PfSense2.0 beta в реальную работу?



  • Сейчас работаем на 1.2.2, но требуется больший функционал. Причем требуется, как говорится, "уже вчера". Задумался о 2.0 бете… Умеет ли она следующее:
    1. DHCP-сервер со статикой
    2. Wan1 - прямое подключение к соседнему провайдеру, без NATа
    3. Wan2 - pppoe соединение со вторым провайдером (в перспективе - только бэкапное, но сейчас нужно гнать в него http-траффик через NAT)
    4. PPPoE-сервер с возможностью ограничения скорости соединения и раздачей подсети белых ip клиентам
    5. По возможности приоритезация трафика, хотя пока это не критично.

    Сеть - 250 пользователей, почти все хомяки, пиковый онлайн - 40%. Порты у всех 10мбитные. В течение 2месяцев количество абонентов расчетно вырастет до 800-1000.



  • Задумался о 2.0 бете…
    А какой инсталлятор "беты" будешь использовать, там на данный момент есть 89мб 126мб и последний 77мб  ;D.



  • Тот, который будет удовлетворять всем перечисленным задачам. Что можете посоветовать?



  • Такие вопросы надо на nag ru задавать, вы же решаете задачи провайдерского уровня.



  • @dokgl:

    Задумался о 2.0 бете…

    Сначала взгляните на redmine.pfsense.org. В продакшен ему рано. Постоянно что-нибудь ломается вплоть до полной неработоспособности, это же ночные билды.

    А так, вроде, все это на нем возможно



  • Про "рано в продакшн" это ясно, но… Может это желание поковыряться, может просто привычка к сенсу. Задачи уровня начинающего провайдера сенс 1.2.2 решал отлично, вот теперь в связи с волнообразным ростом надеюсь на рост функционала сенса. Жаль, что не успевает 2.0 за нами ))))) Но в конечном итоге, какой именно билд будет обеспечивать то что я перечислил без сбоев?



  • @dokgl:

    Про "рано в продакшн" это ясно, но… Может это желание поковыряться, может просто привычка к сенсу. Задачи уровня начинающего провайдера сенс 1.2.2 решал отлично, вот теперь в связи с волнообразным ростом надеюсь на рост функционала сенса. Жаль, что не успевает 2.0 за нами ))))) Но в конечном итоге, какой именно билд будет обеспечивать то что я перечислил без сбоев?

    cisco

    800-1000 юзеров и каждому по 10мбит да вы, батенько, жжоте… бедный pfsense



  • @zar0ku1:

    cisco
    800-1000 юзеров и каждому по 10мбит да вы, батенько, жжоте… бедный pfsense

    Там про порты речь - то есть сетевые карточки. Сколько реально юзер будет получать инета - другой вопрос (вопрос к топикстартеру)



  • @dvserg:

    Там про порты речь - то есть сетевые карточки. Сколько реально юзер будет получать инета - другой вопрос (вопрос к топикстартеру)

    так еще и будет шейпер софтовый - ну тада тем более ппц пфсенсу



  • Да ежу понятно, что сенс не потянет эти задачи ни под каким соусом. Если надо быстро и красиво - микротик - без вариантов, если хочется чего-то большего  - виатта. Ну а если лениво - киска или джунипер.



  • @dvserg:

    @zar0ku1:

    cisco
    800-1000 юзеров и каждому по 10мбит да вы, батенько, жжоте… бедный pfsense

    Там про порты речь - то есть сетевые карточки. Сколько реально юзер будет получать инета - другой вопрос (вопрос к топикстартеру)

    60% - тариф 2мбита, 30% - тариф 4мбита и 10% - тариф 8мбит. Это при сохранении текущей тенденции скоростных запросов пользователей. При этом, как я уже указывал, пиковый онлайн не превышает 40% от общего числа пользователей. Статистика собрана за последние 3года.

    @zar0ku1:

    @dvserg:

    Там про порты речь - то есть сетевые карточки. Сколько реально юзер будет получать инета - другой вопрос (вопрос к топикстартеру)

    так еще и будет шейпер софтовый - ну тада тем более ппц пфсенсу

    А кто сказал что на уровне ядра мы собираемся использовать один роутер с сенсом? На подсеть из 200портов по роутеру - и их в кольцо. Разве не справятся? Сейчас один справляется с 250ю хомяками (правда без шейпера), вполне нормально.

    @aleksvolgin:

    Да ежу понятно, что сенс не потянет эти задачи ни под каким соусом. Если надо быстро и красиво - микротик - без вариантов, если хочется чего-то большего  - виатта. Ну а если лениво - киска или джунипер.

    Ленивость стоит серьезных финансовых вложений. а? :)

    Вообще все больше присматриваюсь к роутосу от микротика… Про виатту не читал ничего - нужно будет просветиться. Но вопрос с возможностями сенса 2.0 все еще открыт для нас.



