Выбираем специализированный шлюзовой nix-дистрибутив

Знаешь, железка IMO тоже имеет значение. Если у тебя i7 на шлюзе, не стыдно и debian какой-то.

i7 на шлюз - это же сколько клиентов в сети?

i7 на шлюз - это же сколько клиентов в сети?

i7 на шлюз - это же сколько бабла у конторы?

//obvious fix

если у конторы дохрена бабла то ее выбор циска

Бугагага. Ну да, десктоп с i7 в роли шлюза могут себе позволить только оракл да межделмаш.

Суть не в том, чтобы Debian был - тот же Zentyal - это Ubuntu 10.04.3, - я в том, чтобы управлять шлюзом не консольными командами, а через доступный в один клик веб-интерфейс. Просто шлюз - такая штука, которая по-первых должна и по дефолту работать надёжно, но с другой стороны это сервер настолько второстепенного назначения, что тратить на него драгоценное админское время просто смешно. И чем меньше усилий требует его обслуживание, тем лучше.

P.S. Zentyal 2.2-rc1 мне кстати дико не понравился - одна только настройка VPN чего стоит, а наличие ошибки в модуле создания статических привязок DHCP просто убило: это же элементарный базовый функционал, как это-то можно было не протестировать!!!

pfSense - универсален, zentyal и clearos не шлюзы, а универсальные комбайны для небольших контор и ленивых.

в порядке «адекватности задаче»

Какой задаче-то? Конкретизируйте. Домашняя коробочка и бордер - разные вещи.

Также в список вам - vyatta (роутер, по управлению смахивает на джуниперы), а также Alpine и Zeroshell (комбайны).

управлять шлюзом не консольными командами, а через доступный в один клик веб-интерфейс.

facepalm.jpg.txt.png.ogm.swf^W

Про вяту забыл упомянуть. Да, много читал о ней, наслышан. Думаю, что это должен быть очень крутой шлюзовой дистрибутив, едва ли не лучший по своим возможностям. Но... я не знаю циски. То есть совсем не знаю и, честно сказать, не особо горю желанием изучать, так что система команд вяты очень близка и понятна цисководам, но лично мне до неё как до Парижа пешком... :(

facepalm.jpg.txt.png.ogm.swf^W

И что? В мелких конторах бывает что одмина нет. И в таких случаях вебморда на шлюзе штука весьма полезная.

но лично мне до неё как до Парижа пешком...

Там элементарная консоль, по удобству значительно лучше вебморды. В доках все ясно и понятно. В микротиках аналогично, к примеру.

Пока что, впрочем, в теме флуд ради флуда. Вы не указали конкретную задачу. Если вам надо сферический однокликовый роутер в вакууме - ставьте pfSense, скорее всего все нужное там есть.

DD-WRT забыли. Довольно удобная вещь.

Уже поставил pfSense и чем больше пользуюсь, тем больше радуюсь. IPCop по сравнению с ним создаёт впечатление pfSense'а «10 лет назад»

А бывает, что и админ устаёт от ввода командочек в консоли, тем более, что от их количества и сложности конфигурации в общем случае зависит чуть более, чем ничего

У ZeroShell гибче настройки, но если у тебя стандартный вариант, то у прочих дистров интерфейс приятнее.

Вообще есть еще smoothwall.
Удобная и простая настройка через веб. Есть почти все, что нужно. VPN (если только не изменили в след. релизах) настравается только smoothwall <--> smoothwall.

>А бывает, что и быдлоадмин устаёт от ввода командочек в консоли

obvious fix

А если серьезно, то лучше самосбора под задачи я тут ничего не вижу. Другое дело, если таких шлюзов нужно не 5, не 10, а скажем 100. Тогда выбор дистра для них - дело серьезное.

Добавлю, что pfSense не умеет L2TP+IPsec для динамических клиентов, если это нужно (по крайней мере, не умел месяц назад, даже в ветке 2.0). Ну и еще кой-чего по мелочи.

В основе-то pfSense - это FreeBSD всё же. Так что далеко не факт, что это нельзя настроить всеми горячо любимым методом строительства принципиально новых велосипедов.

Если у вас серьезные задачи и много трафика, то в любом случае нужно быть готовым к пересборке ядра,iptables,ipset,ipt_netflow.

Но так как у вас:

шлюз - это сервер настолько второстепенного назначения, что тратить на него драгоценное админское время просто смешно.

То вам это все не нужно то и выбирайте по внешнему виду веб интерфейса.

У нас к примеру роутер - это система первостепенного значения.

Странно, а чего вы добьётесь пересборкой ядра?

В OpenBSD новая версия PF, у которого правила пушутся как программа на Паскале (то есть, изучить и настроить сможет любой студент, закончивший колледж). Так что для шлюза лучше и проще OpenBSD не придумано.

PF: The OpenBSD Packet Filter — проще не придумаешь.

