и температуры платы
Питание: 8-28V DC Jack или 8-28V DC PoE в порт Ether1
Максимальная потребляемая мощность 8 Вт
Корпус: 1U для стойки Размеры: 214 х 86 мм PCB (печатная плата)
Вес: 1200 г
Рабочая температура: -30 .. +70°C
Операционная система: MikroTik RouterOS Level 5
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 25.09.2013, 10:09   #11
EnMan
Телепат-тугодум
 
Аватар для EnMan
 
Регистрация: 11.05.2006
Адрес: Lipetsk
Сообщений: 4,588
По умолчанию Re: Софтверный шлюз VS железка, куда то дальше надо пойти

Я тут за последние месяца четыре наковырялся их вдоволь, после Kerio Control некоторый разрыв шаблонов происходит. Но после понимания философии RouterOS настраивается оно очень легко. Дома теперь тоже [Для просмотра данной ссылки нужно зарегистрироваться]

Цитата:
Сообщение от EnMan Посмотреть сообщение
А в итоге сейчас всерьез рассматриваю вариант самопальных Kerio Control Box в филиалах на [Для просмотра данной ссылки нужно зарегистрироваться]такой платформе
Поставил в одном филиале - прикольная штука, кстати. Сам корпус оказался радиатором охлаждения проца.
__________________
керио
EnMan вне форума   Ответить с цитированием Вверх
Старый 25.09.2013, 13:15   #12
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 14,702
По умолчанию Re: Софтверный шлюз VS железка, куда то дальше надо пойти

Цитата:
Сообщение от EnMan Посмотреть сообщение
Я тут за последние месяца четыре наковырялся их вдоволь, после Kerio Control некоторый разрыв шаблонов происходит. Но после понимания философии RouterOS настраивается оно очень легко. Дома теперь тоже MikroTik RB2011UAS-2HnD-IN
ну есичо - буду дёргать глупыми вопросами
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 28.09.2013, 17:34   #13
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 14,702
По умолчанию Re: Софтверный шлюз VS железка, куда то дальше надо пойти

бля не могу правило фаервола сделать
что б трафик публикации пустить
пиздец какой

RouterOS на PC-ке

EnMan, помоги!!!
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 29.09.2013, 01:41   #14
EnMan
Телепат-тугодум
 
Аватар для EnMan
 
Регистрация: 11.05.2006
Адрес: Lipetsk
Сообщений: 4,588
По умолчанию Re: Софтверный шлюз VS железка, куда то дальше надо пойти

Жень, второй день плавно протекает день рождения. Завтра расскажу. А правил нужно два.
__________________
керио
EnMan вне форума   Ответить с цитированием Вверх
Старый 29.09.2013, 02:38   #15
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 14,702
По умолчанию Re: Софтверный шлюз VS железка, куда то дальше надо пойти

аа, у тебя шоле?
с днём варенья!!
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 29.09.2013, 02:39   #16
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 14,702
По умолчанию Re: Софтверный шлюз VS железка, куда то дальше надо пойти

подробнее шо нада:
1. разрешить клиентам выход в тырнеты только по определённым протоколам\портам
2. пробросить на внутренний комп RDP с нестандартного порта

правила NAT:
0 chain=srcnat action=masquerade out-interface=WAN

1 chain=dstnat action=netmap to-addresses=192.168.18.5 to-ports=3389 protocol=tcp in-interface=WAN dst-port=8889

правила Firewall filter:
0 chain=forward action=accept protocol=icmp src-address-list=test in-interface=LAN

1 chain=forward action=accept protocol=tcp src-address-list=test in-interface=LAN dst-port=21

2 chain=forward action=accept protocol=tcp src-address=192.168.18.5 in-interface=LAN dst-port=80

3 chain=forward action=accept protocol=tcp src-address-list=test in-interface=LAN dst-port=443

4 chain=forward action=accept protocol=tcp src-address-list=test in-interface=LAN dst-port=3389

5 chain=forward action=accept protocol=tcp dst-address=192.168.18.5 in-interface=WAN dst-port=8889

6 chain=forward action=drop in-interface=LAN
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 29.09.2013, 09:58   #17
EnMan
Телепат-тугодум
 
Аватар для EnMan
 
Регистрация: 11.05.2006
Адрес: Lipetsk
Сообщений: 4,588
По умолчанию Re: Софтверный шлюз VS железка, куда то дальше надо пойти

Для того, что бы достучаться из интернета на RDP через нестандартный порт на 192.168.18.5 необходимы два правила. Первое разрешающее стандартный порт RDP в цепочке forward в /ip firewall filter

add chain=forward dst-address=192.168.18.5 dst-port=3389 in-interface=WAN protocol=tcp

Второе правило в /ip firewall nat

add action=dst-nat chain=dstnat dst-port=8889 in-interface=WAN protocol=tcp to-addresses=192.168.18.5 to-ports=3389

У меня приведены команды, которые нужно выполнить в терминале. Если смотреть через print то правила должны выглядеть так.

