Dersom det bare var ruting jeg skulle gjort finnes det sikkert utallige løsninger, men jeg vil ha en skikkelig firewall-løsning, med schedulering, NAT, ordentlige regelsett og helst GB NIC mot de lokale nettene - skal man tyne flere VLAN gjennom ett enkelt GB NIC, inn/ut etter ruting/fw inne i boksen blir det nå ikke mye igjen av gigabit'en til slutt?
Ser ikke helt behovet for Gb-interface i routeren, med mindre du sitter på nettlinje på mer enn 100Mb/s. Eller har du behov for routing internt mellom nettverkene dine også? Uansett er det jo strengt tatt en lag 3-switch med ACL man tradisjonelt ville brukt til det.
Klarer ikke helt se for meg trafikkflyten i nettverkene dine, mulig det er noe jeg har oversett
Ser ikke helt behovet for Gb-interface i routeren, med mindre du sitter på nettlinje på mer enn 100Mb/s. ... Klarer ikke helt se for meg trafikkflyten i nettverkene dine, mulig det er noe jeg har oversett
Det er ikke noe store greier skal du se, men det er som følger: :)
Internettlink via kabelnettet inn til en fw som har 4 bein (C-nett) på innsida: - et bein til 'hovednett' for xbox/tv/PVR/server/NAS/pc for meg og kona osv.
- et bein til en DMZ for lab, dill og dall osv.
- et bein til ungene (med et eget trådløsnett tilkoblet) som har begrenset adgang til vårt nett - de når bilder/musikk/filmer m.m. men ellers stengt, og schedulert 'åpningstid' mot internett.
- et bein til leietakeren - i utgangspunktet fri adgang mot internett men kan 'tunes' om man får en tenåring med store torrent-behov inn der.
Men hovedsaken er mellom 'våre' 3 nett, en 100mb link splitta i flere VLAN vil slite om noen begynner å kopiere f.eks en ISO-fil på noen GB gjennom der...?
Jeg ville brukt en lag 3-switch til det, og en hvilken som helst router. Du kan da sette det opp f.eks. slik: VLAN1 Internet VLAN10 hovednett VLAN20 DMZ VLAN30 barnenett med WIFI/AP VLAN40 leienett VLANXX management-VLAN
Da kan du sette opp routing kombinert med access-lister internt i switchen mellom de forskjellige VLANene, slik at du styrer trafikken slik du ønsker, samtidig som intern kommunikasjon aldri går gjennom routeren/brannmuren. Det er bare Internett-kommunikasjon du vil ha gjennom den.
Dersom du ønsker at den skal kjøre DHCP for alle VLANene må den naturligvis være noe mer avansert og du får noe mer trafikk, men f.eks. WRT54G(X) med Tomato eller DD-WRT skal klare det greit. Da skal du også kunne sette opp scheduling på IP-range, altså at VLAN30 bare har tilgang til Internet i gitte tidsrom.
Hovedbelastningen på interntrafikken bør uansett kun gå internt på switchen - du skal ha en ganske heftig router for å levere 1Gbs throughput på routing, i hvert fall kombinert med FW-tjenester. Cisco sine modeller som koster under 15000 kr klarer ikke dét uten videre...
Jeg ser den gamle 6108 8-porteren jeg byttet ut nå har mulighet for ruting, men aksesslister på switchen, det er nå ikke mulig å styre annet enn på adresse, ikke på portnivå?
Så du mener noe sånt som denne (som jeg vurderer) ikke vil kunne gi meg noe mer enn en WRT54G med ny firmware?
Har ingen erfaring med XMT'en heller, men ser ikke umiddelbart noe du ikke kan få til med WRT54G og ny firmware, bortsett fra multiple WAN-tilkoplinger - men det tviler jeg jo litt på at du har hjemme? Største forskjellen vil antakelig være noe ytelse, men det vil normalt ikke være en issue til hjemmebruk. I tillegg er det kanskje mindre plunder å sette opp XTM'en, men den koster jo også en del mer...
...Du trenger vlan-støtte i routeren, og mulighet til å velge hvilke nett/soner det skal nat'es mellom. Ikke mange rimelige routere som har den muligheten....
