» Software Routers&Firewalls (Программные маршрутизаторы)

vlary
тут дело в другом. Много и нудно писать обо всём. Просто поймите - Россия, госучреждение, самодурство власти и т.д.

И своё время подсел на "coyote" - дискетный вариант имеет QOS.
Сейчас использую "BrazilFW Firewall and Router 2.31.10+bandwidthd" http://www.brazilfw.com.br - русский GUI присутствует. Денег не просят. Инфы на русском практически нет. Настраивал с гуглевским переводчиком, IT образования нет.

Обновился ZeroShell до Release 3.0.0, заткнули секьюрити баг, добавили фич и адонов, в том числе кастомные ядра под разные процы.
Обновил вчера на одной сетке в 100 юзеров и 2-мя канамами в инет, пока нормально, завтра нагрузят, посмотрим, но думаю все будет в порядке, с ним никогда проблем не было, там итальянец, который пишет, серьезно к делу подходит.
Мне ZeroShell по всем параметрам больше нравится, чем раскрученный pfSense, полным ходом его в продакшн ставлю, если нужен программный роутер.

Столкнулся и никак не могу даж предположить решение. Поискал на форумах и т.д. но аналогичной ситуации не нашел. Возможно я где то проглядел. Но суть вопроса:

Имеется локальная сеть 192.168.0.0/24. Есть программный маршрутизатор Vyatta с 2 сетевыми картами, внешняя сеть и внутренняя. который через webproxy пропускает в интернет пользователей. И так же в этой же сети есть WebServer на Ubuntu.

На vyatta настроена проброс порта 80 с мира на локальный WebServer.

С мира сайт начал открыватся. НО! когда из локальной сети кто либо пытается открыть, сайт он НЕ ДОСТУПЕН, нивкакую. В этом и вся проблема.

Уважаемые пользователи, может кто либо сталкивался с такой проблемой? Не подскажите ли где возможно я прокосячил.

Спасибо, Вам что обратили внимание

ClearOS 6.5 установлен на VirtualBox. Диск для виртуальной машины скачал с оф. сайта. Установил. Все работает кроме одного - отчет прокси сервера пишет нет данных для отчета хотя я делал его и прозрачный и не прозрачный, а данных все равно нет. Кто сталкивался помогите решить.

slite
Цитата:

Уважаемые пользователи, может кто либо сталкивался с такой проблемой?

Это не проблема, это фича. Гугли NAT loopback, и все поймешь.
А грамотное решение в твоем случае - использовать split DNS
liivan2 Видимо, путь к логу прокси, прописанный в программе отчета,
не совпадает с его реальным местом.

Кто-нибудь роутил гигабит на программных роутерах?

Хочу внутри сети сделать несколько защищенных сегментов, но сохранить гигабитную скорость.
Склоняюсь к pfSense.
Какое железо планировать, что оно не тормозило?

rommaunt
Цитата:

Кто-нибудь роутил гигабит на программных роутерах?

А ты имел когда-нибудь реальный гигабит даже просто на гигабитной сетевухе?
Скорость сильно зависит от очень многих параметров как железа, так и системы.

rommaunt
маршрутизация гигабитного потока не проблема для современного железа. Главное что бы не было замудростей iptables там, например сonntrack. Могут возникнуть некоторые трудности, если косячный драйвер для сетевухи, то там при определённом pps начнутся потери или полные отказы.

Вообще зачем брать что-то коробочное когда надо просто настроить сеть и прописать пару маршрутов? На чистом дистрибутиве это не сделать?

Цитата:

А ты имел когда-нибудь реальный гигабит даже просто на гигабитной сетевухе?
Скорость сильно зависит от очень многих параметров как железа, так и системы.

Имел. Правда между серверами с серверными сетевухами.
Возможно даже имел между компом и сервером, но не замерял.

В планируемой конфигурации возможна нагрузка несколькими, например, скачиваниями внутри сети. Так что даже не имея полного гигабита для каждого компа, его хочется иметь на роутере.


