Мне нужна железяка, на которой я смог бы настроить следующее:
Собирать статистику по сайтам, кто и куда ходил из внутренней сети.
Резать скорость пользователям.
Ограничивать кол-во трафика пользователям.
Ограничивать доступ к сайтам(соц. сети и т.д.)
Всевозможные VPNы, OPENVPN, что там ещё? :)
Чтобы было несколько WAN портов, чтобы можно было резервного провайдера поставить, и чтобы на него переключение шло если на основном обрыв.
Вроде всё.. больше не требуется ничё..

pentium100 + linux|frebsd + обычный squid на нем

на помойке поищи pIII-800 + 256 оперативы должно хватить

(1) не, пентиум 100 боюсь шифровать впны успевать не будет - будет подтормаживать :)

(3) ну насчет впн лучше поставить апартный dir2000 и не мучаться, там будет проще даже

А и главное найди норм.линукс админа что б один раз то все поставил и настроил.

(4) нееееееееет, только не длинк! Это кусок листочка. А так Циску для бедных - Линксис (тока прошивку ставь новую всегда).

(1) Да это понятно.. железку то купить не проблема.. а вот время и мозгов чтобы в нужные сроки всё освоить и настроить как надо.. нету :(

Хотелось бы чё-нить попроще, с веб интерфейсом... пару галок тыкнуть и ок.

(1) авторизацию по айпи? прощай красивая динамика?

UserGate, последняя версия зело хороша.

из заметных плюсов - прозрачная авторизация, привязка зверя к NTLM

Может быть подойдет pfsense ? это freebsd, заточенный под интернет-шлюз, как раз с веб-интерфейсом "пару галочек"

мозгов чтобы в нужные сроки всё освоить и настроить как надо.. нету >>
тогда винда и (10)

(8) ну вообщето для линукс есть webmin или как то так он там звучит, там только через гуи интерфейс все настраивать. Сам не учи, нафиг надо, найди знакомых, такое через инет могут все поставить.

(6) хз.насчет длинка (зато дешевый), вроде работает 40 шт.впн одновременно на нем счас и все норм.))

Endian Firewall  - пользуюсь уже лет 5, доволен
http://www.endian.com/fileadmin/newsletter/2.5_efw/efw-25.html

(0) Mikrotik

(16) а разве он умеет все то, что в (0)?

(17) И еще больше, но нужны мозги, что бы настроить

(17) он всё умеет :) это фря и циска в одном флаконе
http://habrahabr.ru/post/186284/ - микротик и три провайдера
http://habrahabr.ru/post/151951/ - микротик и cisco vpn
Так же в нём сразу и вайфай, и vpn/pppoe серверы-клиенты, тунелирование, динамическая маршрутизация (bgp, ospf и проч.), прокси, самба-сервер.
Цена девайса 3-5т.р
Использую более 4ёх лет, нареканий нет.

(18) да ты что !!!, а мужики то не знают

(18) так gui и всё интуитивно понятно :)

кстати в (19) первая статья моя :) в 20 городах такое соединение использую - работает, как часики.

тьфу, вторая :)

(19) и это тоже?
Собирать статистику по сайтам, кто и куда ходил из внутренней сети.
Резать скорость пользователям.
Ограничивать кол-во трафика пользователям.
Ограничивать доступ к сайтам(соц. сети и т.д.)

(24) да :)

на микротике даже астериску можно поднять для ip-телефонии

http://www.technotrade.com.ua/Articles/how_to_limit_throughput_mikrotik.php - ограничение скорости
http://dfiles.ru/files/o9aay4r59 - ман по простому учёту трафика на mikrotik

один косяк очень неприятный у микротиков, с которым столкнулся (но не критический) - не работает ospf в тунелях

(25)все конечно хорошо, только вот что то не нашел как
Ограничивать доступ к сайтам(соц. сети и т.д.)

Можете модель Микротика порекомендовать конкретную для небольшой сети (от 3 до 10 компов) ?

ideco

(30) Я беру в филиалы Mikrotik RouterBOARD RB2011UAS-2HnD-IN - он и стоит в районе 4т.р, и возможность воткнуть в него флешку с мобильным тырнетом для запасного канала, либо внешний винт под шар-сервер. RB450G - весь гигабитный, но в нём 5 портов и нет вайфая и usb, зато дешевле (ненамного правда)

(31) вещь хорошая, но цена оооооочень завышена, имхо. Скорее всего из-за сертификации - для образовательных и гос.учереждений скорее.
Кстати, не в тему - столкнулся с тем, что в гос.учереждения нельзя ставить freebsd :( ток линукс, и то не каждый

(26) Не встречал. Дай ссылку, очень интересно.

(0)Чтобы все запросы - это только комп+дистрибутив, типа зентала или пфсенса.

Или микротик.
Микротик - мелкий, дешевый и не шумит,  но замучаешься настраивать если не спец.

А в дистрах там все красиво, хотя если не спец, то все равно замучаешься.

(34) http://a.dmin.pro/?p=3680 - asterisk на mikrotik. Можно ещё погуглить, есть более удачные примеры, но и это можешь глянуть, общая рабочая идея тут описана.