Nei, det drar litt opp i pris, det var derfor jeg tenkte å høre her for andre tips.
Ja, som sagt fra kr 900+mva
Routere som er billigere enn det er veldig sparsomme på funksjoner, og jeg ser sjelden noen grunn til å betale mer for noe med mindre funksjoner.
3x 100Mb + 3x Gb NIC, og alle kan fritt konfigureres som external/internal/optional - dermed kan jeg kjøre GB lokalt mellom nettene mine og benytte 100Mb til ekstern/utleie. VPN, opptil 20 VLAN, SPI firewall, schedulering av fw-regler, osv osv. Så litt på de Mikrotek-boksene og som ruter så det ut som det var mye for pengene, men det er vel ikke allverdens av annen gøy på de?
De minste mikrotikene har 5 GB porter.
Som nevnt før har jeg klart å finne EN funksjon som MT ikke klarer: Sourcebased routing over ipsec. For å få en slik funksjon må man opp på toppmodellene til Fortigate eller Cisco til kr 100.000+. (Jeg har kjøpt en brukt cisco til 70000 kun for å få den funksjonen, det var det rimeligste jeg fant. Senere har jeg oppdaget av MT kan også dette ved å kjøre sourcebased routing over ip-ip på ipsec, men det forutsetter at utstyret i den andre enden takler ip-ip på ipsec.)
Ellers kan MT'ne tilsynelatende alt noen annen router kan (noen har riktignok andre navn på enkelte av funksjonene). De kan også mye som er svært sjelden hos andre produsenter: MPLS, brannmur på switch-nivå, suffix uavhengig dns server, STP/RSTP, openvpn (i tillegg til ip-ip, ipsec, pptp, lt2p...), virtualisere seg selv (forestill deg å kjøre vmware esxi med mange virtuelle pfsense maskiner!).... Funksjonene i seg selv er ikke unike, men det er unikt at alt kan gjøres i en og samme boks. Dette er bare noen av funksjonene jeg har hatt bruk for hos kunder, og løst ved å bytte ut deres nyinnkjøpte cisco til 20000 med en mikrotik til kr 900 (eller kr 1500 i større bedrifter). Jeg har alltid et eksemplar av rb750gl i kontorsekken, og rb450g i bilen. Det å kunne bytte raskt hos en kunde har spart kunden for mange timers arbeid og frustrasjon. Det finnes så mye funksjoner at du aldri kommer til å finne ut av mer enn 30%. Og skulle noe ikke finnes, er det bare å legge inn en app eller skrive et script.
Etter at jeg oppdaget mikrotik har jeg ikke kjøp/videresolgt andre routere. (bortsett fra den ene ciscoen for sourcebased routing over ipsec.) Jeg har til nå opplevd DOA på en MT. Resten har fungert feilfritt. Jeg har MT'r kjørende i banker/finansforetak, datasentere og t.o.m Europas største Microsoftpartner er i ferd med å bytte til MT. (De har hatt to stk på prøve et års tid. Ingen har fortalt dem at MT kjører en linux-distro.)
Du kan bruke ssh eller telnet og skrive kommandoer. Det er også et webgrensesnitt som ikke er noe å skryte av. Men det anbefales at du bruker programmet winbox (på windows pc) som er et menysystem tilsvarende det du finner i webgrensesnittet i "vanlige" routere. Men i.o.m at det er et eget program går det mye raskere enn web. Menyene er forøvrig mange, med diverse undermenyer for å dekke alle funksjonene. Menyene du trenger å bry deg om for å komme igang er: Interface (fysiske porter og vlan) IP->adresses (sette ipadresse) IP->dhcp client (evt skru av dhcp klient på wan om du har fast ip) IP->dhcp server (config av dhcp server) IP->Pool (adresseområder for vpn, dhcp, mm) IP->firewall>firewall rules (brannmur) IP->firewall->nat (nat regler) IP->firewall->adress lists (samling av IP'r for å lage en felles brannmurregel for mange adresser) System->users (sette passord)
Og Mikrotik ble det. Etter et par ukers bruk er det bare godord fra min side. Utrolig masse muligheter, knøttliten fysisk, rask og responsivt management med Windows-applikasjonen som følger med.
