даєш Інтернет

про маршрутизатори

Інтернет - це безліч комп'ютерних мереж, об'єднаних між собою спеціальними пристроями - маршрутизаторами. Маршрутизатори, як видно з назви, вказують пересилаємим даним правильний нарямок руху до адресата. Такі собі регулювальники на перехрестях мереж.

Як підключитися до Інтернету?

Для підключення до Інтернету одного комп'ютера, вам достатньо ввести мережеві налаштувати, згідно рекомендацій вашого інтернет-провайдера. Якщо потрібно підключити до Інтернету одночасно кілька пристроїв, то вам буде необхідно об'єднати ці пристрої в одну локальну мережу, а в точці з'єднання з мережею провайдера встановити маршрутизатор з налаштуваннями для роботи в мережі вашого провайдера. У більшості випадків достатньо буде типового маршрутизатора за 10-20у.о.

Основні функції типового маршрутизатора:
- організація локальної мережі (Сучасні девайси дають можливість організувати як провідну, так і безпровідну мережу), автоматична роздача мережевих налаштувань користувачам (сервіси DHCP, DNS).
- забезпечення можливості прихованої одночасної роботи внутрішніх користувачів в зовнішніх мережах (провайдер бачить лише 1 пристрій - маршрутизатор, все що за ним знаходиться приховано).

В деяких випадках можливостей типового маршрутизатора не достатньо. Наприклад:
- вам потрібно мати резервний канал від іншого провайдера, з автоматичним переключенням при пропаданні основного.
- потрібно обмежувати швидкість доступу до Інтернету рядовим співробітникам (пропускна здатність зовнішнього каналу не резинова).
- потрібно обмежувати користувачам доступ до певних сайтів.
- критичні для затримок дані маршрутизувати без черги.

З такими забаганками потрібно більш функціональний пристрій. І він у вас є. Ви ж пам'ятаєте, що всі сучасні гаджети - це закамуфльовані комп'ютери з правильним софтом. Комп'ютер знайдеться у загашничку, а софт я підкажу..

Дистрибутив pfSense

дистрибутив для створення файрвола/маршрутизатора, побудований на базі відкритої операційної системи FreeBSD, відомий своєю надійністю та функціональністю. Дистрибутив зібраний за принципом "Do More with Less" - мінімальний за розміром, але з величезними можливостями розширення та областями застосунку. Підійде як для малого офісу, так і для мережі корпоративного/операторського класу.

Переваги pfSense

- мінімальні вимоги до "заліза"
- безмежні функціональні можливості: від типового маршрутизатора до межового контролера для мережевих сервісів. Потужний файервол, проксі, АТС (Asterisk або FreeSWITCH), сервер доступу, робота в високодостопному режимі (HA - high availability) і багато чого іншого по силам pfSense.
- вся конфігурація зберігається в одному текстовому файлі зі зручним бекапом/відновленням.
- добре документоване рішнення, в мережі є товстенна кулінарна книга, по приготуванню з pfSense як основних блюд, так і десертів..

Мені цей дистрибутив полюбився в часи, коли я займався ip-телефонією - дуже привередливої до якості роботи маршрутизатора. А після знайомства з технологією віртуалізації комп'ютерного обладнання, pfsense став для мене основою при оптимізації локальних мереж і не тільки..

Альтернативи

- опенсорс рішення збудовані на чистих *nix ОS: FreeBSD, NetBSD, Linux. Безкоштовно, необмежені можливості, не мінімалізм.
- дистрибутиви оптимізовані під функції маршрутизатора. Вони є, але я зупинився на pfSense - першому і ліпшому.
- спеціалізовані прошивки для деяких спеціалізованих пристроїв. Наприклад OpenWRT. Безкоштовно.
- дистрибутив чи спеціалізований пристрій від microtik. Платно.


