Firewall - IPCOP -> BSD/Mikrotik

[Pavel 'TIGER' Růžička]

No já osobně bych to narval do virtuálu, jakýkoliv další HW mi pro tento počet přijde zbytečný.

[Reklama]

[lumka]

Vsem dekuji za prispevky.

Info od vas me nakoplo k poradnemu dohledani informaci o MK. Zacinam mit o MK velmi smisene pocity, obzvlast u uceleneho reseni "krabicky".

Spise se nyni priklanim k PFSense.

[TomBA]

Well done...
Ak ti ide o umiestnenie PFSense boxu do racku, mozem Ti za symbolicku cenu venovať starší Wyse ThinClient (WYSE 3150SE Winterm Thin Client Terminal = napr. http://wyse.vecmar.com/winterm/pdf/3150.pdf), ktorý som na toto používal. Je to i386 - AMD Geode CPU, integrovana sieťova karta + PCI 100 MBit (intel Pro) karta. Obsahuje to aj malý 2,5" HD (tusim 40GB). Routovalo to cca. 80 MBit pre 50 PC a 3 servery relatívne bez problémov. VPN ale bude asi pomalšie. Má to aj Paralelný port (printserver?), 4xUSB 1.1  a dva RS-232 (staršie UPS?). Je tam tuším ešte PFSense 1.2.3, ale to si preinstalujes z IDE CD na PFSense 2.1 za chvilu.
Postaviš to na poličku v racku, má to malý externý zdroj a fičíš....
Cena? Neviem, povedzme jeden obed (menu) tu v BA. Nikam to nebudem posielať. Mám tuším dva kusy.
Ak chceš, mám aj 4portovú 100MBit Ethernet kartu do toho PCI slotu a môžeš mať na LAN strane 4 siete, alebo si urobíš riešenie s dvoma WAN portami.... Ta by ale bola za povedzme 10€.

[lumka]

Dekuji za nabidku, ale bohuzel ji nevyuziju, pujde se cestou uplne noveho zeleza.

[死神]

V práci jsem prsknul ipcop do virtuálu (vSphere), síťovku ven jsem tomu přidělil v passthrough režimu a naprostá pohoda.

[Reklama]

[netinstall]

Zacinam mit o MK velmi smisene pocity, obzvlast u uceleneho reseni "krabicky".

Ano, výraz "smíšené pocity" to asi výstižně vyjadřuje.
Jak jsem se zde zmiňoval o někdy záhadném chování RouterOSu, můžu zmínit naprosto aktuální zážitek.

V jednom z klíčových bodů sítě je RB1200, to je shodou okolností právě jedna z těch krabiček v 19" provedení. Obsazeno je všech deset ethernetových portů, na většině z nich je připojeno několik dalších zařízení, switche, další routery apod. Ve Winboxu jsem si všiml, že v ARP tabulce je u všech zařízení na portu ether8 stejná MAC adresa. Je to zjevný nesmysl, protože ta zařízení z principu stejné MAC nemají a ani mít nemohou. Jiné RouterOSy v síti, které na L2 vidí tatáž zařízení v své ARP tabulce takovou informaci nemají, naopak obsahují jejich správné MAC.
Restart oné RB1200 nepomohl, smazání příslušných položek ARP tabulky také ne. Rozhodl jsem se tedy provést upgrade z ROS 5.25 na 5.26. Sice se liší jen v jedné drobnosti takže teoreticky by to nemělo mít žádný vliv, ale jeden nikdy neví. V první chvíli se zdálo, že je vše v pořádku, takže jsem šel spát. Strávil jsem s tím totiž podstatnou část včerejšího večera.
Před chvíli jsem se tam podíval a popisovaný jev je na portu ether8 opět a k tomu navíc i na portu ether3.
Takže tak.

Ono sice na první pohled vše funguje jak má, v ARP tabulce v IP stacku tedy zřejmě vše bude správně, ale nutně si musím položit otázku - můžu důvěřovat systému, který ačkoliv asi funguje správně, tvrdí ve svých provozních parametrech zjevný nesmysl? Co když příště to bude přesně opačně?

Moc rád bych MikroTik resp. RouterOS doporučil, protože jiný takto komplexní systém jsem zatím neviděl (pokud nepočítám Juniper, Cisco, Brocade apod.), ale prostě nemám zkušenost, na základě které bych to mohl udělat. Spíš naopak.

[Lol Phirae]

Moc rád bych MikroTik resp. RouterOS doporučil, protože jiný takto komplexní systém jsem zatím neviděl (pokud nepočítám Juniper, Cisco, Brocade apod.), ale prostě nemám zkušenost, na základě které bych to mohl udělat. Spíš naopak.

Ditto. Ten systém je krom "user unfriendly" neskutečně bugoidní.

[netinstall]

Moc rád bych MikroTik resp. RouterOS doporučil, protože jiný takto komplexní systém jsem zatím neviděl (pokud nepočítám Juniper, Cisco, Brocade apod.), ale prostě nemám zkušenost, na základě které bych to mohl udělat. Spíš naopak.