  • Ленивость стоит серьезных финансовых вложений. а?

    • это только вам решать.

    Про виатту не читал ничего - нужно будет просветиться.

    • почитайте - будет интересно.

    Но вопрос с возможностями сенса 2.0 все еще открыт для нас.

    • секас дело святое.  :D


  • @dokgl:

    Жаль, что не успевает 2.0 за нами )))))

    2.0 ни за кем не пытается успеть. Нет ответа на многочисленные вопросы "когда будет готов" и я думаю все знают почему.

    По теме - то, что вам надо, толковый парень хорошо прикрутит к стабильной 1.2.3 максимум за месяц (без отрыва от основной работы), но толковым парням обычно надо платить, так что - не ваш вариант.



  • @dokgl:

    А кто сказал что на уровне ядра мы собираемся использовать один роутер с сенсом? На подсеть из 200портов по роутеру - и их в кольцо. Разве не справятся? Сейчас один справляется с 250ю хомяками (правда без шейпера), вполне нормально.

    во-во без шейпера!

    озвуч железо какое и какое ядро этой схемы

    @Evgeny:

    По теме - то, что вам надо, толковый парень хорошо прикрутит к стабильной 1.2.3 максимум за месяц (без отрыва от основной работы), но толковым парням обычно надо платить, так что - не ваш вариант.

    абсолютно согласен, но я бы настраивал на чистой freebsd



  • абсолютно согласен, но я бы настраивал на чистой freebsd

    цитата отсюда: http://forum.nag.ru/forum/index.php?showtopic=19680&view=findpost&p=173441

    Сейчас потихоньку отказываемся от фряхи на радиолинках, ибо mirotik прокачивает на том же железе гораздо больше. В соединении точка-точка замена операционки только одной станции на микротик повышает качество линка на ура.



  • aleksvolgin, ты не продаёшь microtik'и? -))) у тебя через пост microtik фигурирует… Как по-твоему, где хорош pfSense?



  • ты не продаёшь microtik'и?

    • разумеется нет.

    Как по-твоему, где хорош pfSense?

    • там, где он будет адекватен задаче. Малый провайдинг - не его стезя.

    у тебя через пост microtik фигурирует…

    • потому, что это ИМХО адекватное решение поставленной топикстартером задачи.

    P.S. более ничего и никому советовать не буду, добро как известно, никогда не остаётся безнаказанным.



  • @aleksvolgin:

    P.S. более ничего и никому советовать не буду, добро как известно, никогда не остаётся безнаказанным.

    Да почему ж? советуй… я даже где-то с тобой согласен.



  • @zar0ku1:

    озвуч железо какое и какое ядро этой схемы

    сенс крутится сейчас на такой конфигурации: P4 3.0 HT в интеловой матери, 1Г озу, винт 120 самсунг. Гигабитная сеть в нашу сеть смотрит, 100ка реалтековская - в магистраль. Сейчас берем флатрэйт 30мбит. В центре сети 24портовый гигабитный h3c какой-то (могу если сильно надо уточнить модель), настраивался только раз при установке. От него звездой расходятся - где гиговые(через медюки в оптику), где радиолинками (11г, 11а МИМО и на 2.4 и на 5ггц) аплинки к разнокалиберным сегментам. Сегменты - так же звездой: в центре длинки 3526, на доступе - 2108 пластмассовые. Велосипедов не изобретали - только классика жанра, как видите.

    Думаю заменить центральную молотилку на кольцо из сенсов… Или микротиков...



  • @aleksvolgin:

    цитата отсюда: [http://forum.nag.ru/forum/index.php?

    тема 2006 года как бы намекает и разговор про 5 фряху](http://forum.nag.ru/forum/index.php?showtopic=19680&view=findpost&p=173441)



  • @dokgl:

    сенс крутится сейчас на такой конфигурации: P4 3.0 HT в интеловой матери, 1Г озу, винт 120 самсунг. Гигабитная сеть в нашу сеть смотрит, 100ка реалтековская - в магистраль. Сейчас берем флатрэйт 30мбит. В центре сети 24портовый гигабитный h3c какой-то (могу если сильно надо уточнить модель), настраивался только раз при установке. От него звездой расходятся - где гиговые(через медюки в оптику), где радиолинками (11г, 11а МИМО и на 2.4 и на 5ггц) аплинки к разнокалиберным сегментам. Сегменты - так же звездой: в центре длинки 3526, на доступе - 2108 пластмассовые. Велосипедов не изобретали - только классика жанра, как видите.

    Думаю заменить центральную молотилку на кольцо из сенсов… Или микротиков...

