Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: lumka 20. 10. 2013, 00:06:31
-
Zdravim,
rad bych si zde udelal takovy pruzkum tykajici se pouzivani ruznych firewallu. V zadnem pripade nechci rozpoutat zadny flame...
Provadel jsem pro znameho takovy "mensi bezpecnostni audit" v jedne male firme o ca 35 stanicich a 3 serverech (vse Windows), jako firewall slouzi prastary neudrzovany IPCOP na pofidernim zeleze.
Nyni padla idea tento stary kus srotu vymenit za spolehlivejsi a bezpecnejsi reseni. Osobne mam zkusenosti s placenymi firewally velkych hracu na trhu. Nicmene pro malou firmicku je resenim vydat se do neceho s malymi naklady ci takrka nulovymi za pouziti nektere z modifikovanych distribuci BSD atd...
Otazka na vas zni, jake distribuce pouzivate pro mensi firmy o priblizne stejnem poctu stanic? Mate zkusenosti s MikroTikem, pouzivate jej nekde? (MikroTik se mi celkem libi, ale jeste jsem jej nikde neimplementoval)
Pro upresneni:
pocet stanic a serveru za firewallem: 35, 2
max download/upload ve spicce: 25 Mbps/20 Mbps
nutnost filtrovani p2p a vybranich webovych stranek
nejlepe vytaceni VPN na firewall (neni podminkou)
co nejlepsi uroven zabezpeceni, podpora, aktualizace softu
ucelene reseni ala MikroTik nebo varianta postaveni zeleza a naliti nejakeho firewall distra
Dekuji
-
*BSD?
-
Ono, když se to vezme horem dolem, tak by stačilo dát aktuální verzi IPCopu třeba do nějakého virtuálu. Když se to správně nastaví, tak to dělá to co má. Dnes už jsou i lepší distribuce. Mrkni na Distrowatch, tam toho je dost.
-
Sice bych byl rád za další BSDčkový počítač v provozu :) ale na tohle určitě ten Mikrotik. Je docela nepravděpodobný, že by potřebovali něco, co by MK neuměl, a dají se tam celkem jednoduše nastavit i trochu pokročilejší věci jako třeba shaping, což se může hodit.
-
No a co se týče nastavení Mikrotiku, neboj se toho, není to nic, co by se nedalo zvládnout. Navíc, všude se povalují nějaké návody
-
Roky používam a som spokojný s PFSense (firewall distribúcia postavená na BSD).
Napríklad u jedného klienta 1xPCiExpress doska so 4x1GBit Ethernet (predtým 1xPCI doska so 4X100MBit ethernet) + 2x onboard 1GBit.
Micro ATX, i5, malý SSD, dobrý Seasonic zdroj.
Mala spotreba, tiche, veľmi výkonné a rozširovateľné riešenie.
Routuje to 100MBit obojsmerne pre cca. 50 - 100 klientov (v priebehu dňa sa to mení) a cca. 5 serverov.
Na LAN strane je 5 sietí.
Sú tam otvorené stotisíce session.
Beží na tom OpenVPN server, squid server pre vačšinu tých LAN.
Vynikajúce rrd štatistiky, všetko jednoducho konfigurovatelne.
Za roky sme to postupne rozširovali do tohoto stavu, naprieč asi troma hlavnými verziami a x menšími aktualizáciami. Konfiguráky stále fungujú....
Pre tvoje potreby to postavíš na ľubovolnom malom atx stroji....
-
S PFSense jsem jiz mel cest, vypada moc slibne.
Libi se mi Mikrotik, dle prvniho dojmu relativne jednoduche nastaveni, plno fci. Jen by me zajimalo, zda koupit licenci a postavit nejake zelezo nebo zda poridit jiz nejaky routerboard s krabickou do racku. A pripadne jaky routerboard, aby utahl takovyto provoz. Nejak se tim budu muset zaobirat vice, Mikrotik se zda byti zajimave reseni za zajimave penize.
-
Nějaké miniITX PC s ROS licencí toho umlátí víc, než Mikrotik hardware. Nicméně pro uvedené podmínky v zadání by mohl stačit RB2011, který se prodává i v rack verzi RB2011UAS-RM cca za 2 kKč. Ta RB2011 by se ale mohla trochu zadýchat u toho VPNka. Pak s dostatečnou rezervou je RB1100AHx2 v racku, ale to je už 6 kKč, která má i HW podporu pro IPsec (starší a nedostupnou slabší variantu RB1100AH používám běžně na šifrování 100 Mbps linek).