Har så langt ikke funnet noe jeg brukte pfSense på den gamle PC'n til som ikke denne takler like bra eller bedre, og med veldig lav CPU-load, god ytelse og ikke mer strømforbruk enn ei lita LED-lampe.
Har lekt meg og fått opp regelsett fra og til, port-forwarding for de tjenestene jeg vil nå fra utsida, SNMP-overvåking, schedulering/stenging av internett for ungene til gitte tidspunkt, PPTP VPN, DynDNS-oppdatering, sniffing for portscan med påfølgende svartelisting av IP osv osv.
Det største problemet når man leser alt som finns av tips og løsninger der ute, er å styre seg litt og ikke legge inn alt... :-)
Til slutt må jeg også skryte litt av Petterg, topp service og oppfølging!
Klarer ikke helt se for meg trafikkflyten i nettverkene dine, mulig det er noe jeg har oversett
Internettlink via kabelnettet inn til en fw som har 4 bein (C-nett) på innsida:
- et bein til 'hovednett' for xbox/tv/PVR/server/NAS/pc for meg og kona osv.
- et bein til en DMZ for lab, dill og dall osv.
- et bein til ungene (med et eget trådløsnett tilkoblet) som har begrenset adgang til vårt nett - de når bilder/musikk/filmer m.m. men ellers stengt, og schedulert 'åpningstid' mot internett.
- et bein til leietakeren - i utgangspunktet fri adgang mot internett men kan 'tunes' om man får en tenåring med store torrent-behov inn der.
Men hovedsaken er mellom 'våre' 3 nett, en 100mb link splitta i flere VLAN vil slite om noen begynner å kopiere f.eks en ISO-fil på noen GB gjennom der...?
Arne
2007: Nordbohus Espira spesial m/sokkel, 320m2
2010: Lekestueprosjekt
VLAN1 Internet
VLAN10 hovednett
VLAN20 DMZ
VLAN30 barnenett med WIFI/AP
VLAN40 leienett
VLANXX management-VLAN
Da kan du sette opp routing kombinert med access-lister internt i switchen mellom de forskjellige VLANene, slik at du styrer trafikken slik du ønsker, samtidig som intern kommunikasjon aldri går gjennom routeren/brannmuren. Det er bare Internett-kommunikasjon du vil ha gjennom den.
Dersom du ønsker at den skal kjøre DHCP for alle VLANene må den naturligvis være noe mer avansert og du får noe mer trafikk, men f.eks. WRT54G(X) med Tomato eller DD-WRT skal klare det greit. Da skal du også kunne sette opp scheduling på IP-range, altså at VLAN30 bare har tilgang til Internet i gitte tidsrom.
Hovedbelastningen på interntrafikken bør uansett kun gå internt på switchen - du skal ha en ganske heftig router for å levere 1Gbs throughput på routing, i hvert fall kombinert med FW-tjenester. Cisco sine modeller som koster under 15000 kr klarer ikke dét uten videre...
F.eks. http://www.dustin.no/d-link-24-port-10-100-1000-4-port-sfp-gigabit-smartpro-switch/product/5010610697?intcmp=searchProvider_dacsa vil klare dette greit for en OK penge. Skaffer du et Wifi-AP med PoE kan du dessuten skru av strømmen på tid; da er du ganske trygg på at ungene ikke får tilgang den veien...
Så du mener noe sånt som denne (som jeg vurderer) ikke vil kunne gi meg noe mer enn en WRT54G med ny firmware?
Arne
2007: Nordbohus Espira spesial m/sokkel, 320m2
2010: Lekestueprosjekt
Har ingen erfaring med XMT'en heller, men ser ikke umiddelbart noe du ikke kan få til med WRT54G og ny firmware, bortsett fra multiple WAN-tilkoplinger - men det tviler jeg jo litt på at du har hjemme?
Ja, som sagt fra kr 900+mva
Routere som er billigere enn det er veldig sparsomme på funksjoner, og jeg ser sjelden noen grunn til å betale mer for noe med mindre funksjoner.
De minste mikrotikene har 5 GB porter.
