LINUX.ORG.RU
ФорумAdmin

pfSense на проде в KVM

 ,


0

1

Всем привет,

Есть пара серверов на Хецнере, на них крутится Proxmox, также настроен vSwitch чтобы сети разносить и есть пачка IP. Для всего этого добра надо настроить маршрутизацию.

Есть два варианта:

  • Поставить на вирт. машину debian, прикрутить к ней все ip и с помощью iptables и ansible рулить там всем.

  • Поставить вирт. машину с pfSense, прикрутить к ней все ip.

Важные для меня вещи: возможность все это автоматизировать с помощью ansible, маппинг портов на внутренние ip (nat), ограничение доступа машин во внешний интернет, скорость.

Что посоветуете?

UPD: В принципе запросы у меня весьма простые, и я могу запросто с iptables наколхозить, но хочется чего то более стандартизованного.

UPD 2: Еще в далеко идущих планах было бы неплохо мониторить всю сетевую активность, безопасность там, вот это вот все.



Последнее исправление: alex07 (всего исправлений: 3)

pfsence очень херово работал всю жизнь в kvm. У меня установка от 2014 года. Работает жутко. Зависает. Кернелпаникует. :( Может сейчас всё лучше.

DALDON ★★★★★
()

Все это можно делать через RouterOs. Самой дешёвой версии хватит с головой для поставленных задач. Настраивается и мониторится все даже через Гуй достаточно легко

trader1601
()

Отлично работает годами. Только я со временем перешел с pfSense на OpenWrt - под мои задачи удобнее, да и зоопарк так меньше. Есть еще Vyatta, на базе которой сделана Ubiquiti EdgeOS - если сталкивался с ней, то будет интересно тоже.

А нефанаты мокротыков со своей поделкой пусть проходят мимо.

pekmop1024 ★★★★★
()
Ответ на: комментарий от DALDON

pfsence очень херово работал всю жизнь в kvm.

Понятно спасибо. У меня тоже был негативный опыт при таком сетапе дома. Но я все списывал на свои кривые руки, слабый комп и PPPoE с одним ядром.

alex07
() автор топика
Ответ на: комментарий от pekmop1024

Только я со временем перешел с pfSense на OpenWrt

Я вот почему то думал что OpenWrt это для физических роутеров всяких только, но с другой стороны почему бы и на виртуалке не запустить. То что это Линукс лично для меня интереснее и привычнее, да.

Ubiquiti EdgeOS - если сталкивался с ней

Не сталкивался никогда.

А нефанаты мокротыков со своей поделкой пусть проходят мимо.

У меня у самого этот дивайс дома трудится. Роутер как роутер, наверняка есть лучше. Но вот конфигурация у него из консоли крайне непонятная, для меня.

alex07
() автор топика
Ответ на: комментарий от alex07

с другой стороны почему бы и на виртуалке не запустить

есть же официальные x86 образы (унутрях обычный raw image с ext4 и грубом), отлично работают в kvm.

Не сталкивался никогда.|

интересная штука, но судя по описываемым задачам - как по воробьям из низкоорбитальной ионной пушки. Vyatta (и ее открытая инкарнация VyOS) - это туда, где не хватает денег на Cisco/Juniper/Fortinet.

У меня у самого этот дивайс дома трудится. Роутер как роутер, наверняка есть лучше. Но вот конфигурация у него из консоли крайне непонятная, для меня.

Откровенно слабое железо и не менее кривые прошивки. Драйверы на вайфай они, кстати, судя по всему, обновлять не любят. OpenVPN только TCP умеет. Научили ли Wireguard’у - не в курсах (даже EdgeOS научили, хоть и сторонним пакетом - но там же Debian на нижнем уровне).

pekmop1024 ★★★★★
()
Ответ на: комментарий от pekmop1024

Откровенно слабое железо

В моем случае это проблема, да. Потому как 600/600 по FTTH и PPPoE сверху, hAP AC просто не может вытянуть когда торренты включены и много коннектов.

OpenVPN только TCP умеет.

Я никогда не понимал стремления ставить вот такие штуки на SOHO дивайсы. Ясно же что оно если и потянет то крайне криво.

Но все это ерунда по сравнению с тем что для автоматизации мне надо выучить какую то новую консоль, с весьма не очевидными решениям. Вот из-за этого пункта второй микротик я себе никогда не куплю.

alex07
() автор топика
Последнее исправление: alex07 (всего исправлений: 1)
Ответ на: комментарий от alex07

Я никогда не понимал стремления ставить вот такие штуки на SOHO дивайсы. Ясно же что оно если и потянет то крайне криво.

На древнем WR1043NDv2 OpenVPN@OpenWrt чувствует себя отлично, пусть и не тянет больше пары десятков мегабит, а Wireguard даже на v1 упирается только в скорость канала (100Мбит). Не говоря про мой домашний WRT1900AC.

pekmop1024 ★★★★★
()
Ответ на: комментарий от pekmop1024

На древнем WR1043NDv2 OpenVPN@OpenWrt чувствует себя отлично

Я не спорю. Но ведь все равно VPN это для конечного дивайса всегда делается, а не для промежуточного. Полагаю что с точки зрения безопасности VPN на роутере это не очень хорошая затея.