-
Uz bych mikrotik hardware do racku nebral, pokud od toho chces spolehlivost. Umiraji tomu zdroje (zkusenost s 1100AH, 1100AHx2 nekolik kusu). Also 1100AHx2 maji nejaky problem s TCP spojenimi (myslim primo z toho routeru, napr. SSTP tunel - ma silene nizkou propustnost, je potreba si pohrat poradne s nastavenim hw queues).
Doporucuju postavit si libovolnou x86 masinku s rozumnymi sitovymi cipy (cokoliv co podporuje linuxovy driver igb je sazka na jistotu) a nahrat tam RouterOS.
Je s nim ~0 starosti a starosti s HW si jde usetrit vhodnou volbou hardware.
CloudCore routery zatim nemuzu moc doporucit, RouterOS je na nich nedoladeny (napr. mi nefunguje poradne zadna forma sifrovaneho tunelu, i kdyz to meli v nedavnych 6.x opravit, porad to dela problemy).
-
Mikrotiku bych se raděj velkým obloukem vyhnul. Na první pohled sice vypadá velmi líbivě, v reálu po delším používání však člověk zjistí, že to je neskutečná s*ačka. Mikrotik HW je neuvěřitelně nekoncepční. Namátkou bych uvedl, že např. klientské zařízení za pětikilo má voltmetr a teploměr, infrastrukturní deska za 8 tisíc nemá nic, RB800 má slaby zdroj, takže pokud je plně osazená wifi kartičkama tak se restartuje, na ether kabelu je potřeba ořezat flexo z konektoru aby bylo možne zavřít "dvířka" kryjící konektory, nevyhovující rozsah pracovních teplot, kvanta drobných detailů, která celek naprosto kazí. Mikrotik SW (někdy se mu říká RouterOS) je též problém, především plný bugů (Stačí sledovat nějaké to WHATISNEW nebojakstojmenuje a člověk pochopí. Nová verze 6.x je toho zářným příkladem, předchozí na tom nebyly jinak.) a také má tu vlastnost, že se za určitých okolností (které se nám doposud nepodařilo vyspecifikovat) začne chovat, jak to jenom říct, stochasticky. Např. jsem zažil, že firewall začal z ničeho nic dělat naprosté nesmysly, NAT začal natovat nesmyslné adresy apod. Vypomáhám s administrací sítě jednoho lokálního WISPa, je tam cca 150 zařízení a s kolegou jsme z Mikrotiku na větvi dnes a denně. Jsem zvědavej jaký překvápko nás čeká zítra po ránu...
-
S krabičkama bývají vždycky o něco větší problémy, než se stroji na míru. Sám si psal, na jakém železe běží ten IPCop, spíš už topné těleso, že? :-D A stroj běží a funguje. Právě takovou nějakou spolehlivost potřebuješ. A to žádná krabička nedá.
-
Mikrotiku bych se raděj velkým obloukem vyhnul. Na první pohled sice vypadá velmi líbivě, v reálu po delším používání však člověk zjistí, že to je neskutečná s*ačka. Mikrotik HW je neuvěřitelně nekoncepční. Namátkou bych uvedl, že např. klientské zařízení za pětikilo má voltmetr a teploměr, infrastrukturní deska za 8 tisíc nemá nic, RB800 má slaby zdroj, takže pokud je plně osazená wifi kartičkama tak se restartuje, na ether kabelu je potřeba ořezat flexo z konektoru aby bylo možne zavřít "dvířka" kryjící konektory, nevyhovující rozsah pracovních teplot, kvanta drobných detailů, která celek naprosto kazí. Mikrotik SW (někdy se mu říká RouterOS) je též problém, především plný bugů (Stačí sledovat nějaké to WHATISNEW nebojakstojmenuje a člověk pochopí. Nová verze 6.x je toho zářným příkladem, předchozí na tom nebyly jinak.) a také má tu vlastnost, že se za určitých okolností (které se nám doposud nepodařilo vyspecifikovat) začne chovat, jak to jenom říct, stochasticky. Např. jsem zažil, že firewall začal z ničeho nic dělat naprosté nesmysly, NAT začal natovat nesmyslné adresy apod. Vypomáhám s administrací sítě jednoho lokálního WISPa, je tam cca 150 zařízení a s kolegou jsme z Mikrotiku na větvi dnes a denně. Jsem zvědavej jaký překvápko nás čeká zítra po ránu...
A co bys chtěl, máš to v názvu ... mikro tik ... až se nabažíš, tak z toho budou makro tiky. ;-D Ono se to dá postavit o dost levněji a na leččems. Třicet počítačů v pohodě utáhne i virtuál na serveru. Ono se to často také nesmyslně předimenzovává vzhledem k internetové konektivitě ...
-
Nepodléhejte iluzi, že teď je tam PC, které 10 let jelo, a že nové pojede také 10 let, zdechne úplně po stejné době, jako ta MK krabička. To se dneska nenosí, dělat věci tak, aby vydržely.
U MK je tradiční problém kondíky, jakmile je trochu víc v teple, nafouknou/vytečou za 2 roky, stačí je vyměnit a jede se dál (druhá nejčastější věc je odpálený ethernet, ale to se týká ISPíků, co to montují po střechách/půdách).
Ostatní se sere přibližně podobně, jako cokoliv jiného (vycházím z pohledu na síť s tisícovkou krabic, kde jsou RB, Cisco, Juniper). I to množství chyb a problémů je relativně obdobné u řady platforem, každá má svého démona. :-)
Jo, že vyrábí občas dosti nelogické krabičky je pravda, zkrátka když jedna konečně jede, tak ji obrací na X způsobů.
Stále si myslím, že pro dané zadání a 25 Mbps je to RB2011 v racku velmi rozumná volba. Pochybuji, že za 2.000 Kč seženu ekvivalentní PC v 1U do racku. U toho RB2011 vidím jen to VPN slabinu, ten CPU toho moc neušifruje, záleží na použité VPN technologii.
Varianta virtuální router je možnost, ale moc bych nepřeháněl, občas se to nechová nejlépe. I to Cisco, které prodává teď virtuální routery jako hotový image (CSR 1000V), tam má řadu ale. Hlavní je, aby virtualizační HW/platforma měla síťovky s hardwarovou virtualizací (). Ale pro danou úlohu a těch 25 Mbps by to mělo být také OK s čímkoliv.
-
Když si to PC sestaví a nekoupí žádné z těch, co cpou výrobci do obchoďáků, tak nevidím důvod, proč by deset let nemohlo jet. Když se mu dá ta správná péče ....
-
Též bych asi využil MikroTika, pro tento trafic je to dostatečné, jen s tou VPN se asi trošku zadýchá, pokud to bude v nějaké hůř chlazené mistnosoti, tak stačí přidat nějaký malý ventilátor a je pohoda, stavět pro to nový HW se mi zdá trošku přehnané.
-
No já osobně bych to narval do virtuálu, jakýkoliv další HW mi pro tento počet přijde zbytečný.
-
Vsem dekuji za prispevky.
Info od vas me nakoplo k poradnemu dohledani informaci o MK. Zacinam mit o MK velmi smisene pocity, obzvlast u uceleneho reseni "krabicky".
Spise se nyni priklanim k PFSense.
-
Well done...
Ak ti ide o umiestnenie PFSense boxu do racku, mozem Ti za symbolicku cenu venovať starší Wyse ThinClient (WYSE 3150SE Winterm Thin Client Terminal = napr. http://wyse.vecmar.com/winterm/pdf/3150.pdf), ktorý som na toto používal. Je to i386 - AMD Geode CPU, integrovana sieťova karta + PCI 100 MBit (intel Pro) karta. Obsahuje to aj malý 2,5" HD (tusim 40GB). Routovalo to cca. 80 MBit pre 50 PC a 3 servery relatívne bez problémov. VPN ale bude asi pomalšie. Má to aj Paralelný port (printserver?), 4xUSB 1.1 a dva RS-232 (staršie UPS?). Je tam tuším ešte PFSense 1.2.3, ale to si preinstalujes z IDE CD na PFSense 2.1 za chvilu.
Postaviš to na poličku v racku, má to malý externý zdroj a fičíš....