Som nevnt før har jeg klart å finne EN funksjon som MT ikke klarer: Sourcebased routing over ipsec. For å få en slik funksjon må man opp på toppmodellene til Fortigate eller Cisco til kr 100.000+. (Jeg har kjøpt en brukt cisco til 70000 kun for å få den funksjonen, det var det rimeligste jeg fant. Senere har jeg oppdaget av MT kan også dette ved å kjøre sourcebased routing over ip-ip på ipsec, men det forutsetter at utstyret i den andre enden takler ip-ip på ipsec.)
Ellers kan MT'ne tilsynelatende alt noen annen router kan (noen har riktignok andre navn på enkelte av funksjonene). De kan også mye som er svært sjelden hos andre produsenter: MPLS, brannmur på switch-nivå, suffix uavhengig dns server, STP/RSTP, openvpn (i tillegg til ip-ip, ipsec, pptp, lt2p...), virtualisere seg selv (forestill deg å kjøre vmware esxi med mange virtuelle pfsense maskiner!).... Funksjonene i seg selv er ikke unike, men det er unikt at alt kan gjøres i en og samme boks. Dette er bare noen av funksjonene jeg har hatt bruk for hos kunder, og løst ved å bytte ut deres nyinnkjøpte cisco til 20000 med en mikrotik til kr 900 (eller kr 1500 i større bedrifter). Jeg har alltid et eksemplar av rb750gl i kontorsekken, og rb450g i bilen. Det å kunne bytte raskt hos en kunde har spart kunden for mange timers arbeid og frustrasjon.
Det finnes så mye funksjoner at du aldri kommer til å finne ut av mer enn 30%. Og skulle noe ikke finnes, er det bare å legge inn en app eller skrive et script.
Etter at jeg oppdaget mikrotik har jeg ikke kjøp/videresolgt andre routere. (bortsett fra den ene ciscoen for sourcebased routing over ipsec.)
Jeg har til nå opplevd DOA på en MT. Resten har fungert feilfritt. Jeg har MT'r kjørende i banker/finansforetak, datasentere og t.o.m Europas største Microsoftpartner er i ferd med å bytte til MT. (De har hatt to stk på prøve et års tid. Ingen har fortalt dem at MT kjører en linux-distro.)
EDIT: Nevermind, fant denne.
http://wiki.mikrotik.com/wiki/Manual:Initial_Configuration
Arne
2007: Nordbohus Espira spesial m/sokkel, 320m2
2010: Lekestueprosjekt
Interface (fysiske porter og vlan)
IP->adresses (sette ipadresse)
IP->dhcp client (evt skru av dhcp klient på wan om du har fast ip)
IP->dhcp server (config av dhcp server)
IP->Pool (adresseområder for vpn, dhcp, mm)
IP->firewall>firewall rules (brannmur)
IP->firewall->nat (nat regler)
IP->firewall->adress lists (samling av IP'r for å lage en felles brannmurregel for mange adresser)
System->users (sette passord)
Jeg tar en slik RB750GL om du ikke mener jeg vil se merkbar bedre ytelse på den hakket over.
Send meg en pm/mail på hvordan vi gjør det videre.
Arne
2007: Nordbohus Espira spesial m/sokkel, 320m2
2010: Lekestueprosjekt
Har så langt ikke funnet noe jeg brukte pfSense på den gamle PC'n til som ikke denne takler like bra eller bedre, og med veldig lav CPU-load, god ytelse og ikke mer strømforbruk enn ei lita LED-lampe.
Har lekt meg og fått opp regelsett fra og til, port-forwarding for de tjenestene jeg vil nå fra utsida, SNMP-overvåking, schedulering/stenging av internett for ungene til gitte tidspunkt, PPTP VPN, DynDNS-oppdatering, sniffing for portscan med påfølgende svartelisting av IP osv osv.
Det største problemet når man leser alt som finns av tips og løsninger der ute, er å styre seg litt og ikke legge inn alt... :-)
Til slutt må jeg også skryte litt av Petterg, topp service og oppfølging!
Arne
2007: Nordbohus Espira spesial m/sokkel, 320m2
2010: Lekestueprosjekt