Приклади використання pfsense

1. офісний роутер. Класика

Потрібно:
- 1 WAN інтерфейс, 1 LAN інтерфейс.
- роздача адрес 192.168.20.0/24, аліас з прихованої мережі 192.168.10.0/24
- можливість контролювати навантаження на мережевих інтерфейсах (WAN-LAN) - бачимо графіки в реальному часі.
- можливість обмежувати користувачам швидкість доступу
- потужний файрвол, який приховує внутрішню мережу від "дикого" зовнішнього світу, з легкістю справляється з прокиданням портів на внутрішній веб-хостінг, IP PBX.
- можливість шейпити (обмежувати швидкість) трафік, надаючи перевагу чутливим сервісам (телефонія в моєму випадку)
- доступ ззовні лише по ssh, що дозволяє додатково без зайвого програмного забезпечення робити безпечні тунелі на внутрішні ресурси (внутрішні веб-сервіси). 

Старенького комп'ютера під цей скромний функціонал не знайшов, тому розмістив pfsense на віртуальній машині (256МБ оперативки, 2ГБ вінт).
Товаришу pfsense замінив ширпотребовський роутер, який "вішавсь" при спробі отримати через нього дані з зовнішньої бази даних.

2. просунутий dhcp-сервер

інтернет-провайдеру потрібно роздавати своїм абонентам мережеві налаштування. Діючим абонентам видаєм "білі" ip і маршрут до знань, іншим - "сірі" і тупік.
З "коробки" pfSense вміє роздавати мережеві налаштування прив’язані до фізичної адреси комп’ютера. Але в мене вже була працююча зв'язка білінг-сервер доступу, де саме білінг зберігає всі налаштування для абонентів і керує сервером доступу. Залишалось лише реалізувати генерацію налаштувань dhcp-сервера на основі даних білінга. Обійшовся написанням простого php-скрипта, який періодично оновлює дані..

Реалізація: віртуальна машина з мінімальною конфігурацією (аля офісний роутер), стандартний дистрибутив з декількома правками.

3. Сервер доступу провайдерського рівня

pfsense має весь необхідний функціонал для роботи в якості сервера доступу, а можливо і в якості основного маршрутизатора в Інтернет. Під питанням, чи вміє він з bgp коректно працювати? Тестувати на живих абонентах рука не підіймається. Чекаю кінця світу..

.А так ідея дуже крута, перейти від кастомного комплексного рішення (маршрутизатор, шейпер, файрвол,.. на FreeBSD) до стандартизованого коробочного рішення на базі одного/кількох pfsense. 

4. Просунутий офісний роутер

Мається колцентр на 20+ робочих місць.
Задача:
- організація локальної мережі в офісі
- роздача інтернету
- для надійності в офіс приходять лінії від 3 інтернет-провайдерів
- в локальній мережі розташовано 2 ip PBX з десятком транків.
- нарікання на погану якість голосового зв'язку
- мається адмін початкового рівня, він же менеджер колцентра
- працюємо дистанційно.

Рішення:
pfsense на віртуалці:
- вміє працювати з кількома аплінками в різних режимах,
- потужні можливості файрвола по прокиданню портів для внутрішніх, а згодом вияснилось, на додачу ще й для зовнішньої віртуальної АТС.
- ssh тунель забезпечив мені зручну роботу з налаштування Астерісків в локалці.
- наявність графіків поточного завантаження мережевих інтерфейсів, вказали на джерело проблеми з періодичними погіршеннями якості телефонного зв'язку. Проблема виявилась в одночасному автоматичному оновленні даних Dropbox`ом на 20 внутрішніх ПК, що робило скачок в десяток Мбіт/с. Порекомендував перейти на локальний файл-сервер, який і підняв на сусідній віртуальній машині на базі відкритого дистрибутиву FreeNAS.

Задачка на оптимізацію

- колцентру для роботи потрібний надійний інтернет-канал.
- в офіс приходять лінії від двох провайдерів
- адмін - за викликом (оптимізація)
- мікротіки не подобаються адміну, який налаштовує телефонію. ніасіліл. Софтовий лякає можливістю не прокинутись після пропадання електроживлення в офісі (економія на ДБЖ та на кваліфікації адміна). Знайшли "залізяку" на 2 WAN-порта.. Ніби і дорого, а ніби і ні.. Все відносно.

Але якщо у вас надійне електроживлення, чи маєте резервний "тазік" на підхваті.

користуйтеся pfSense!