Mikrotik.

Tako kratak a tako kompletan odgovor :)

Mikrotik

+1

Druga stvar koju bih preporucili osim mikrotik-a

Osim mtika,da kupis jos par TP Linkova, da proporcionalno pratis rast broja racunara. Znaci na 20 racunara ides sa 4 Tplinka, svaki je razlicit gateway. Naravno ovo treba izvesti da lici na nesto i radi kako treba, eventualno koriscenjem izolir trake, kako bi ih ubandlovao u mini sasiju, ali i sam kazes da stvari ne treba znati povrsno :) :)

Ako nećeš Mikrotik onda Cisko...

Koji Cisko po vasem iskustvu najbolji za dva WAN-a i jedan LAN ?

Polovni :)

Ne zaebavajte coveka se Ciskom za 'vako prostu operaciju :)
Pogledaj na na ovom forumu sta se pise o MikroTik-u. Neces naci toliko jeftino a mocno orudje.

Možeš probati Linksys (mali Cisco) ruter RV042. Ima dva WAN porta.

Ja sam imao loša iskustva sa linksys uređajima, tako da su oni daleko od cisca, osim nalepnice :)

Kreni za pocetak drugom logikom.
Sta ti znas da podesis i sa cime si radio ? Ne znaci nista da ti ovde ljudi pricaju Cisco,Linksys,Mikrotik ako ti ne ovaj Tp link gde se klikce po web interfejsu nisi podesio kako treba.
Za pocetak ako dobro osmislis mrezu,popises potrebe i zahteve, docices do zakljucka sta ti od protokola treba i koje funkcionalnosti, pa ces kupiti uredjaj.
Imas ljude koji na C3945 imaju ip adresu na lanu, jednu na wanu, default routu i to radi i eto imaju "CISKO". To je 0.001% onoga sto taj uredjaj moze

Pozdrav

Evo sta je meni najbitnije u mojoj maloj mrezi, i sta bih trebao da radi taj ruter:

1. Posto posjedujem dva izlaza na internet (2x WAN)
2. Da mogu da od tih 20 racunara verifikujem na router IP+MAC, da onemogucim ljudima da setaju po IP adresama
3. Posto kako sam rekao imam dva WAN-a, da odredjenim korisnicima dozvolim izlaz na WAN1 a drugim na WAN2
4. Da mogu da filtriram odredjene stranice pojedinacnim korisnicima (Web Filter), ovo na tp-linku-u sam mogao samo da radim na principu "svima ili nikom", barem ja nisam drugacije znao da nastimam.
5. Da imam analizu saobracaja u mrezi

to je ono sto je meni najbitnije, tako da mislim da sad bio malo precizni sto se tice zahtijeva moje mreze.





_{[Ovu poruku je menjao bokan2007 dana 12.04.2012. u 13:58 GMT+1]}

Filtriranje web sajtova na ruteru ces teze da odradis, osim ako se ne radi o manjim sajtovima koji su hostovani na jednom jedinom fizickom serveru. Na ruteru najcesce mozes da postavljas filtere po IP adresama, a tom metodom ces npr. Facebook ili YouTube malo teze da filtriras.

Tebi je potreban ili proxy server ili neki kvalitetan content firewall. Ovo prvo je daleko jevtinije, koristi ga dosta kompanija i to lepo radi: zaposlenima zatvore sve portove za izlaz, a komunikacija ide samo sa proxy serverom na kome je podeseno sta ko sme da radi. To mozes da uradis cak i sa hardverom koji trenutno imas (IP filtriranje moze da radi po source i destination adresi).

Ali posto vidim da imas i neka druga pitanja (centrala, ruteri, filtriranje itd.) mislim da ti nedostaje kvalitetan dizajn mreze koji bi obuhvatio sve te celine. Tek kada to napravis znaces sta ti treba od opreme i kako da je postavis.

_{[Ovu poruku je menjao B3R1 dana 12.04.2012. u 14:52 GMT+1]}

Razmisljao sam da podignem UserGate server (http://www.entensys.com/products/usergate/) imam osjecaj da bih snjim mogao da dosta toga da rijesim, barem tako mislim, kakvo je vase misljenje po pitanju toga ????

Zar ne bi mogao da to reš neki Mikrotik koji bi se stavio iza tvog HP rutera?

gubis vreme...

interesantno je da ljudi razmisljaju samo da dodju do resenja, a ne i koliko ce to resenje biti pouzdano,

mikrotik u sebi ima webproxy

Ajd da se ne ponavljam: Mikrotik.

To ti je najjeftinije rešenje koje može da ti odradi posao i to baš tako kako si nacrtao.

Mikrotik definitivno. E sad napomenuo si da su korisnici sami skontali koji je gateway brzi pa tamo idu. Zasto im uopste dozvoljavas da sami biraju gateway? Ti si taj koji treba da odlucuje kako ce da radi mreza. Osmisli kako je najbolje da napravis balans. Kad to smislis idi od racunara do racunara, podesi staticke adrese, dns, default gateway i korisnicke naloge ogranici na "User", kako ne bi mogli da prckaju po mrezi. Kad to uradis, onda lepo iscitas mikrotik dokumentaciju, i postavljas filtere na staticke adrese i tako zabranjujes pristup sajtovima, servisima, itd...

Kad već hvalite Mikrotik imam pitanje vezano za njihov model 750gl koji koristi RouterOS5.
Za te modele piše da imaju 5x LAN/Wan port-a i opciju Manual Switch Chip(Switched ether2-ether5). Da li ovaj ruter može da se konfiguriše da ima 2 Wan porta i 3 Lan?

