Neko moje misljenje:

Mozda bih trebao detaljnije da opises topologiju mreze i detalje,ali evo:

Da bi povezao svoju mrezu na internet,potreban ti je ruter.Dakle racunare povezes preko switcha,taj switch na ruter preko LAN prikljucka,a ruter na modem(takodje preko ethernet linka)
Dakle default gateway ce ti biti ruter a ne neki racunar,za "boljim" modemom nema potrebe.
Mislim da ti nije potrebna staticka adresa.

Pozdrav, Marko

_{[Ovu poruku je menjao Marco87 dana 30.06.2008. u 04:24 GMT+1]}

Prvo vodi sta ces dobiti od telecoma. Neki ADSL modemi se mogu prebaciti u routing mod pa ti nece trebati nista sem tog modema (routera).

Hvala na odgovorima.

Pretpostavio sam da ustvari ruter zamenjuje gateway racunar ali sam morao da pitam.

@Marco, bas kao sto si opisao tako i treba da bude. Nema potrebe da preciznije objasnjavam topologiju jer je to u principu jedan LAN sa 2 24-portna neupravljiva svicha.

Interesuje me jos, da li je potrebno nesto jos podesavati ruter ili sam radi odmah?
I ako bi zamenio ove sviceve upravljivim svicevima, da li bi time izbacio potrebu za ruterom?

@Dario, stvarno ne znam kakav ADSL modem dobijam od telekoma, ali hvala na postu.

Hvala unapred.

Uglavnom provajderi daju vec podesen uredjaj, mada Telekom ima varijantu da uz ADSL prilljucak,
daje samo modem i podesavanja (user/pass za pravljenje PPPoE konekcije), a korisnik se snalazi sam za ruter i za podesavanje istog.
Ne znam da li imaju varijantu sa ruterom, neka me neko ispravi.


Ovo nema nikakve veze sa tvojom problematikom, napravio bi komplikacuju ako bi uzeo upravljive sw i krenuo da drljas sa vlan-ovima :)

Ok. Hvala. To mi je bilo potrebno.

Nije ovo toliko velika mreza i nema komplikacije da bi sad trebao da zakomplikujem. :)

BTW. Kada smo vec kod te teme, gledam TP-Link-ov sajt i imaju prilicno dobru ponudu. Ako bi se pazario neki ADSL ruter, prakticno bi se izbacila potreba za razdvojenim ADSL modemom i ruterom. Tacno?

Da li ADSL2 ruter moze da radi sa ADSL-om?

Ako neko ima zamerke sa TP-Link-om, ima li neko preporuku nekog drugog rutera?

Opet, Hvala unapred.

U sustini ti si sve vec sam dobro stavio - treba ti jedna sprava koja radi kao gateway za tvoju mrezu ka internetu. To moze biti ruter, ili moze biti neki PC. Moja iskrena preporuka je da ne uzimas najjevtiniji urtedjaj, ako si vec dao veliku kolicinu novca za 30 XP desktopa i Win 2k3 server sa preko 30 CAL-ova, onda je red da i das par stotina evra za dobar mrezni uredjaj.

Sad, prvo - "upravljivi" svic ti nece pomoci. Mogao bi ti pomoci neki koji ima full Layer 3 podrsku za IP, ali takav kosta malo vise :D, plus to i dalje nije najbolje resenje. Ono sto bi bilo najbolje je da kupis ne ruter vec neki firewall, da ti ne radi samo kao gateway vec i da ti, bar malo, stiti tu mrezu. Neko fino resenje za mrezu te velicine je Cisco ASA 5505. Ako ti je to skupo, onda razmisli o resenju tipa PC + *nix (Linux, *BSD, Solaris...) - samo je bitno da PC ima dve mrezne karte. Najjevtinije resenje je neki Linksys, ali za malo vecu mrezu je bolje uloziti u malo bolju opremu, posebno sto za mreze te velicine moras imati i rezervu za neki, bar neplanirani, rast.

Nikola, divno si odgovorio. Ali znas kako narod kaze, "koliko para toliko muzike". Kao sto mnogi administratori znaju, ne zavisi uvek od njih sta ce da se kupi, vec od "gazde"... :)

Elem, kada si vec rekao, Cisco ASA 5505 je stvarno profi oprema i veoma joj se divim.