Cena? Neviem, povedzme jeden obed (menu) tu v BA. Nikam to nebudem posielať. Mám tuším dva kusy.
Ak chceš, mám aj 4portovú 100MBit Ethernet kartu do toho PCI slotu a môžeš mať na LAN strane 4 siete, alebo si urobíš riešenie s dvoma WAN portami.... Ta by ale bola za povedzme 10€.
-
Dekuji za nabidku, ale bohuzel ji nevyuziju, pujde se cestou uplne noveho zeleza.
-
V práci jsem prsknul ipcop do virtuálu (vSphere), síťovku ven jsem tomu přidělil v passthrough režimu a naprostá pohoda.
-
Zacinam mit o MK velmi smisene pocity, obzvlast u uceleneho reseni "krabicky".
Ano, výraz "smíšené pocity" to asi výstižně vyjadřuje.
Jak jsem se zde zmiňoval o někdy záhadném chování RouterOSu, můžu zmínit naprosto aktuální zážitek.
V jednom z klíčových bodů sítě je RB1200, to je shodou okolností právě jedna z těch krabiček v 19" provedení. Obsazeno je všech deset ethernetových portů, na většině z nich je připojeno několik dalších zařízení, switche, další routery apod. Ve Winboxu jsem si všiml, že v ARP tabulce je u všech zařízení na portu ether8 stejná MAC adresa. Je to zjevný nesmysl, protože ta zařízení z principu stejné MAC nemají a ani mít nemohou. Jiné RouterOSy v síti, které na L2 vidí tatáž zařízení v své ARP tabulce takovou informaci nemají, naopak obsahují jejich správné MAC.
Restart oné RB1200 nepomohl, smazání příslušných položek ARP tabulky také ne. Rozhodl jsem se tedy provést upgrade z ROS 5.25 na 5.26. Sice se liší jen v jedné drobnosti takže teoreticky by to nemělo mít žádný vliv, ale jeden nikdy neví. V první chvíli se zdálo, že je vše v pořádku, takže jsem šel spát. Strávil jsem s tím totiž podstatnou část včerejšího večera.
Před chvíli jsem se tam podíval a popisovaný jev je na portu ether8 opět a k tomu navíc i na portu ether3.
Takže tak.
Ono sice na první pohled vše funguje jak má, v ARP tabulce v IP stacku tedy zřejmě vše bude správně, ale nutně si musím položit otázku - můžu důvěřovat systému, který ačkoliv asi funguje správně, tvrdí ve svých provozních parametrech zjevný nesmysl? Co když příště to bude přesně opačně?
Moc rád bych MikroTik resp. RouterOS doporučil, protože jiný takto komplexní systém jsem zatím neviděl (pokud nepočítám Juniper, Cisco, Brocade apod.), ale prostě nemám zkušenost, na základě které bych to mohl udělat. Spíš naopak.
-
Moc rád bych MikroTik resp. RouterOS doporučil, protože jiný takto komplexní systém jsem zatím neviděl (pokud nepočítám Juniper, Cisco, Brocade apod.), ale prostě nemám zkušenost, na základě které bych to mohl udělat. Spíš naopak.
Ditto. Ten systém je krom "user unfriendly" neskutečně bugoidní.
-
Moc rád bych MikroTik resp. RouterOS doporučil, protože jiný takto komplexní systém jsem zatím neviděl (pokud nepočítám Juniper, Cisco, Brocade apod.), ale prostě nemám zkušenost, na základě které bych to mohl udělat. Spíš naopak.
Ditto. Ten systém je krom "user unfriendly" neskutečně bugoidní.
Jak jsem prve zmínil, vypomáhám s administrací sítě jednoho lokálního WISPa a je to fakt hodně malá síť. Je tam do stovky klientů.
Moc by mě zajímalo, jak to řeší, na čem mají postavenou síť relativně velcí WISP, kteří obsluhují řádově tisíce klientů a pokrývají plochu řádově okresů. Takových firem jsou stovky, možná tisíce. A vím, že nemálo z nich používá MikroTik. Dělají snad něco jinak, lépe než my? Nebo tam mají armádu cvičenejch vopic, který to preventivne restartují? Smířili se s tím, že to nefunguje spolehlivě? Nebo je to ještě jinak?
Přitom v jiné, podnikové LAN, o kterou se starám, jsou ty Mikrotiky jen tři a v podstatě o nich nevím. Jednou za čas nahraju novou verzi a to je tak všechno.
-
Nebo tam mají armádu cvičenejch vopic, který to preventivne restartují? Smířili se s tím, že to nefunguje spolehlivě? Nebo je to ještě jinak?
Vůbec bych se tomu nedivil. U známého, který má připojení přes WiFi na několika místech, prakticky všechny "mně to zas nejede" problémy vyřešil každodenní automatický restart ve tři ráno. Jinak to vydrželo tu tři týdny, tu tři dny, tu tejden, pak se to začalo chovat úplně chaoticky, případně konektivita nebyla vůbec.
-
Většina jich jede Mikrotik, na nic jiného nemá peníze (případně rádia Ubiquiti) a jede jim to. Někdy je to rukama a elementárníma neznalostma, když se to sere.
Zrovna dva dny zpět jsem dával do kupy jednomu síť o 65 routerech a dynamický routing, padalo to, rozpojovalo - stačilo nastavit pár věcí dle kostelního pořádku a drží to jak má. Beru, když to nastaví tak, že nerespektuje úchylky dané platformy vůči specifikaci, že je zkrátka ještě nezná/nepotkal. Ale když nerespektuje ani záklandí principy a omezení daného řešení, že když někdo natáhne OSPF přes 60 routerů, tak čekám, že o tom něco ví a ne systém, uchodil jsme kdysi 3 krabice slepým klikáním a jen to kopíruji a ono se to po čase složí, protože jsou určitá ale, co se mají dodržet...
Někdy jsou chyby, Mikrostik jich má dost, ale když se podívám na jinou síť, do které štourám, kde je nějaká tisícovka zařízení, ať Cisco, Juniper, Mikrotik přes pár kontinentů, tak mají máslo na hlavě všichni. Každá platforma má své démony, řady z nich dlouhodobě neřešených. Zkrátka se s tím člověk musí naučit vycházet a akceptovat úchylku každé platformy, což jde celkem dobře, dokud je síť monolit. Ale jak to musí být mix (třeba jako ochrana proti systémovým chybám jedné platformy), tak vedle sebe položených několik krabic různých výrobců nasavit do požadovaného stavu vzájemné spolupráce, je občas dobrá loterie. :-)
Uvědomte si, co ten Mikrotik a jeho licence (nebo i celé krabičky) stojí. Za těch pár šupů to odvádí dobrou práci. Ano, umím si to nastavit ručně v linuxu a řada věcí pojede lépe, ale až se zase uchlástám v zavšiveném baru v Arménii tak, že týden nevylezu na světlo a krabice se rozbije, tak to nikdo nedá dohromady, blbej Mikrotik obvykle nějak uchodí i lehce poučená opice... Složitější věci nezvládne, ale to nedá ani s jakoukoliv jinou platformou. Stejně tak mohu použít úplně jinou krabici slovutného jména a půjde řada věcí stejně, podobně, lépe nebi i něoc hůře za podstatně větší peníz..
Je pravda, že kvalita některých Mikrotik HW zařízení je tragická, zkrátka masovka bouchaná pro masy někdy i s celkem škaredýma bugy v hardware, které řeší druhá-třetí revize s pár zoufalými meziposuky v SW řešení (naposledy mě napadá switch chip v RB2011, předtím rádia v RB711, ...), ale i tuy krabic s uptimem roky (když to funguje OK, tak se ani SW neaktualizuje) tkaé něco znamená.
-
Uvědomte si, co ten Mikrotik a jeho licence (nebo i celé krabičky) stojí. Za těch pár šupů to odvádí dobrou práci.
A přesně o tom to je. Nezapomínejme, že původní dotaz byl na firemní síť s 30 počítači. Nebavíme se tady o nějakém HA řešení pro geografickou redundanci pro aerolinku...
-
Jak jsem se zde zmiňoval o někdy záhadném chování RouterOSu, můžu zmínit naprosto aktuální zážitek.
Ještě jsem na tom dál pracoval, získal další poznatky a v rámci objektivity by se asi slušelo říct, že v tomto případě je v tom zřejmě Mikrotik nevinně. Spíše se ukazuje, že by mohl být problém v zařízení od Ubiquity (Rocket M5).