/ip firewall filter
chain=forward action=accept protocol=tcp dst-address=192.168.18.5 in-interface=WAN dst-port=3389
/ip firewall nat
chain=dstnat action=dst-nat to-addresses=192.168.18.5 to-ports=3389 protocol=tcp in-interface=WAN dst-port=8889


Т.е. у тебя ошибка в правиле 4 и пятое не нужно вообще. Кажется так. Разницу между netmap и dst-nat я сам понимаю не особо, можно и так и так. netmap используют когда нужно пробрасывать диапазоны адресов 1:1. Но единичные адреса тоже можно нетмапить.
__________________
керио

Последний раз редактировалось EnMan; 29.09.2013 в 10:15.
EnMan вне форума   Ответить с цитированием Вверх
Старый 29.09.2013, 13:20   #18
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 14,702
По умолчанию Re: Софтверный шлюз VS железка, куда то дальше надо пойти

EnMan,ужо разобрался

не хватало служебных правил:
Цитата [mkt@MikroTik] > ip firewall filter add chain=forward connection-state=invalid
action=drop comment="Drop invalid connection packets"

[mkt@MikroTik] > ip firewall filter add chain=forward connection-state=established
action=accept comment="Allow established connections"


[mkt@MikroTik] > ip firewall filter add chain=forward connection-state=related
action=accept comment="Allow related connections"
второе сразу решило проблему
рылся в тырнетах, нашёл понятные инструкции-примеры
[Для просмотра данной ссылки нужно зарегистрироваться]

теперь всё выглядит так:

Цитата [admin@MikroTik] > ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; Allow established connections
chain=forward action=accept connection-state=established

1 ;;; Allow established connections
chain=input action=accept connection-state=established

2 ;;; Allow related connections
chain=forward action=accept connection-state=related

3 ;;; Allow related connections
chain=input action=accept connection-state=related

4 X ;;; Allow UDP connections
chain=forward action=accept protocol=udp

5 X ;;; Allow ICMP messages
chain=forward action=accept protocol=icmp

6 ;;; Drop invalid connection packets
chain=forward action=drop connection-state=invalid

7 ;;; Drop invalid connection packets
chain=input action=drop connection-state=invalid

8 chain=forward action=accept protocol=icmp src-address-list=test
out-interface=WAN

9 chain=forward action=accept protocol=tcp src-address-list=test
out-interface=WAN dst-port=21,80,443,3389

10 chain=forward action=accept protocol=tcp dst-address=192.168.18.5
dst-port=3389

11 chain=forward action=drop

12 chain=input action=drop in-interface=WAN
0-7 те самые служебные (ка кпо ссылке пишут) правила, только добавил ещё и для цепочки инпут
8 разрешает пинг для списка адресов test
9 разрешает набор портов для списка test
10 разрешает прохождение пакета на внутренний адрес на порт рдп
11 блочит весь остальной форвард
12 блочит весь остальной инпут

ну и правила NAT:
Цитата [admin@MikroTik] > ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat action=masquerade out-interface=WAN

1 chain=dstnat action=netmap to-addresses=192.168.18.5 to-ports=3389
protocol=tcp dst-address=внешнийIP in-interface=WAN dst-port=8889
0 - маскарадит всё наружу
1 - публикация рдп на нестандартном порта


ЗЫ
до 6 утра, сначала копался, потом читал кучу разного

ЗЗЫ
влюблён в микротик
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 12.06.2014, 23:32   #19
LAV48
Охуительный пейсатель
 
Аватар для LAV48
 
Регистрация: 13.07.2010
Адрес: Волгоградская обл.
Сообщений: 2,254
По умолчанию Re: Софтверный шлюз VS железка, куда то дальше надо пойти

Блин. Очень хорош микротик, настроил и забыл. Сука, ЗАБЫЛ! Я забыл чего я там понастроил и как. Вот счас надо создать вторую сетку, в неё не давать интырнетов, но в неё ходить с девайсов в первой сетке. По простому - залочить трафиг в иннет с девайса, но так не хочу, потому как хочу повесить пару шнурков и всякие железки для чистого файлообмена цаплять. Создал второй бридж, взвесил на нём ДХЦП. Бридж с сетки с иннетом пингую, устройство с ровутера через интырфейс бриджа тоже, с устройства бридж не пингую, блять. Чую гдета в фаерволах не то, голову уже паламал... вот как хорошо бывает када всё работает, что аж можно забыть.
LAV48 вне форума   Ответить с цитированием Вверх
Старый 12.06.2014, 23:39   #20
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 14,702
По умолчанию Re: Софтверный шлюз VS железка, куда то дальше надо пойти

Цитата
Сообщение от LAV48 Посмотреть сообщение
Блин. Очень хорош микротик, настроил и забыл. Сука, ЗАБЫЛ!
да, юзаю RouterOS на x86
в январе включил, отстроил
и тоже забыл


Winbox пользуешь?

покажи правела?
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Ответ


Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 12:47. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.12 by vBS
Copyright ©2000 - 2019, vBulletin Solutions Inc. Перевод: zCarot
© Kerio-rus.ru
Фонарёвка: всё о фонарях