Wybór routera z firewallem dla firmy 20 komputerów, budżet 1500-2000 zł

Witam.

W związku z tym, że serwer na ipcopie pada pojawił się pomysł kupienia sprzętowego firewalla.

Pytanie co można kupić żeby spełniło następujące warunki:

- Sprzęt ma być stabilny - fajnie by było gdyby restartował się codziennie o zadanej godzinie.

- ma mieć podział pasma

- ma mieć możliwość konfiguracji każdego portu oddzielnie ( do jednego z porów ma być podłączony acces point, który ma być odseparowany od sieci i udostępniać jedynie internet.

- ma mieć możliwość blokowania stron - głównie chodzi o wycięcie facebooka po httpsie.

- ma mieć możliwość blokowania proxy - wiem, że to walka z wiatrakami ale przydało by się gdyby router wycinał chociaż część na podstawie jakieś listy, którą sobie aktualizuje. Takie coś było na ipcopie - nie wiem czy jakiś droższy router będzie to obsługiwał.

- oczywiście ma być firewallem.

- ma mieć możliwość przypisywania IP po adresie MAC itd.

Budżet to max 1500-2000 zł

Proszę o propozycje

to brzmi jakby mikrotik za 300pln by mial zadzialac i spelnic wsystkie punkty

Link do modelu, który mam na myśli

Jak prędkość neta download/upload ?

10Mb download / upload 0.80Mb

Jaka metodą wycinasz FB teraz na ipcopie ?
Routerboard wygląda OK, ale konfiguracja 'inna' niż zwykłe routery.

mysiak napisał:

ma mieć możliwość blokowania proxy

Jak masz statyczny IP publiczny to konto opendns ci powinno pomóc.

mysiak napisał:

ociaż część na podstawie jakieś listy, którą sobie aktualizuje

Takie coś jest na 100% w routerboard/mikrotik.

mysiak napisał:

ma mieć możliwość blokowania stron - głównie chodzi o wycięcie facebooka po httpsie.

W MT to się wycina na podstawie listy,
aktulana lista CIDR FB na podstawie ASN FB pobrana z robtex.com i zagregowana https://www.zwitterion.org/software/aggregate-cidr-addresses/

Ok. Czy możecie mi polecić dobry i sprawdzony model MikroTika do tej sieci czy brać pierwszy lepszy bo wszystkie są dobre?

Np. Takie coś na znanym portalu aukcyjnym kosztuje 339 zł.: 951G-2HND MIKROTIK 8083

Czy na tym wbudowanym porcie usb router może już pracować z modemem LTE jako alternatywne źródło internetu w razie awarii?

Ja do swojego domu zakupiłem dokładnie ten, który poleciłem we wcześniejszym poście (LINK), ze względu na gigabitowe porty. Urządzenie potrafi ogarnąć naprawdę grube tematy, a sama opcja pisania skryptów jest olbrzymim atutem. Jedyne co mnie preraziło to moment, kiedy postanowiłem zajechać daną konfigurację z pudełka i zrobić coś po swojemu. Przy pierwszej w życiu konfiguracji serwera DHCP na urządzeniu ze stajni MikroTik zajęło mi to około 2h, zanim zrozumiałem jak to działa, gdzie normalnie zajmuje to nie więcej niz 7-15 minut.

Urządzenie, które sugeruję posiada port USB, gdzie możesz wpiąć modem LTE i z poziomu mikrotika zaprogramować aby w przypadku braku możliwości wysyłania ruchu przez jeden interfejs, ruch był wypychany przez LTE

Ok. Jeszcze jedno pytanie.

Zastanawiam sie nad cena mikrotika. W porownaniu do firewalli zyxella MT jest tani - czy to oznacza ze zyxelle sa jeszcze lepsze niz MT ? Czy warto inwestowac w zyxella skoro moze na MT mozna robic to samo? Skad taka roznica cenowa?

mysiak napisał:

Ok. Jeszcze jedno pytanie.

Zastanawiam sie nad cena mikrotika. W porownaniu do firewalli zyxella MT jest tani - czy to oznacza ze zyxelle sa jeszcze lepsze niz MT ? Czy warto inwestowac w zyxella skoro moze na MT mozna robic to samo? Skad taka roznica cenowa?

mikrotik to chyba łotewska stosunkowo nieduza firma.
W MT głównie płacisz za oprogramowanie. Mozesz kupić sama licencje i postawić router na PC. Taka licencja nie kosztuje wiecej niz 200PLN pewnie. Sa rozne poziomy tej licencji.