IPcop когда-то, будучи совсем чайником, настраивал через Webmin, работало на 486. Вроде периодически обновляется даже и форум есть.

Я добьюсь метода хранения роут таблицы в виде LC-TRIE вместо хештаблицы, что помогает на больших скоростях при роутинге с FV, когда в fib более 300к маршрутов. Это к примеру.

А по поводу PF - когда появится какая то новая версия, которая умеет параллелиться на многоядерных системах, так может кто то и начнет юзать это на нагрузке. А сейчас пусть оно хоть слова человеческие в качестве языка правил понимает, толку от этого 0.

А оно уже умеет PPTP/L2TP на wan (beeline)?

ставь генту на шлюз и не морочь никому я**а

на деле у меня на 3х роутерах гента стоит и все хорошо, настраивается правкой /etc/conf.d/net

и самое главное: конкретизируй задачу, если тебе нужно просто чтобы пакеты ходили и NAT то в генте с этим сложностей быть не должно

>А оно уже умеет PPTP/L2TP на wan (beeline)?

Как сделать VPN-интерфейс WAN'ом есть в HowTo, сама по себе поддержка PPTP и L2TP есть...

Я когда возился не смог подключиться по pptp по DNS имени. В How-to только статический IP у прова должен быть ЕМНИП

pfSense во все поля. Не Zentyal и не ClearOS.

У меня шлюзе на генте. В качестве шлюза десктоп, да.

zeroshell еще есть =)

>pfSense во все поля
apinger для проверки работоспособности каналов меня расстраивает в pfsense. да и модифицировать не так легко - конфиги софта перетирает веб сервис.
хотя кнчно нужно признать что оно достаточно удобное.

пробовал и clearos, тож одни расстройства.
в итоге сам реализовал все чтомне нужно было на привычном дистре.

Мне было просто лень. :)

Да, давно, только шейпить на этих интерфейсах потом вроде бы не умеет. Или это просто сломано в 2.0, не помню точно.

Меня там больше расстраивает гораздо меньший список поддерживаемых беспроводных карт, чем в линупсе.

Конфиги там можно править вполне. И долепить нужный фряшный софт вместо того же apinger тоже можно. Вопрос только в немного большем геморрое, чем в обычной фряхе. И иногда проблемах с обновлением.

это вроде в 1.х, сейчас уже 2.х более-менее можно юзать (осторожно)

P.S. наличие ошибки в модуле создания статических привязок DHCP просто убило: это же элементарный базовый функционал, как это-то можно было не протестировать!!!

Подтверждаю! УЖАС! Глюкалово страшное...

Сам некоторое время назад столкнулся с задачей выбора дистрибутива. Не решил её до сих пор.

Требования:

1. получать интернет по 2-ум WAN (Ethernet и Wi-Fi). Приоритетный - Ethernet. Надо висеть только на нём и подключать вай-фай только когда эзернет отвалится.

2. раздача интернета по 2-ум LAN (Ethernet и Wi-Fi). Понятно, что все клиенты из них обоих должны быть в одной подсети.

3. быть принт-сервером (поддерживать Cups)

4. Желательно также иметь возможность смотреть статистику по текущему траффику на интерфейсах, шейпить интернет по клиентам (привязка к IP/MAC).

5. Ну и иметь удобный веб-интерфейс для руления всем этим с клиентов.

Пересмотрел кучу дистрибутивов.
freeBSD-based:
1. pfSense
2. Microtic (+ тут нет принт-сервера)
3. Freesco

фряшные, к моему сожалению, сразу пришлось отсечь по причине отсутствия драйверов для моей Wi-Fi карты.


Zentyal (Ubuntu 10.04 LTS-based)
ClearOS (CentOS-based)
два похожих варианта, довольно жизнеспособные, ClearOS (при поддержке родного ЛОРа) я практически полностью настроил, но!
дистры огорчают тем, что по мнению западных товарищей суппорт PPTP есть хорошо, а L2TP юзеру не нужен.
То же с Wi-Fi: обычный WEP есть, а WPA нету.
Приходится настраивать в обход веб-интерфейса, из консоли...
Также на моём старом компьютере ClearOS долго думал перед показом каждой странички, работал недостаточно быстро.


TraffPro Small Office (бесплатная версия) (Fedora-based), нет настройки Wi-Fi, опять в обход веб-интерфейса лезть надо...

Ideco (основана на Linux 2.4 а драйвера моей карты начинаются с 2.6.**)
MonoWall (в первую очередь это фаервол, так что вряд ли мне подойдёт)


Сейчас думаю над установкой openWRT для x86, но пока с трудом осиливаю англогайды.

фряшные, к моему сожалению, сразу пришлось отсечь по причине отсутствия драйверов для моей Wi-Fi карты.

Что, и виндовые через NDIS не работают? http://www.freebsd.org/doc/ru/books/handbook/network-wireless.html

Не слышал о таком, спасибо.

Наверное стоит попробовать, если осилю, конечно.