(37)Так какую модель то взять? Мне бы точно :) Я куплю.. и понастраиваю.. чай разберусь..

(38) - RouterBOARD RB2011UAS-2HnD-IN эту бери, wifi, usb, poe, очень шустрая и 10 портов, да и стоит не дорого. Имхо, наверное самая удачная бюджетная модель у них на сегодня.

(39) Спасибо большое.. надеюсь статистику сможет собирать тоже, сайты и через DNSы запретить можно. Приобрету.. и если не разберусь, жди меня в аське :)

По статистике почитай, я там ссылку на ман в pdf скинул, прогуглись, ну и всегда можно статистику собирать и скидывать в нужное место по netflow, если свой биллинг какой есть, или обработчик. Сайты можно запретить через черные листы, подняв на микроте проксю, пожно тупо файрволом, опять же листами, списками, IP, домены со спец.выражениями.

Пользовался ideco ics, крутилась она на виртуалке, использовала 2 сетевых карты. Всё из требования (0) умеет.
Для WiFi был отдельный роутер.

Решил эту кучу заменить одним устройством:
mikrotik rb951g-2hnd
Всё получилось. По мере появления новых потребностей, нагуглив маны, через небольшое время микротик допиливается и работает, не глючит.

+(42) 2 wan и остальное lan

(42) Допиливается? В настройках или что вы имете ввиду?

БэУ ноут какойнить (места немного и прочее) и Kerio

(44) да в настройках или установке доп.пакетов.

(44) имеется ввиду настройки. плюс, что можно делать почти что угодно, что позволяет процессор, память и RouterOS.

Этим он отличается от роутеров для домохозяек, где есть защита от дурака и его трудно сломать.

микротик можно превратить в кирпич настройками, и можно сбросить все настройки к заводским.

(47) Можно делать что угодно если ты шаришь unix системах, да?

Ну я то всё что мне нужно в (0) смогу сделать без доработок на нём, да? mikrotik rb951g-2hnd

доработки=настройки
можешь настраивать хоть через гуй, хоть через консоль

Возможности у ВСЕХ микротиков - одинаковые. ОСь - одна.

Различаются они только по конфигурации железа (наличие вайфай, усб, sfp для оптоволокна, количество памяти и проч).

http://www.pfsense.org/

+(52) если с англ. проблем тогда тут http://ru.doc.pfsense.org/index.php/Возможности_pfSense

+(53) работает на древнем целероне с флешки 1Гб ... обслуживает офис 20 компов

+ за Mikrotik. Хотя все равно для таких настроек надо разбираться.

20 компов как-то мало.. у меня 50+
Я не думаю что 50 много.. dir100 же справляется.. ну бывает виснет редко когда.

(48) да, желательно в линуксе шарить ;)
поэтому относительная дешевизна роутера (или бесплатность линукса) обратной стороной медали имеет необходимость нести затраты на специалиста или самому разбираться, тратить время/деньги.

Солидарен с Черт

Интересно, что сейчас с авторизацией придумали, неужели надо каждый раз вводить пароль и логин

(29)Это вообще банально делается на любом файерволе, т.е это умеет любой SOHO роутер, не говоря уж про микротик

(58)В чем солидарен? Что микротик не умеет все из (0)?
Дак он умеет.
Разве что статистику собирать - флешка нужна, в некоторых моделях микротика просто некуда ее писать.

А где первые сообщения? Куда они пропали? :(

(62)Никуда не пропали, все на месте.
Нажми кнопку "все сообщения"

(63)спс

(56) канал в пару мегабит?

(56)На пятдесят пользователей не всякий микротик справится, надо смотреть серьезную железку, за серьезные деньги.
Я думал у тебя там десяток пользователей.

dir100 не может справится более чем с одним пользователем, там проц вообще дохлый. Про пятдесят это ты пошутил наверное.

Ну или действительно у тебя канал в пару мегабит.

(0) "Резать скорость пользователям. " - провайдерством решил заняться?

(67)А при чем тут провайдерство?
Если при одном канале интернета пользователей более одного, то  уже появляется необходимость в резке.

(61) можно узнать как он блокирует страницы (не адреса) ?

(69)Встречный вопрос-
А где в сабже сказано, что страницы необходимо блокировать не по адресу?

Ограничивать доступ к сайтам(соц. сети и т.д.)  (с)

на одном адресе может быть масса сайтов

(72) http://network.24sport.info/mikrotik/mikrotik-proxy-howto-filter-deny-youtube-odnoklassniki/

(72)По большому счету их проблема.
Хотя никто не запрещает указывать имя вместо адреса.

(66) 60 мегабит.

(72) Да это ладно.. с этим справится rejector.ru

Ваще отличная вещь.. настраиваемый днс..
Админю я несколько организаций, заблокировал развлекательные сайты.. но некоторые просят включить.. могу прямо с основного рабочего места подправить ДНС для определённой организации.. вобще супер.. молодцы ребята кто придумал.