Добавлено:

Цитата:

маршрутизация гигабитного потока не проблема для современного железа.

Вот и интересует, насколько современного.
Есть серваки и просто компы года 2001-го-2004-го, в которых можно поменять диски и воткнуть сетевые карты типа http://www.dns-shop.ru/catalog/i113300/setevaya-karta-intel-gigabit-ct-desktop-adapter-pci-e-x1.html
То, что оно 10 Мбит потянет - я не сомневаюсь. А вот 1000 - уже интереснее.


Цитата:

Вообще зачем брать что-то коробочное когда надо просто настроить сеть и прописать пару маршрутов? На чистом дистрибутиве это не сделать?

Можно и на чистом.
1) Обслуживать будут и люди, плохо разбирающиеся в сетевом уровне вообще, и совсем не разбирающиеся в Линуксе в частности. ГУИ в этих условиях как то предпочтительней, тем ебтеблс.
2) pfSence оптимизирован под эту задачу, а значит будет более высокая производительность на том же железе.

rommaunt
Хотите нормальный роутинг гигабита - берете Intel ET Dualport Gigabit Ethernet, ставите в материнку с камешком не старее Core i5 и роутите полноценный гигабит.
Старые сервера с Core2 у меня где-то полгигабита нат\шейп тянут.
Новые до 2Гбит чистого нат на 4 портовой карте.

Цитата:

1) Обслуживать будут и люди, плохо разбирающиеся в сетевом уровне вообще, и совсем не разбирающиеся в Линуксе в частности. ГУИ в этих условиях как то предпочтительней, тем ебтеблс.

Вы правда хотите людям "плохо разбирающиеся в сетевом уровне вообще, и совсем не разбирающиеся в Линуксе" доверить управлять роутером? По командировкам помотаться хотите?

Цитата:

2) pfSence оптимизирован под эту задачу, а значит будет более высокая производительность на том же железе.

Это кто вам такое сказал про "оптимизацию" и "производительность"?

Цитата:

Хотите нормальный роутинг гигабита - берете Intel ET Dualport Gigabit Ethernet, ставите в материнку с камешком не старее Core i5 и роутите полноценный гигабит.
Старые сервера с Core2 у меня где-то полгигабита нат\шейп тянут.
Новые до 2Гбит чистого нат на 4 портовой карте.

Спасибо


Цитата:

Вы правда хотите людям "плохо разбирающиеся в сетевом уровне вообще, и совсем не разбирающиеся в Линуксе" доверить управлять роутером? По командировкам помотаться хотите?

Это будет роутер только внутри локалки. Скорее даже firewall, чем роутер. Заодно и научатся. Легче на этом учить, чем на iptables. Добавить-убрать диапазон ip или порт умения хватит, восстановить из бэкапа в случае конца - тоже, а больше пока ничего не требуется.


Цитата:

Это кто вам такое сказал про "оптимизацию" и "производительность"?

Сделал вывод отсюда: http://ru.doc.pfsense.org/index.php/%D0%9C%D0%BE%D0%B6%D0%BD%D0%BE_%D0%BB%D0%B8_%D1%83%D1%81%D1%82%D0%B0%D0%BD%D0%BE%D0%B2%D0%B8%D1%82%D1%8C_pfSense_%D0%BD%D0%B0_%D1%83%D0%B6%D0%B5_%D1%81%D1%83%D1%89%D0%B5%D1%81%D1%82%D0%B2%D1%83%D1%8E%D1%89%D1%83%D1%8E_FreeBSD-%D1%81%D0%B8%D1%81%D1%82%D0%B5%D0%BC%D1%83

Подскажите роутер на базе UNIX с поддержкой 2-х провайдеров.

s800
Цитата:

Подскажите роутер на базе UNIX  с поддержкой 2-х провайдеров.