WRT1900AC

У меня в бытность мою студентом была предыдущая версия этого синего роутера. Легендарная машина, я с его помощью WiFi у соседа воровал.

alex07
() автор топика
Ответ на: комментарий от alex07

Полагаю что с точки зрения безопасности VPN на роутере это не очень хорошая затея.

При чем тут безопасность? Туннели нужны, чтобы поддерживать полуразобранную политиками связность интернетов. У меня 4 туннеля для подняты на роутере, чтобы открывалось все как надо и с минимальной латентностью

pekmop1024 ★★★★★
()
Ответ на: комментарий от alex07

Был когда-то у меня и такой. Свежая итерация получилась ничуть не менее легендарной, только менее распиаренной

pekmop1024 ★★★★★
()
Ответ на: комментарий от pekmop1024

поддерживать полуразобранную политиками связность интернетов.

А ведь кто-то трудится, придумывает эти политики, внедряет… Думая о светлом и безопасном будущем!!!

Свежая итерация получилась ничуть не менее легендарной

Я вот помню свой тогдашний роутер брал с рук, как раз с целью установки на него DD-Wrt и воровства WiFi.

Я вот думаю на что микротик поменять, потому что реально не вывозит PPPoE на моих скоростях. При этом совершенно не очевидно какой роутер таки вывезет. Интернеты рекомендуют Edge какой то.

alex07
() автор топика
Последнее исправление: alex07 (всего исправлений: 1)
Ответ на: комментарий от DALDON

Что-то ты делал неправильно. Много лет работает pfsense. Сначала пробовал дома его, потом в прод запустил. И там и там всё отлично работает уже по нескольку лет.

darkduke
()
Ответ на: комментарий от darkduke

Я подчеркнул, что у меня старый pfsense. Возможно там необходимо сделать оптимизацию, и в новых версиях уже всё поправлено.

DALDON ★★★★★
()
Ответ на: комментарий от DALDON

уже давно есть инструкция, что поправить в настройках pfsense под qemu для стабильной работы на сетевухах virtio. Впрочем, вместо этого можно сейчас и раньше вместо virtio-net выбрать intel, если с первой проблемы

darkduke
()
Последнее исправление: darkduke (всего исправлений: 2)
Ответ на: комментарий от alex07

Но ведь все равно VPN это для конечного дивайса всегда делается, а не для промежуточного. Полагаю что с точки зрения безопасности VPN на роутере это не очень хорошая затея.

Ик-ик-ик - Щито?

anc ★★★★★
()

Я бы смотрел в сторону routeros ($45) или прочих бесплатных vyos/pfsense/opnsense. У меня, например, на VDS устанавливается RouterOS и прекрасно справляется со всеми задачами. Опыт использования в продакшене CHR около 2 лет. Если бы использовал где-то vsphere всегда можно обратиться к кискам и установить 1000v.

zerofun
()
Ответ на: комментарий от anc

Ик-ик-ик - Щито?

Ну как, это же туннель, то есть от точки до точки.

Update: ну хотя да, я понял что имеется в виду. Беру свои слова обратно. Я видимо просто OpenVPN воспринимаю как чисто терминальный софт. Между серверами у меня обычно L2TP ходит.

alex07
() автор топика
Последнее исправление: alex07 (всего исправлений: 2)
Ответ на: комментарий от zerofun

Я бы смотрел в сторону routeros ($45) или прочих бесплатных vyos/pfsense/opnsense.

Ну вот я пока с debian + iptables + ansible наколхозил. В принципе для текущих нужд достаточно, но наверняка надо будет делать что нибудь более продвинутое, вот тогда и займусь.

alex07
() автор топика
Ответ на: комментарий от alex07

VPN - Virtual Private Network. Причем тут реализации? Дальше пояснять?

anc ★★★★★
()
Ответ на: комментарий от darkduke

У меня машина в кернел паник уходит иногда… Дело в сетевых картах? Плюс процессор жрет как не в себя.

DALDON ★★★★★
()
Ответ на: комментарий от alex07

Я вот думаю на что микротик поменять, потому что реально не вывозит PPPoE на моих скоростях. При этом совершенно не очевидно какой роутер таки вывезет. Интернеты рекомендуют Edge какой то.

А, если не секрет, какой девайс не вывозит? Какие скорости? Ну и начать можно с того, что поменять mss в postrouting

zerofun
()
Ответ на: комментарий от zerofun

А, если не секрет, какой девайс не вывозит?

hAP ac. Вот этот девайс. Скорость 600/600 FTTH + PPPoE (и это основная проблема). Ну то есть один коннект напрямую он конечно вытащит. Но вот если запущены торренты с тысячей коннектов, то прямое подключение по ftp падает с 30MB/s до 2-3MB/s.

Я все никак не соберусь хотя бы QoS настроить чтобы приоритет ftp давал перед торрентами.

поменять mss в postrouting

А что это?

alex07
() автор топика
Последнее исправление: alex07 (всего исправлений: 1)
Ответ на: комментарий от alex07

rb3011 справлялся с гигабитом и rb4011 точно так же справляется через PPPoE. hap ac ну уж совсем слаб для таких скоростей и не стоит ожидать от него чуда.

zerofun
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.