(60)Ну 60 мегабит дешевый д-линк не потянет точно.
Он на десяти мегабитах заткнется в лучшем случае, и это без правил, если правил навешаешь, то вообще труба.

Ну да... правил нет никаких.. только проброс портов.. а какие правила там можно ещё задать то? О_о

(78)Ну что делает роутер?
Для начала соединение с провайдером - провайдер может просто подключить тебя к сети, а может через впн, - поддержка впн это уже  работа, а если используется шифрование, то очень даже нехилая.
Дальше - как раздавать интернет, маскарадинг устраивать это тоже обработка пакетов, нужно процессорное время.
Фильтры прописал, чтобы не лазили куда не следует - тоже работа.

Проброс портов - можно один порт пробросить, а можно штук сорок правил проброса портов написать. И сотню правил в файерволе, по поводу доступа к некоторым адресам.
Чем больше напишешь, тем больше нагрузка.

А дохлый dir100 не выдаст 60мегабит даже если впн до провайдера без шифрования.

(0) посмотри Zyxel Zywall серию USG. Если нужно 2 WAN Ethernet, то смотреть надо начиная с USG 50.
Bandwith management там есть, но ограничивать трафик пользователям не пробовал. Все остальное, что у тебя написано - пробовал, работает. Единственный нюанс - для SSL VPN там нужно покупать доп. лицензии, зато сразу из коробки наличествует IPsec VPN (если нужно, c L2TP), который ничем не хуже.
Основной плюс USG - очень адекватное поведение самой железки, в отличие от д-линков, схемотехника и ПО которых оставляет желать. Да, стоит не три копейки, но после настройки работает как дома холодильник, настроил и забыл. Пару раз были вопросы - порадовала профессиональная техподдержка на my.zyxel.ru. В общем, посмотрите.

Прочитал тему как "Помогите выбрать Интернет-ШлюХ" ))

80)"Собирать статистику по сайтам, кто и куда ходил из внутренней сети. " - вот это он не умеет
//
У меня стоит работает уже больше 2-х лет

(82) Кое-что можно посмотреть в мониторе System status/Traffic Statistics, если сделать Collect. А для более серьезных применений специальные решения есть http://zyxel.ru/vantage-report

(83)под нее сервер нужен отдельный

В итоге я как понял 3 варианта:
1. Cisco с поддержкой если позволяет бюджет.
2. Сервер с нужным количеством портов + ос + софт плантый или бесплатный.
3. Бюджетная железка роутер + routeros или openwrt/ddwrt

(0) Чорт возьми. Прочитал "Помогите выбрать Интернет-Шлюх"
Зашел в надежде, а тут опять ламерьё..

У нас была куча вриантов на всяких линуксах, в том числе идеко. Стабильность недостаточная, рано или поздно что-то отваливается. Сейчас zyxel usg 100 с платной подпиской - работает как часы, очень прост в настройке, большое количество официальных мануалов на русском.

(85)Все верно.
1)Ну если на циску деньги есть- очень неплохо. Но бюджет ого-го.
2)Самый гибкий вариант - можно сделать что угодно, и под любую нагрузку, за вменяемый бюджет.
Софт либо бесплатный:
http://www.pfsense.org/ - навороченный роутер
http://www.zentyal.com/ -роутер, и куча наворотов, типа веб сервера и корпоративного портала.
либо routeros за 600рублей.

3)Самый недорогой вариант - однако  routeros на любую железку не поставишь. Лучше уж сразу микротик брать, и за лицензию платить не придется.

Настравали крупный завод по производству пластиковых окон > 150 компов. Админ все настроил на freebsd. Куча сервисов 4 удаленных завода. 3 провайдера. Все стабильно работает уже 4й год.

А wifi устройства mikrotik сертифицированы в россии?

(85) Морочился с этим вопросом в 2010-2011. Мой выбор - ZyWall, пожалеть пока поводов не было. Циска вещь интересная, но а) это очень дорого; б) и главное: если нужен VPN, то соответствующий маршрутизатор или файрволл Cisco в чистом виде может не помочь, потому что они сейчас не ввозят в Россию версии К9 со стойким аппаратным шифрованием. По крайней мере, такая ситуация была по состоянию на начало 2011 г. Кому нужен VPN - обращайте на это внимание в выбранном вами устройстве.

(90)да

Я заказал - Mikrotik RouterBOARD RB2011UAS-2HnD-IN

У нас в ЦО ZyWall за 50к.. Я не думаю что такие устройства должны столько стоить.. мне кажется мне за 4к подойдёт :)

(92) обзвонил на прошедшей неделе 3х поставщиков - говорят на таможне не пропускают..

(94) А чё взять хочешь?

(94)А при чем тут таможня?

(94) Вот в России
http://mikrotik.ru/
http://shop.nag.ru/

вот подешевле из прибалтики
http://www.eurodk.ru/ru/products/wifi-routers

(96) прочитайте что я писал про циску. Скорее всего, дело в том же самом - средства шифрования не пропускают

(98)Но тем не менее в магазинах есть. Зачем мне таможня?