Я ищу роутер, который отвечал бы следующим требованиям:
План для двух интерфейсов WAN следующий. Весь исходящий трафик будет идти на основной, с исключениями, основанными на IP-адресе / подсети назначения или, возможно, на IP-адресах / подсетях src + dest. Такие исключения следует направлять вторичному серверу. Было бы очень хорошо, если бы, если первичный выйдет из строя, вторичный автоматически взял бы на себя весь исходящий трафик.
Я достаточно уверен, что смогу собрать что-нибудь на основе dd-wrt. Тем не менее, я хотел бы услышать от вас, какие существуют альтернативы (особенно что-то более простое в настройке для моего варианта использования, даже если это означает дополнительную оплату оборудования).
Mikrotik 450G. 5 гигабитных портов. Максимальная мощность 12 Вт. около 100 грн.
Можно гораздо больше (брандмауэр и т. Д.) Запустить очень специализированную версию Linux, к которой вы тоже не имеете доступа (т.е. оболочка есть, но она сделана на заказ и скрывает от вас файловую систему).
ОЧЕНЬ гибкий. Весь спектр роутеров. ОЧЕНЬ мощный (450G может работать с BGP4).
Если это слишком дорого, 750G дешевле, меньше памяти, около 60 долларов. Те же функции.
Взгляните на Драйтек (http://www.draytek.com), они делают маршрутизаторы SoHo, которые соответствуют вашему описанию, они также имеют как консольную, так и веб-конфигурацию и чрезвычайно устойчивы.
Если они не предложат то, что вы хотите, я сразу пойду в Cisco, но это, конечно, повысит цену.
Вы рассматривали какой-либо из проектов брандмауэра Linux?
Лично я предпочитаю PFsense, но вы также можете посмотреть m0n0wall, ipcop, ipfire.
Juniper SRX210 может иметь в себе ADSL PIM-карту, а также принимать Ethernet-соединения ... хотя они не из дешевых :)
Брандмауэры Juniper NetScreen, работающие под управлением ScreenOS начиная с версии 5.4 или выше, могут выполнять маршрутизацию на основе политики источника, которая звучит так, как вы хотите. SSG5 являются начальными единицами и стоят менее 1000 долларов.
У меня был большой успех с OpenWRT на TL-WR1043ND коробки в последнее время. Они дешевы (<50 долларов США), имеют низкое энергопотребление (<10 Вт), гигабитный Ethernet и т. Д., И после их установки вы можете делать с ними все, что захотите, включая разделение коммутатора на VLAN в соответствии с вашими потребностями.
Если нужно недорого, я бы посмотрел на pfSense. Это бесплатный маршрутизатор с открытым исходным кодом, который очень надежен и масштабируется вместе с компанией. Я использую его исключительно тогда, когда проблема в цене, он настолько универсален и стабилен (последняя перезагрузка была 6 месяцев назад для обслуживания).
Одной из функций является балансировка нагрузки WAN с переключением при отказе, вы можете использовать полосу пропускания как от вашего PPoE, так и от вашей второй линии WAN, и если одна линия пропадает, она все равно работает на другой. В моей книге упоминается маршрутизация политики, которая похожа на правило брандмауэра, но с полем шлюза, похоже, вы можете получить еще более тонкий контроль, чем просто IP / подсеть. В нем не упоминается об ограничении только одной глобальной сетью, но я полагаю, что это очень возможно. Если вы все же попробуете, я бы спросил об этом на форуме pfSense (отличный ресурс, если вы запустите pfSense).
Ваш 2-й WAN тоже PPoE? pfSense 1.2 не поддерживает несколько соединений PPoE, но версия 2.0 поддерживает.
Также встроенный брандмауэр можно отключить, если у вас уже есть брандмауэр.
Я бы попробовал его на запасном компьютере или на устройстве VMware, чтобы увидеть, как он работает для вашей установки.
Если вы не хотите откашливаться, ничто не сравнится с дистрибутивом брандмауэра Linux.
Среди наиболее популярных дистрибутивов стоит упомянуть:
IPFire
IPCop
PFSense
С IPFire мой любимый
У вас есть вся гибкость, чтобы делать с ним все, что душе угодно, вам не нужно сидеть с функциями, навязанными вам производителем, снижающими общую производительность вашей системы (независимо от того, насколько мала эта разница), и вы не платите для ОС с закрытым исходным кодом или платить больше за оборудование, даже если оно хуже.
Я снова вспоминаю Apple ...
Вы можете создать свою собственную систему (оборудование), а затем приступить к созданию своей программной системы. Когда вы закончите со всеми небольшими небольшими изменениями и введете их в производство, вы можете клонировать систему.
Вы можете установить его на Raspberry Pi, если ваши потребности невелики, или вы можете купить сервер на 10 000 долларов США и установить его на нем. По большей части, безопасность в любом случае одинакова.
У меня были тестеры Pen протестировали некоторые из моих настроек, чтобы проверить наличие дыр в безопасности, и до сих пор никто не получил доступа ни к чему, кроме моих брандмауэров.
Все должны понять, что ВСЕ из межсетевых экранов стоит упомянуть: RouterOS, iOS (Cisco, а не эти чертовы люди из Apple, хотя они здесь тоже применимы), Juniper, Fortinet и т. д. ВСЕ получены из ядер Posix (то есть все они получены из разновидностей Linux).
В ТОЛЬКО Разница в том, что эта компания потратила некоторое время и человеко-часы на то, чтобы настроить свои программы так, как они этого хотят, и, конечно же, тот факт, что они закрыли свой исходный код.
Теперь все хорошо, если вы работаете в корпоративном бизнесе и у вас нет времени настраивать все до такой степени, что ваша безопасность @ такая же, как, скажем, Fortinet или RouterOS, однако, если вы можете пожертвовать временем, чтобы потратить немного денег, затем перейдите на дистрибутив Linux Firewall.