Нужны советы в организации сети
-
Доброго времени дня.
Помогите советом в какую сторону мне смотреть и как сделать по феншую.
Схема в картинке.
вкратце
Офис 60 компьютеров и 14 филиалов по 5 компов в каждом.
Все подключены у одного провайдера с белыми ИП, на офисе скорость интернета 50мбит, филиалы по 1мбит. При этом внутри сети провайдера между всеми локалка 100мбит. Для объединения поднят openvpn, в центральном офисе стоит сервер на debian, в филиалах стоят роутеры тп-линк 1043 прошитые в openwrt, там openvpn клиенты. VPN на tap интерфейсах настроен, на всех концах бриджуется в локалку.
ИП диапазон выделен 192.168.0.0/24. Везде статичны прописаны адреса.
Сейчас интернет филиалы берут с локальных роутеров. В офисе с debian. Основной трафик идет по vpn - все по RDP на терминальник в офисе, плюс папки обмена. Интернет нужен в целом только для банк клиентов, интернет-радио и emai, ну и так по мелочи посерфить.
…
Задача стоит в централизованном управлении и контроле, а именно иметь возможность блочить выборочные ресурсы определенным хостам, иметь историю посещаемых сайтов, в режиме реального времени смотреть кто занимает канал и т.п.
...
Также хочется сделать резервирование, так как есть еще канал другого провайдера и резервный 3g. Бывает иногда инет основной отключается, нету свету у провайдера например, а кому-то срочно нужно банк проплатить, приходится руками на хосте менять шлюз на ип роутера с 3g.
...
Сейчас пробую вместо debian поставить pfsense. Но знаний не хватает.
-
Задача, как я понимаю переложить все с дебиана на pfSense?
Да это возможно.
Приготовьтесь к тому, что 99,9% всех настроек придется делать из GUI.Задача стоит в централизованном управлении и контроле, а именно иметь возможность блочить выборочные ресурсы определенным хостам, иметь историю посещаемых сайтов, в режиме реального времени смотреть кто занимает канал и т.п.
Это тоже возможно, как и в какой степени вам тут подскажут, самому за отсутствием необходимости такое делать не приходилось.
Также хочется сделать резервирование, так как есть еще канал другого провайдера и резервный 3g. Бывает иногда инет основной отключается, нету свету у провайдера например, а кому-то срочно нужно банк проплатить, приходится руками на хосте менять шлюз на ип роутера с 3g.
Это pfSense умеет "из коробки" и делает это замечательно.
По поводу openvpn в режиме бриджа на pfSense - тоже возможно, хотя всегда предпочитал tun и филиалы в отдельных подсетях.
HOW TO: OpenVPN TAP Bridging with LAN
https://forum.pfsense.org/index.php?topic=46984.0
https://www.reddit.com/r/PFSENSE/comments/3hql33/configuring_openvpn_bridge_with_local_dhcp/
http://www.virtualtothecore.com/en/create-a-stretched-lan-between-your-site-and-vcloud-using-pfsense/ -
По поводу нескольких провайдеров кури Gateway Groups - по заданным параметрам шлюз сам выбирает на какой внешний интерфейс слать пакеты.
У меня офисы все в разных сетях, на каждом стоит шлюз с pfsense и настроен клиентом ovpn на центральный шлюз. Удобно различать разные представительства и админить их шлюзы.
Блочить можно с помощью traffic shaper, недавно руки дошли - плохим людям прикрутил инет и это все работает по графику. Также можно настроить очереди пакетов - важные компы будут маршрутизироваться в первую очередь и поднять приоритет rdp клиентам.
-
OpenVPN сервер настроился легко. По простому поставил через консоль его, скопировал конфиг со старого debian, и все сразу заработало.
…
Сейчас не знаю в какую сторону копать по поводу подсчета и сохранения истории потребления трафика, с условием что отдельные хосты будут идти через другой WAN. -
Сейчас не знаю в какую сторону копать по поводу подсчета и сохранения истории потребления трафика, с условием что отдельные хосты будут идти через другой WAN.
ipcad + lightsquid\sarg