    какое число активных абонентов? не всего а именно активных



  • @zar0ku1:

    какое число активных абонентов? не всего а именно активных

    я уже писал в начале о процентах онлайна от общего числа. В штуках 70-100домашних, десяток юриков (которые не генерят нагрузки вообще) из 250 всего. Грядет зима, нагрузка возрастет примерно на треть, судя по прошлым годам. Начали экспансию на новые районы, ожидается прирост еще 500домашних… Пока что готовимся ко вводу двух машин со вторым сенсом, от него нужно будет только пппое с резкой по скорости каждому, да роутинг между подсетями.



  • использую mikrotik уже больше года как сервер доступа в инет(VPN) клиентов порядко 1-1.5к
    шейпер+нат, систему ест не слабо но работает нормально.
    причем еще заметили что гигабитные сетевухи максимум до 300мбит разгоняются так как они не аппаратные а софтовые
    pfsense больше для небольшой сети подходит, но функционал впечетляет…



  • @sergey:

    причем еще заметили что гигабитные сетевухи максимум до 300мбит разгоняются так как они не аппаратные а софтовые

    нельзя так категорично заявлять. Не помню про HP DL360 G3, а вот HP DL360 G4 гигабит в секунду с карточками intel и broadcom взять - как два пальца об асфальт. Пропускная скорость очень сильно зависит от характера трафика и количества правил.



  • @sergey:

    использую mikrotik уже больше года как сервер доступа в инет(VPN) клиентов порядко 1-1.5к
    шейпер+нат, систему ест не слабо но работает нормально.
    причем еще заметили что гигабитные сетевухи максимум до 300мбит разгоняются так как они не аппаратные а софтовые
    pfsense больше для небольшой сети подходит, но функционал впечетляет…

    микротик может работать как сервер pppoe с шейпером и натом? Не хотелось бы переделывать привычный всем клиентам способ "подключения ко внешке".



  • причем еще заметили что…

    • а у вас тик на х86 машине или роутербоард?

    микротик может…

    • да.


  • может но он не бесплатный ) Советую покопать в сторону dhcp-relay, если ваше оборудование поддерживает опцию 82
    В чем собственно пытаемся копаться сейчас сами…

    а у вас тик на х86 машине или роутербоард?
    

    х86



  • подскажите, про основные проблемы,  почему откладывается выпуск 2й версии можно прочитать http://redmine.pfsense.org/ ?
    где есть мануал перехода с текущей на 2.0 ?



  • @alexandrnew:

    подскажите, про основные проблемы,  почему откладывается выпуск 2й версии можно прочитать http://redmine.pfsense.org/ ?
    где есть мануал перехода с текущей на 2.0 ?

    http://redmine.pfsense.org/projects/pfsense/issues?set_filter=1
    Переход на 2.0 - это два пути:

    1. из web-морды http://doc.pfsense.org/index.php/Can_I_upgrade_my_pfSense_through_the_web_interface%3F
    2. Сохранить конфигурацию из 1.2.3, потом поставить с нуля 2.0 и восстановить конфигурацию.
      я бы предпочёл 2).


  • @Evgeny:

    … и восстановить конфигурацию.

    восстановить вручную или Diagnostics: Backup/restore ?
    просто слишком много настроек ( файрвол, ипсек…)



  • @alexandrnew:

    @Evgeny:

    … и восстановить конфигурацию.

    восстановить вручную или Diagnostics: Backup/restore ?
    просто слишком много настроек ( файрвол, ипсек…)

    backup на старой версии/restore на новой.
    внимание - версия 2.0 постоянно меняется, никто не гарантирует в отличии от 1.2.3, что что-то будет работать, а что-то нет



  • @sergey:

    использую mikrotik уже больше года как сервер доступа в инет(VPN) клиентов порядко 1-1.5к
    шейпер+нат, систему ест не слабо но работает нормально.

    На какой аппаратке все это сделано?
    Пока еще не вложились в серверные платформы интеловые, на которых собрались запускать роутеры пф20. Рассматриваем "Маршрутизатор RB/MRTG (miniROUTERG)" с лицензией левел4 - возможно их закупим, если на нем можно будет реализовать pppoe-сервер + шейпер, и возможно понадобится nat. И сдать узел надзору. По стоимости получается в 10раз дешевле относительно сертифицированных серверов, да и в стойке место не займут. Что скажут господа знатоки?



  • Сервер постоянно апдейтим. На данный момент стоит проц I3 мать точно не помню интеловская чипсет intel P55. 4гбram
    А pf у вас тоже на сертифицированных серверах ? или в тихую используетете ?
    Сертифицировать сервер это геморно, покрайней мере у нас :). Стараемся без головной боли ставить уже сертефированное железо.



  • сертифицированное железо как раз и нужно, ибо грядет сдача узла рсн.


Log in to reply