Da li bi mogao da kazes koja minimalna konfiguracija racunara bi bila ako bi se za gateway koristio PC da se iole solidno radi sa internetom?
Pomenuo si i LinkSys-a. Ne smatram da su balavajzeri, ali treba mi neko srednje resenje koje bi za barem nekih 6 meseci do godinu dana okrpilo posao. A onda bih potrazio vise novca za ozbiljniju stvar. Ovako se ja nalazim u grcu. Hoce nesto, a to je opet skupo. Nadam se da me razumes...

A evo sad upravo pretrazujem internet i nadjem neki Cisco ruter 830 za koga nisam bas shvatio da li ima Firewall...

Znaci ako je PC, sta da se koristi, a ako je neki ADSL ruter, opet koji bi Ok.

Izvini za davljenje i opet hvala unapred.

Recimo da ima 256MB RAM-a. :) 512MB je vec puna kapa :D. Procesor, paaa.... neki Pentium, po mogucstvu P II / P III. Bilo koji disk. Jedino stvarno bitno je da ima dve mrezne karte - jednu za modem, drugu ka mrezi. Glavna fora je da ti neko to lepo sredi i instalira softver.... Hardver nije neki problem. Sa 512MB - 1GB mozes vec da dignes i webmin, i proxy i svasta....

Meni na stolu stoji WRT54GL i radi mi OK, ali to je kuci za 3 racunara. Na poslu za 15-tak imamo ASA-u, od pre godinu dana - kad nam je crko PIX. Znam dosta ljudi kojima Linksys radi posao, ali ne za 30+ racunara. Za 5-10 da, ali ne za 30. Sad, Linksys nije losa firma i imaju oni i te "business" serije, ali to nikada nisam probao, tako da jednostavno ne mogu da ti dam preporuku.

Moze da ima :). Cisco ruteri imaju OS koji se moze dobiti u vise verzija, a jace i naprednije imaju i firewall. Sad, koliko citam, 831 standardno dolazi sa IP/FW/IPSec 3DES setom, sto ce reci da on treba da ima firewall.... To nije losa sprava, malo je spora, ali ce ti zavrsiti posao i dosta dobro raditi. Problem je sto je jedino mozes dobiti polovnu, pretpostavljam sa neke aukcije, a to ne znas ni gde je ni kako radilo ni koliko ce jos dugo da radi, a nemas ni nikakvu podrsku. Kao i sva polovna roba, jednostavno dobijas poslovicnu "macku u dzaku".

Ajd i ja da stavim mojeg favorita: Routerboard npr rb532A (3 eth porta), sa MikroTik OS ili RouterBoard 450 (5 eth portova). Nikako ne bih stavljao glomazni PC racunar da zauzima prostor, kad funkciju rutera/firewall-a moze da radi uredjaj koji je velicine omanjeg 8-portnog switcha.
Za najjednostavnije resenje ipak savetujem da uzmes Tompson ADSL ruter (koje i Telekom preporucuje) i on ti je sasvim dovoljan i za internet i za zastitu mreze, jer ima i firewall.
Po meni, apsurdno je kupovati Cisco ASA za ADSL link, koji kosta Boga oca, naspram jeftinih, a asvim dobrih RouterBoard uredjaja.

Tvoje misljenje. Ja bas izbegavam MikroTik, jednostavno zato sto on ne moze da uradi bas nista sto ne moze da uradi i genericki Linux, dok taj Linux moze stvari koje ovaj ne moze. Takodje, covek koji ima vec 30+ desktopa verovatno ima jedan koji stoji negde, pa mu je cena beskonacno puta manja nego da kupuje taj hardver.

S'druge strane, postoji jako puno razloga zasto ASA. Posebno obezbedjen dizajn, mogucnost da, ako pukne, ostane zatvoren, stabilnost, podrska, kao i cinjenica da ces uvek naci nekoga da ti podesi Cisco. Mozda je apsurdno za ADSL, ali nije apsurdno za 30+ desktopa, za koje treba JAKO pouzdano resenje, a i koja vrlo lako moze da sutra uzme neki ozbiljniji link. Takodje, taj ASA je ispod 1000E, a samo su ga windows licence kostale 3-5 puta toliko. Takodje, "ima firewall" i "ima dobar i proveren firewall" su nebo i zemlja.... Taj Tompson i ASA nisu bas sprave za porediti....

Slazem sa svima sto su rekli.

Nikola, tacno je da je mnogo glupo porediti profi opremu od Cisco-a, ali u ovom trenutku nije potreban stabilan internet za svih ~30 korisnika. Mislim, potreban je stabilan internet ali nece svih 30 da izadju na internet i radi se samo o email-ovima za sada. Gazde verovatno zele da vide kako to sve izgleda u mrezi pa ce mozda biti kasnije zainteresovani za stabilnije i mnogo profi opremu. U ovom trenutku mislim da je mnogo bolje postaviti ono sto vec imam, a imam jedan komp koji mogu da nabudzim onako kako si rekao sa nekim Linuxom. Posto se razumem u Linux koliko-toliko, snaso bi se sam za to.
Kasnije, ako se vlasnici opredele za kvalitet+jaci internet, naci cu nekog da konfigurise Cisco.

U svakom slucaju, Hvala puno svima na odgovorima. Mnogo su mi pomogli.
Goran.

Opet se ne slazemo u nekim stvarima ali to je i normalno. Dva ljudi, dva cudi, dva misljenja :).
Verujem da je moguce mnogo toga vise napraviti na Linux-u (ne poznajem ga bas dobro), ali sve stvari koje su mi u dosadasnjoj praksi trebale, mogle su da se odrade preko MikroTik (IpSec, VPN Server/Client, PPPoE, Firewall, DHCP Server/Client, itd...). Naravno, uvek se moze neko naci ko ce podesiti Ciska, ali se isto tako moze naci neko ko ume da podesi i MT. Ovde je pitanje ukusa, ko sta voli, sta je ko navikao da koristi i naravno cena. Routerboard je reda velicine 100-200E.
Nisam hteo da poredim Tompsona i Ciska, nego sam mu to predlozio kao najjeftinije resenje, jer je cini mi se i to trazio :) Bez obzira, Telekom preporucuje koriscenje Tompsona, bilo kao ruter, bilo kao modem (moze se staviti u bridge mod) zbog neke modulacije (drz ne daj) na wan strani.
Da ne zbunjujemo coveka, neka on napravi za sada najjednostavnije resenje, a neka razmislja o postavljanju nekog ozbiljnijeg ruterau buducnosti. Ne verujem da bi se gazda odusevio da mu se trazi jos 200, a kamo li 1000 E za nesto sto vec unapred smatra da mu je nepotrebno :).

Zvuci sjajno, ja bi isto tako uradio.

Joj ljudi, pa ovo je tema bas za mene. Nisam mogoa bolje pogoditi

Nego da ja predjem na stvar.
Kao sto je vec spomenuto, ni moja stvar nije mnogo drugacija. Zelim imati file server sa domain crontrollerom. 10 racunara spojeno na mrezu i svaki racunar mora mocu djeliti iste fajlove. Pored toga, svaki korisnik (racunar) mora imati izlaz na internet.

I STO JE NAJVAZNIJE: Fajl server mora biti zasticen tako da mu se ne moze pristupiti van lokalne mreze (interneta). Cak i da racunari u mrezi budu "most" do fajl servera. To se ne smije dogoditi.
Vidio sam ovaj ASA firewall. Cijena nije visoka ako ce uredjaj odraditi svoj posao kako treba.
Planiram instalirati Windows 2003 Enterprise R2 i podici domain controller. Da li ga preporucujete ili da uzmem nesto drugo (Linux - CentOS, RedHat ?? )

Na koji bi nacin sve bilo najbolje povezati? Ja sam mislio da stavim ADSL router koji vec ima neke zastite, zatim firewall pa onda to sve ide na switch. Korisnike vezem na isti switch. Ukoliko je potrebno, izmjedju servera i switch-a bi ubacio firewall ili dodatni PC za autentifikaciju (dodatnu provjeru korisnika).

Moze li ovako i valjali?
Sto meni predlazete?

ASA ima vise portova, mozes u jedan ubosti server, a u ostale switch, ili cak pojedinacne korisnike - ali ne ocekuj da ce ti ASA 5505 (ili bilo koji firewall koji mozes da prisustis sebi) filtrirati brzinom od 100Mbit/s ili vecom. Znaci, ne ocekuj full kontrolu svega u mrezi.... Nesto osnovno da, ali ne i full detaljne kontrole. Resenje ti je po meni dobro: ruter u ASA-u, switch u ASA-u a server u nju samo jednom mreznom koja ide na internet - ako zelis da imas na tom serveru i neke internet servise.... Kao neki DMZ. (Za ovo proveri koju verziju softvera uzimas :D).

Kako zamisljas da racunar u mrezi bude most do servera? Firewall moze da ti, dobrim delom, zastiti racunare u mrezi od toga da se ka njima direktno otvori konekcija (osim ako nemaju i modem u sebi ili nesto slicno), ali ne mogu da ih sprece da oni otvore kriptovanu konekciju. Ako se to desi, onda onaj na drugom kraju te konekcije moze preuzeti kontrolu nad tim racunarom.... Time, on ima pristup i serveru :D. Sad, to sto on ne pristupa serveru, vec racunaru u mrezi koji onda pristupa serveru - ali to se svodi na isto. Moras nekako zastiti i racunare unutar mreze, to ne mozes izbeci. Za direktan napad ti je firewall prava mera, ali nije dovoljan da zastiti od nekog "call home" trojanca, ili, u krajnoj liniji, korisnika koji to zeli namerno uraditi. Jedina zastita od toga je da nema interneta :D. Dobar firewall, dobar security softver na desktopima i serveru zajedno cine jako pristojnu odbranu koja ce ipak zavrsiti posao sasvim korektno i zastititi te od vecine mogucih napada :).

Za deset racunara ti ne treba Win 2K3 Enterprise. Standard ti je vise nego dovoljan. (Izasao je i Win 2008 Server, to znas?) Sad, za deljenje fajlova ti i Linux vrsi posao, ali ako zelis pravi AD - moraces kupiti Win server. Samba ti moze zavrsiti posao kao Primary Domain Controller a'la Win NT server (centralizovan login, profili na serveru i slicno), ali to nije full Active Directory. Moras se odluciti sta ti treba i koliko si to voljan da platis.

Prije svega zahvaljujem na odgovoru.

Najbolje bi bilo gasiti router kada nije u upotrebi :P hehe. A sta ces mu.. Koliko je dobro rijesenje postaviti CISCO 1800 router na ulaz i firewall koji preporucujete na izlaz (prema switch-u)?? Taj router ima neki firewall u sebi.



Upravo ono sto si ti objasnio. To je ono na sto sam mislio.

Na kupovinu cega si ovdje konkretno mislio??

Ja bih podigao server na kojeg se mogu logirati korisnici (centralizovan login, profili na serveru i slicno) i file sharing. Mislim da bi sa ovim logiranjem korisnika imao manje sanse za upadom u server. Bolje receno, mislim da bi imao vecu sigurnost od upada sa korisnickih racunara.

U ovom bi slucaju firewall na ulazu dobro rijesio stvar. Meni je bitno da imam odvojen intranet i extranet. Odvojen sto je bolje moguce. Pored firewall-a, sto jos preporucujes?

Imam gore navedeni router kojeg bi podesio (jos nisam) i kupio bi jos firewall.

PS: Sta donosi server 2008?? Isplati li ga se stavljati?

Redam odgovor za odgovorom, izvinite zbog toga. Zelim odvojiti pitanja da bi bilo preglednije
Evo ovako, napravio sam neku shemu kako bi to moglo ici. Slika je u prilogu.
Mislim da ubacim autentifikaciju (radius server) tako da kada god korisnik hoce izlaz na internet, mora se autentificirati putem tog servera. Naravno, autentifikacija izvan mreze (sa interneta) nece biti moguca.
Cak i kada je korisnik na internetu, netko tko napada morat ce pogoditi pravi trenutak (kada korisnik surfa), proci firewall i sve ostale zastite. Mislim da bi ovo moglo biti dobro rijesenje.

Dajte mi svoje misljenje!!

Slika je ispod!

OK je to sprava. Malo, ali malo losiji firewall nego ASA. Sasvim dovoljno za takvu mrezu, pod uslovom da uzmes licencu koja ima i firewall u sebi. Problem je sto ce te cisco 1800 kostati dosta vise - mada on i moze dosta toga vise.

Licence. Zato i zamerka na Win Enterprise. Jako je skup.


Stoji. Vodi racuna, za samo centralizovan login ti je i Samba dovoljna. To nije mala usteda na licencama, ako ti Win server ne treba. Dobro razmisli kuda mreza ide i na sta ces trositi novac.



Ako imas Cisco 1800 onda radi sa njim.... Tj. vidi koji softver imas, pa ako imas na njemu firewall, koristi ga, ako ne onda vidi da li ti je jevtinije da dokupis bolji IOS ili da kupis ASA-u. Ako je razlika mala, onda ASA nije lose resenje jer jeste bezbednija.



Mislim da ovo malo previse smara korisnike - do te mere da ce rad biti neupotrebljiv. Radius, 802.1x ili bilo koja autentifikacija imaju smisla samo ako ne znas ko moze da se uloguje - u Lan-u od 10 ljudi to nema nikakvog smisla. Dalje, dva uredjaja za autentifikaciju ledja u ledja nemaju smisla - izbaci taj MT, to moze sve da radi i firewall.

Samo dobro obezbedi te desktope i ne brini. Uvedi im obavezan AV, anti-spyware i slicno. To je dovoljno za sve razumne primene. Za nesto teze od toga, jedina ti je preporuka da im iseces internet skroz. Ja mislim da ti je dobro podesen ruter, firewall sasvim dovoljan, uz dobro podesene i odrzavane desktope.

Lijep pozdrav,

zhavljujem na obrazlozenjima i izdvojenim pojasnjenjima. Evo, dosao sam do rijesenja da izbacim CISCO iz ove mreze (koristit cu ga za nesto drugo), a da ubacim MikroTik RB1000 koji ce mi omoguciti punu kontrolu korisnika, VPN, autentifikaciju i sl. Pored toga, necu imati prige sto se tice wireless veze, veze sa udaljenih lokacija i sl.
Jos cu postaviti da sesije prema internetu isticu nakon odredjenog perioda tako da ce korisnici prakticki biti odvojeni od interneta. Svakako cu im staviti antivirus. Mislio sam ubaciti serversku verziju NOD32 pa da se update-i vuku sa jedne lokacije. (necu se morati puno backati).

Mozda nije losa ideja ubaciti Eset Smart Security pa i tu podesiti sto se moze.

Sto se tice servera, kupit cu licencu za windows, sve staviti da radi i da nemam problema sto se tice komplikovanije konfiguracije. Trenutni server radi preko SAMBA-e (nisam ja podesavao niti instalirao) i mogu reci da se zna bas zagusiti, ne radi kako treba, puca i sl. Mislim da ce mi domain controler bolje raditi sa Server-om 2003 Ent. ed. Ako nista, windows mi bolje lezi od linux-a. Nije mi problem kupiti licence (to svakako moram uraditi jer ne zelim zakon za vratom), na kraju krajeva zelim da radi bez velikih problema u puno znoja.

RB kosta cirka 800 eura ili vam ga 1600 KM sa licencom i level6. Garancija i support ukljuceno.
(Ovaj moj CISCO 18000 neva wireless pa bi tu bio dodatni problemcic).

Znaci, na ovoj slici sto sam postavio, izbacujem router, firewall, a umjesto toga stavljam RB 1000.

Druge ideje????

PS: Stavimo cijenu na stranu. Valja li ova solucija koju sam naveo ili ne. Jos nije kasno pa se da izmjeniti.
Samo recite da li je zastita dobra i sigurna.

Ili da uzmem neki slabiji MikroTik ??
HVALA!!

Prvo, ni u ludilu ne bi zamenio Cisco ruter mikrotikom. Ne postoji nesto sto ruter i asa iza njega ne mogu, a da miktrotik moze. Radius, TACAS, 802.1x, VPN, sta god ti padne na pamet - cisco ima resenje za to. Dva cisca sa support ugovorom (pravom na update i sl.) su mnogo, ali mnogo bolje resenje. Znaci, valja - samo je mikrotik visak - sve mozes da odradis i bez njega :D. Ako vec imas ruter - reci koji, inace 1800 serija ima podrsku za wireless u nekim modelima, a za 1841 mozes dodati wireless i kao karticu.

Za AV bi radije probao nesto bolje od NOD-a. U svakom slucaju zelis centralizovano upravljanje, kao i nesto sto ima integrisan firewall (personal firewall - znaci da proverava aplikacije koje izlaze na mrezu) kao i anti-spyware. Ja imam fina iskustva sa F-Secure resenjem, mozda neko preporuci neko drugo.

Sto se tice servera, ako ti Linux radi posao, ja ga ne bi menjao. Stvar ukusa. Ako vec kupujes Windows server, prvo - mislim da se 2008 isplati, ako nista zbog virtuelizacije, da ne spominjem da ces pre ili kasnije morati da radis upgrade a i gomilu novih tehnologija koje mozda sada neces koristiti, ali deluju jako korisno i pre ili kasnije ce ti trebati. Drugo, mislim da ti je Enterprise verzija bacanje para - koliko ja znam jedini dobitci su podrska za vece racunare i za clustering, sto neces raditi, kao i podrska za jako velike mreze.....

To igranje sa sesijama... ne znam sta da ti kazem. Da seces neaktivne sesije posle pola sata - to je normalno, ali time nista neces dobiti. Da seces aktivne je glupo. Uz sve ove mere bezbednosti, a posebno uz dobro podesene desktope (personal firewall sa centralizovanom administracijom i dovoljno strogo definisanim policijem), mislim da time neces dobiti ama bas nista. Takva mreza je, po meni, sasvim dovoljno bezbedna za sve normalne poslovne i licne primene....

Zelim reci: da bi neko upao u ovakvu mrezu treba da potrosi toliko vremena, resursa i, konacno, novca, da je jednostavnije da nekoga unutar mreze potplati :D. Osim ako nije u pitanju neka agencija sa imenom od tri slova, ovo ti je sasvim dovoljno.

Ne voli čovek MikroTik, pa to ti je :)
Šalim se malo, ništa zlonamerno ne mislim.
LM, da ja imam zadatak da organizujem ovako jednostavnu mrežu, ne bih stavio ni gore omraženi MikroTik ni Ciska.
Necu da se pravim pametan, ali zaista nema nikakvog smisla.
Dovoljnu zaštitu nudi i svaki ADSL ruter koji je već po defaultu dovoljno bezbedno podešen.
Uradi to što jednostavnije i bez bespotrebnih troškova. Radius auth, trajanje sesije, takođe višak u celoj priči.

Zavisi cime se bave. Dobar firewall nije losa stvar, naravno ako mozes da ga priustis :).

Ne mrzim MT, samo ne vidim logiku da se koristi umesto cisca.

Offtopic, problem je u tome, sto ja primenu MT-a vidim, pre svega u nekim terenskim resenjima, zbog kompaktnosti routerboardova. Tamo gde se moze upotrebiti racunar sa pravim linuxom, mislim da on nudi sve sto i MT, pa jos puno toga vise :).

Iz licnog iskustva toplo preporucujem PFSense kao Getway i Firewall.
Inace to je u pozadini Free BSD i poseduje sve sto ti treba i sigurno je bolji od mikrotika za to sto ti treba.
Veoma se lako insatlira.

Poseduje:
Traffic Sheper kojom vrsis prioritiyaciju saobracaja !
Proxy (SQUID) cime ces ustedeti protok.
SquidGuard, zabranices pornografiju ........ samim tim manje virusa u mrezi !
Freeradius AAA server
Podrzava IPSec u oba rezima rada !
Open VPN
PPPOE server
.......
Jednom recju mnogo dobar Getway i Firewall i svima ga veoma toplo preporucujem !

www.pfsense.com

Pozdrav ljudi. Imam jedan problem oko Active Directory na Windows Server 2008 i interesuje me da li mi mozete pomoci? Podigao sam AD i napravio par testnih korisnika (podesio da pamti patch \\server\Users\%hostname% i skript fajl login.bat), ali samo prvom korisniku pamti podatke iz naloga u server, ostalima ne. Znate li kako da mi pomognete? Ista su podesavanja za svakog korisnika. Hvala unapred.