Dodatkowo, o ile mi wiadomo, mikrotik nie oferuję suportu. Musisz sobie sam radzić jak coś skonfigurować. Oferuja szkolenia. Ot taki model prowadzenia businesu.

Ma też wady. Oni sa w gorącej wodzie kompani. Bardzo czesto wypuszczaja nowe wersje oprogramowania powiedzmy nie do konca przetestowane Wiec z ostrożności należy aplikować nowe wersje.

Przy okazji oferuja też sprzęt z preinstalowanym oprogramowaniem. Najmocniejszy router to koło 10.000PLN wiec cieżko go nazwać tanim Ale przewali dziesiątki GB/s bo ma 72 rdzeniowy procesor.

Jakbys wszedł do punktów wymiany ruchu gdzies w polsce to ponoc kupa tego sprzetu tam stoi.

W bogatych krajach nie sa zbyt znani. Zaczynali od sprzetów dla WISPow - czyli wszelakich rozwiaan radiowych dla dostepu po WiFi.

Rozumiem. A mozecie jeszcze tak dla porownania polecic jakiegos zyxella do tego zadania? Prawdopodobnie skonczy sie na MT ale jeszcze chetnie przejrzalbym jakas alternatywe

mysiak napisał:

Rozumiem. A mozecie jeszcze tak dla porownania polecic jakiegos zyxella do tego zadania? Prawdopodobnie skonczy sie na MT ale jeszcze chetnie przejrzalbym jakas alternatywe

Ja Zyxela nie potrafie polecic bo go nie znam.

Jeszcze jedna uwaga. Ten polecany 951 za 300PLN ma praktycznie TAKIE samo oprogramowanie jak ten 72 rdzeniowy za 10.000 PLN. Te same funkcje, te same mozliwości. Taka sama konfiguracja.

Więc kupiłem http://cdr.pl/p1868,routerboard-rb951g-2hnd.html

Sprzęt dotrze do mnie jutro. Z tego miejsca chciałbym podziękować wszystkim za pomoc. Przejrzałem sporo materiałów i widzę, że MT ma na prawdę sporo możliwości i będzie trafionym zakupem.

Pobawiłem się też open dnsem. Super sprawa. Mam zamiar z tego skorzystać jednak mam do Was pytanie techniczne, na które nigdzie nie widzę rozwiązania - nawet w sprzętach innych niż MT.

Wprowadzając do sieci rozwiązanie open dns wpisuję w serwerze DHCP MT IP open dns. Komputery z automatu pobiorą sobie to IP i blokady zaczną działać.
Pytanie jak zablokować możliwość korzystania z innych dnsów? Wiadomo, że jak ktoś wpisze sobie inny dns będzie mógł obejść blokady.

Ja wymyśliłem to tak, że można by w ruchu wychodzącym zablokować na porcie 53 wszystkie adresy ip oprócz 208.67.222.222 i 208.67.220.220. Niestety nigdzie nie mogę znaleźć potwierdzenia mojego pomysłu czy tak w ogóle da się zrobić. A Wy jak byście to rozwiązali?

Temat już był poruszany na forum elektrody i jak najbardziej pomysł z blokowaniem ruchu wychodzącego kierowanego na port 53 jest pomysłem mającym prawo bytu.

Zamiast blokować port 53 po prostu przekieruj ten port na serwery opendns,
Wtedy użytkownicy mogą sobie ustawić dowolny IP DNSa i i tak odpytają serwer opendns.

bogiebog super pomysł bo nie trzeba by było zmieniać ewentualnych innych dnsów wpisanych na stałe tylko nie wiem czy dobrze rozumiem.

Mam wpisać w DHCP dnsy open dns a następnie ustawić regułę w firewallu, która będzie mniej więcej wyglądała tak:

dla ruchu wychodzącego sieci 192.168.1.0/24 przekieruj port 53 na adres 208.67.222.222 czy dobrze rozumiem?

Pytam ponieważ nie spotkałem się jeszcze z przekierowaniem portu z wewnątrz sieci na zewnątrz - zawsze było odwrotnie

mysiak napisał:

Mam wpisać w DHCP dnsy open dns a następnie ustawić regułę w firewallu, która będzie mniej więcej wyglądała tak:

dla ruchu wychodzącego sieci 192.168.1.0/24 przekieruj port 53 na adres 208.67.222.222 czy dobrze rozumiem?

tak

Dodano po 2 [minuty]: