Просмотр темы - pfSense as a firewall and router

[GifteD]

pfSense прекрасен чуть больше чем полностью, но есть одна проблема.
Он не пропускает много PPTP соединений на один IP.
Если вы что-то знаете, напишите как обойти это ограничение?

Если у вас есть опыт применение этого дистрибутива или подобного?
Может быть juniper.net или clearfoundation.com

Из моего опыта.
Установлен Captive portal- изначально для развертывания wifi сети с "гостевым" доступом.
Далее войдя во вкус. pfSense замена MS ISA TMG.

[lp13 Профиль]

Я бы так сказал, что ТМГ не сложно заменить ))
Помимо того, что под ТМГ железку нужно нормальную покупать, что ставит под вопрос рентабельность его использования по сравнению с сиськой и тем более juniper, ну или даже d-link, но это желанию Микрософта все делать не по стандарту (устройства в кластере используют unicast ip адрес в сочетании с multicast мак адресом в одном пакете) просто выносит мозг. Из-за такой фигни на сетевых устройствах, которые работают в соответствии со стандартами приходится делать статические arp записи, что само по себе не есть хороше.
Что касается pfsense, то решение действительно хорошее, бесплатное, не такое требовательное к железу, но тем не менее все равно заняло нишу "для бедных". Использовать его в крупных компаниях, с большим количеством удаленных офисов конечно не выйдет.

[2zaits Профиль Сайт]

Почему не выйдет?
Что не так с большим числом офисов? У меня много других примеров

[lp13 Профиль]

Ну допустим как у меня на работе.
Есть ЦО, есть около 100 точек продаж. Часть подключена к ЦО через MPLS провайдера на 2-м уровне, тут все вообще замечательно, ощущение как-будто из серверной напрямую в свитч воткнут, только скоростью режется. Без всяких промежуточных подсетей и прочей лабуды.
Остальные подключены через ВПН, при этом где-то есть прямые ип адреса, где-то есть прямые ип адреса, но они динамические + есть точки где нет прямых ип адресов. К сожалению не все всегда зависит от нас, а по большей части от провайдера. Если использовать ipsec туннели это ппц, лучше сразу меня повесьте. Надо настраивать каждую пару соединений туннеля ЦО - Удаленный объект. Теперь представим, что адрес динамический, вот она жопа. Короче нужно использовать DMVPN, тогда все очень просто. Шифрование происходит по профилю, записи динамические, можно устанавливать соединение когда удаленная точка за NAT-ом ну и самое главное конечно это то, что появляется связь между удаленными точками напрямую через интернет с шифрованием по профилю. Представьте если бы стояла такая задача и надо было использовать ipsec туннели ))))) ?
100 точек, нужно соединение каждую с каждой = 100 в 100-й степени настроек впн туннелей.

Может конечно я что-то не знаю и в pfsence есть аналогичные решения, тогда просветите плз ))

[GifteD]

А как у тебя сейчас работает?
Т.е. зачем надо переходить на pfsence?

Пока то что ты написал, справедливо, да, надо работать %) настроить сто и двести раз
С провайдерами тоже можно договорится.
Вариантов масса. Пока я не понимаю какую мы задачу решаем.

[lp13 Профиль]

Туннели организуются динамически, соответственно криптование по настроенному заранее профилю. В данный момент используем pre-shared key, но будем переходить на сервер с авторизацией по сертификатам.
С провайдером можно договориться, он может предоставить что-нибудь на подобие MPLS L2 для связи удаленных офисов в единую сеть, но в такой схеме необходимость роутера вооще отпадает, достаточно будет поставить на всех концах свитчи и multilayer свитч в головном офисе и все.

Подскажите мне лучше такой вот вопрос. Как подбирать железо под pfsence. Есть ли рекоммендации по использованию оборудования при различном наборе опций?

[GifteD]

оу-оу-оу.
Мы все смешиваем в одну кучу.

По перформансу.
CPU - 100 MHz Pentium
RAM - 128 MB

Requirements specific to individual platforms follow.

Live CD
CD-ROM drive
USB flash drive or floppy drive to hold configuration file

Hard drive installation
CD-ROM for initial installation
1 GB hard drive

Embedded
512 MB Compact Flash card
Serial port for console

Кеп говорит, кто как только будут включены дополнительный фишки, такие как мониторинг трафика с правилами QOS картина изменится.
Так же у Pfsence есть интересные особенности интеграции с Active Directory.
У меня сейчас ест Pfsence в опытной эксплуатации.
Intel Pentium III 512
CPU usage
(Updating in 10 seconds)
Memory usage
31%
SWAP usage
0%
Disk usage

стоит пинает.

[lp13 Профиль]

А какие функции у вас сейчас выполняет pfsence? Что бы понимать нагрузку.

[lp13 Профиль]

На их сайте нашел описание по требуемому железу:

http://www.pfsense.org/index.php?option ... &Itemid=49

Теперь по хорошему можно стоичные решения делать: Брать железку, ставить на нее pfsence, составлять спецификацию и продавать