MikroTik miniRouterBOARD 750GL - ima za 8k din.
CPU speed 400MHz RAM 64MB Gigabit/VPN ruter / Firewall / Bandwith manager
slabija verzija:
MikroTik miniRouterBOARD 750 - ima za 5k din.
CPU speed 400MHz RAM 32MB VPN ruter / Firewall / Bandwith manager

Koliko su korisne opcije Voltage Monitor,Temperature sensor, koje nedostaju u jeftinijoj verziji?

Ko želi da testira RouterOS 5 može ovde :)
RouterOS demo
RouterOS demo2

Naravno, možeš ga konfigurisati po želji. Meni lično nisu toliko bitne te opcije. Ukoliko ti ne treba gigabitna mreža onda možeš uzeti i jeftiniji model.

nisu korisne uopste, jer se taj uredjaj vrlo malo greje...

sto se routersos demo to je samo web interfejs, routeros je inace "command line" sistem, i ta graficka pomagala su upravo to - pomagala

Ako vec ides od racunara do racunara onda ti ne treba mikrotik. Podesi polovinu racunara na jedan gateway a polovinu na drugi a kad si vec krenuo od racunara do racunara onda i sajtove mozes da zabranis HOSTS fajlom. Namesti da u HOSTS fajlu da npr. youtube ima ip adresu nekog drugog sajta mozes da stavis i google i mocice da placu. :D

Kuku nama sa 'vakim sis adminima koji savetuju ceprkanje po hosts fajlu. Zamisljam scenu gde odrzavas 100ak racunara i gazda ti je neodlucan, pa ti stalno trazi da ukljucis/iskljucis pojedine web lokacije. Od silnog trkaranja izmedju racunara bar bi bio fit i ustedeo bi par iljada za teretanu :)

Sad malo drzanja teme:
Sto se tice izmena IP adresa, MT mozes jednostavno da podesis, tj. da ga "naucis" koja je MAC adresa vezana za koju IP adresu - kreiranjem staticke ARP tabele. Korisnik ce moci da promeni IP, ali nece imati pristup Intenetu. Kada si to resio, lako mozes da napravis polisu, da odgovarajuca IP adresa izlazi na odgovarajuci gateway. Takodje, MT ima ugradjen i web-proxy (osiromaseni squid) kojim mozes veoma lako da zabranis pojedine web lokacije.

Nisam isao dublje u tematiku, samo sam ti predstavio sta sve moze jedna mala obicna sprava od 50ak eur.

Takvi se zovu patika admini ;)

Ako znaju da nameste logon script, patike mogu i da im potraju :)

Ako vec imas ruter besmisleno bi bilo da kupujes novi, uzmi neku kantu (koliko toliko pouzdanu) digni linux, dhcp, natuj to sve preko iptablesa ili nekog slicnog resenja...
Mada MT od 50 jura svakako resava stvar.
Proxy = :X

Izvinjavam se ako izvlacim temu iz mrtvih.

Nisam siguran da MT može da zabrani tuneliranje kroz port 80 (Skype) a Cisco router sa firewall licencom mislim da je preskupo za firmu sa 20-tak računara.

Ovako kako si ti postavio mrežu nemaš nikakvu zaštitu userskih računara prvenstveno mislim na viruse.
Takođe nemaš centralizovano filtriranje i podešavanje bandwitha.

Ovo jedino možeš da uradiš sa prekompajliranim squid-om pošto mu filtriranje po MAC adresi nije po defaultu uključeno.

Moj predlog je:

Ukineš na tvojim ruterima svima direktan izlazak na net i odobriš samo hostu gde ti je podignut Squid+HAVP+SquidGuard naravno prekompajliran Squid.

Dodatno možeš da instaliraš Squidview koji je konzolni softver za praćene Usera, i Sarg kojim praviš web pregled.

Ukoliko želiš možeš da kompajliraš i NTLM authentifikaciju koja se nalazi unutar Squid sorsa i da zahtevaš od usera da unose username i pwd, imam i za ovo rešenje oko promene šifre
od strane samih usera da ih ne bi cimao da dolaze kod tebe i unose passworde ili da ti ideš kod njih i kačiš se na tvoj proxy server.

Pristup serveru bilo spolja bilo iz unutrašnje mreže samo kroz SSH sa publickey auth bez unosa root passworda.



Hardverski zahtevi za Proxy server konfiguracija koju ja koristim

CPU PIV C2D na 2 GHz
MEM 512MB
HD 2x80Gb



podignuti servisi:

Postfix - centralizovano slanje raporta na [email protected]
DHCP - doduše kod mene je ovo sekundarni failover DHCP server
Bind DNS - radi kao forvarder pošto je na firewallu podignut primarni DNS sa userview i na njemu je javni DNS za našu zonu.
samba - file server veoma koristan sa uklucenim mrežnim recyclebin što nijedno windows rešenje nema
Apache + MySql - lokalni sajt koji je podešen svim korisnicima kao default za razna obaveštenja.
vsftp - pretežno ga koristimo za smeštanje CCM cdr fajlova o obavljenim Tlf razgovorima kojima kasnije pristupa naš Softver za Tarifiranje.
sshd - Admin konzola



Ako se odlučiš za ovo rešenje slobodno me kontaktiraj oko podešavanja pošto meni već radi ovakvo rešenje preko 8 god. sa više od 100 računara.