Любой линукс с правильно настроенным PBR через iproute2 ( гугл LARTC )

s800

микротик попробуй....если сетевок много будет то бесплатной лицензии может хватит.... а и купить там не дорого хотя есть и "бесплатная" на просторах форума

Посоветуйте роутер под Hyper-V для двух провайдеров
последние версии Mikrotik не поддерживают hyper-v (((

exelabru
Делать роутер в виде гостевой ОС под гипер-в, это маразм, уж извините!

PlastUn77
Цитата:

Делать роутер в виде гостевой ОС под гипер-в, это маразм, уж извините!

Ну почему маразм? У меня под VmWare Debian с iproute2 вполне нормально работает
дополнительным шлюзом на два провайдера.

PlastUn77

Цитата:

Делать роутер в виде гостевой ОС под гипер-в, это маразм, уж извините!

Возможно, но другого выхода нет
Стоит железка D-LINK DSR500, требуется только для бесперебойной работы от 2х провов, а 90% перебоев как раз из за нее, вот и хочу исключить ее, настроив failover роутер в виде Hyper-V машинки.
Уже поставил pfSense, изучаю.. Что вообще про нее хорошего или плохого скажете?

exelabru
Цитата:

Уже поставил pfSense, изучаю.. Что вообще про нее хорошего или плохого скажете?

А что про нее можно сказать? FreeBSD она и в Африке FreeBSD.
Ну а по поводу ее работы целая тема имеется, можешь почитать.
pfSense межсетевой экран

exelabru
В свое время, выбирая меджу pfSense и zeroshell, склонился в пользу последней (сейчас уж и не помню, по каким соображениям). Про pfSense ничего сказать не могу, про zeroshell только хорошее, всегда ее использую когда надо быстро (изкаропки) и микротик по каким либо причинам не подходит.

PlastUn77
послушал вашего совета, поставил zeroshell, а как же там pptp клиент настроить? (провайдер билайн-корбина), я так понял нет там такого (((
второй провайдер PPPoE, с ним проблем не возникло..

exelabru
Цитата:

а как же там pptp клиент настроить?

Гугл и специализированные форумы рулят!
ZeroShell as pptp client possible!

Цитата:

Гугл и специализированные форумы рулят!
ZeroShell as pptp client possible!

нифига не рулят, первым делом эту ссылку нашел, а там во-первых для старой версии, во-вторых все мертвое...

вопрос по Vyatta

Настроен VPN PPTP, все работает замечательно, клиенты получают локальные ip адреса и попадают в локальную сетку.
Но из сетки эти адреса не пингаются, даже с самого vyatta роутера их нельзя пингануть.
Фаервол на роутере отключен, куда копать не знаю - уже пол-гугла изрыл.
на centos+pptpd - все окб клиентски ip доступен нормально.
может ктото знает что сделать, чтобы и на vyatta так сделать ?

GaDiNa
Цитата:

Но из сетки эти адреса не пингаются

Если они могут пинговать хосты в локалке, то и те их должны пинговать.
Если этого нет, то либо входящие пинги закрыты фаерволом на самиз клиентах,
(обычное дело для виндов 7/8 ), либо какие-то настройки на vyatta.

vlary
на клиентах фаер отключен конечно же.

на самой Vyatta фаер тоже отключен, насколько я могу судить:


Код:
vyatta@v1:~$ show firewall summary

------------------------
Firewall Global Settings
------------------------

------------------------
Firewall Rulesets
------------------------

------------------------
Firewall Groups
------------------------

Ребят, сейчас юзаю kerio control, есть ли фришные аналоги? нужно впн, интеграция с АД, правила на основе групп с АД, человеческая аутентификация(без проксификаторов), управление полосами пропускания, статистика по трафику для каждого юзера, ограничение доступа к определенному контенту в том числе и по https

Endian Firewall полностью фришный, есть, абсолютно все... Ставится на раз, сразу работает прозрачный прокси (не надо ничего настраивать), удобное ВЕБ администрирование.