Ditto. Ten systém je krom "user unfriendly" neskutečně bugoidní.

Jak jsem prve zmínil, vypomáhám s administrací sítě jednoho lokálního WISPa a je to fakt hodně malá síť. Je tam do stovky klientů.
Moc by mě zajímalo, jak to řeší, na čem mají postavenou síť relativně velcí WISP, kteří obsluhují řádově tisíce klientů a pokrývají plochu řádově okresů. Takových firem jsou stovky, možná tisíce. A vím, že nemálo z nich používá MikroTik. Dělají snad něco jinak, lépe než my? Nebo tam mají armádu cvičenejch vopic, který to preventivne restartují? Smířili se s tím, že to nefunguje spolehlivě? Nebo je to ještě jinak?
Přitom v jiné, podnikové LAN, o kterou se starám, jsou ty Mikrotiky jen tři a v podstatě o nich nevím. Jednou za čas nahraju novou verzi a to je tak všechno.

[Lol Phirae]

Nebo tam mají armádu cvičenejch vopic, který to preventivne restartují? Smířili se s tím, že to nefunguje spolehlivě? Nebo je to ještě jinak?

Vůbec bych se tomu nedivil. U známého, který má připojení přes WiFi na několika místech, prakticky všechny "mně to zas nejede" problémy vyřešil každodenní automatický restart ve tři ráno. Jinak to vydrželo tu tři týdny, tu tři dny, tu tejden, pak se to začalo chovat úplně chaoticky, případně konektivita nebyla vůbec.

[M.]

Většina jich jede Mikrotik, na nic jiného nemá peníze (případně rádia Ubiquiti) a jede jim to. Někdy je to rukama a elementárníma neznalostma, když se to sere.
Zrovna dva dny zpět jsem dával do kupy jednomu síť o 65 routerech a dynamický routing, padalo to, rozpojovalo - stačilo nastavit pár věcí dle kostelního pořádku a drží to jak má. Beru, když to nastaví tak, že nerespektuje úchylky dané platformy vůči specifikaci, že je zkrátka ještě nezná/nepotkal. Ale když nerespektuje ani záklandí principy a omezení daného řešení, že když někdo natáhne OSPF přes 60 routerů, tak čekám, že o tom něco ví a ne systém, uchodil jsme kdysi 3 krabice slepým klikáním a jen to kopíruji a ono se to po čase složí, protože jsou určitá ale, co se mají dodržet...

Někdy jsou chyby, Mikrostik jich má dost, ale když se podívám na jinou síť, do které štourám, kde je nějaká tisícovka zařízení, ať Cisco, Juniper, Mikrotik přes pár kontinentů, tak mají máslo na hlavě všichni. Každá platforma má své démony, řady z nich dlouhodobě neřešených. Zkrátka se s tím člověk musí naučit vycházet a akceptovat úchylku každé platformy, což jde celkem dobře, dokud je síť monolit. Ale jak to musí být mix (třeba jako ochrana proti systémovým chybám jedné platformy), tak vedle sebe položených několik krabic různých výrobců nasavit do požadovaného stavu vzájemné spolupráce, je občas dobrá loterie. :-)

Uvědomte si, co ten Mikrotik a jeho licence (nebo i celé krabičky) stojí. Za těch pár šupů to odvádí dobrou práci. Ano, umím si to nastavit ručně v linuxu a řada věcí pojede lépe, ale až se zase uchlástám v zavšiveném baru v Arménii tak, že týden nevylezu na světlo a krabice se rozbije, tak to nikdo nedá dohromady, blbej Mikrotik obvykle nějak uchodí i lehce poučená opice... Složitější věci nezvládne, ale to nedá ani s jakoukoliv jinou platformou. Stejně tak mohu použít úplně jinou krabici slovutného jména a půjde řada věcí stejně, podobně, lépe nebi i něoc hůře za podstatně větší peníz..

Je pravda, že kvalita některých Mikrotik HW zařízení je tragická, zkrátka masovka bouchaná pro masy někdy i s celkem škaredýma bugy v hardware, které řeší druhá-třetí revize s pár zoufalými meziposuky v SW řešení (naposledy mě napadá switch chip v RB2011, předtím rádia v RB711, ...), ale i tuy krabic s uptimem roky (když to funguje OK, tak se ani SW neaktualizuje) tkaé něco znamená.

[Mirek Prýmek]

Uvědomte si, co ten Mikrotik a jeho licence (nebo i celé krabičky) stojí. Za těch pár šupů to odvádí dobrou práci.

A přesně o tom to je. Nezapomínejme, že původní dotaz byl na firemní síť s 30 počítači. Nebavíme se tady o nějakém HA řešení pro geografickou redundanci pro aerolinku...

[netinstall]

Jak jsem se zde zmiňoval o někdy záhadném chování RouterOSu, můžu zmínit naprosto aktuální zážitek.

Ještě jsem na tom dál pracoval, získal další poznatky a v rámci objektivity by se asi slušelo říct, že v tomto případě je v tom zřejmě Mikrotik nevinně. Spíše se ukazuje, že by mohl být problém v zařízení od Ubiquity (Rocket M5).