Tomsk Sysadmins Forum

Windows => Администрирование => Topic started by: NiK on February 27, 2015, 12:28:11

Title: Шлюзы на винде
Post by: NiK on February 27, 2015, 12:28:11: Не вдаваясь в холивары, чисто на собственном опыте. Отвечая на сообщение от tarzaan в соседней ветке.

Шлюз на винде получается дОрог и нефункционален. Нативными средствами ОС мало что умеет. Все расширения и улучшения функционала шлюза, вроде ISA и Kerio (WF/Connect) - за дополнительную денежку.
Если для небольшой организации шлюз на "чистой винде" еще канает, то для более серьезных вещей приходится UG/KC/ISA ставить. Нужно покупать (на решения Enterprise уровня, порядок цен виндовых продуктов совсем не радует).
Да и ресурсов кушает шлюзик на винде изрядно. Озадачиться сейчас, собрать легальный шлюз на винде: со всеми ЛИЦЕНЗИЯМИ на софт, а к софту с нужной мощности ЖЕЛЕЗОМ - начальство НАХ пошлёт.

Админить, что эти виндовые продукты, что линукс тоже нужно уметь. Так, что вопрос квалификации админа для растущей организации актуален в любом случае.

Для крупной организации, лучше иметь более гибкий инструмент на шлюзе, и чуть выше платить ЗП админу. Или не выше, если хитро извернуться, как нынче принято.
Title: Re: Шлюзы на винде
Post by: nestor_13 on February 27, 2015, 12:42:34: Можно иметь шлюз на цицке.... Дорогова-то конечно, но всё же не винда...
Title: Re: Шлюзы на винде
Post by: NiK on February 27, 2015, 19:47:21: Да тут товарищ tarzaan чо-то обиделся за шлюзы на винде.
На цыцке тож шлюзы веселые бывают. Видел я тут пару "Cisco SOHO".. Как там говорится - "рукалицо"?
Title: Re: Шлюзы на винде
Post by: SinClaus on February 28, 2015, 13:41:10: На киске, даже SOHO, по крайней мере можно быть более-менее уверенным что если что-то написал, то оно будет работать (пока сама железка работает). На винде у меня на одной из точек местный админ так и не смог сконфигурять свой керио на винде, что бы он пропускал всё что нужно для dmvpn в обе стороны.
Title: Re: Шлюзы на винде
Post by: zhenya on February 28, 2015, 22:01:22: а зачем сохо ? можно бу для офиса взять %) вполне ок будет.
Title: Re: Шлюзы на винде
Post by: NiK on March 02, 2015, 10:36:10: SinClaus, там оно "внезапно" феерически затыкалось. Автор схемы и его наследники не могли понять что такое. При разборе полётов оказалось, что затыкается роутер при большом количестве пакетов . "ну не подумали они, что так будет". Сэкономили, блин.
Title: Re: Шлюзы на винде
Post by: tarzaan on March 02, 2015, 10:46:00: цитирую - "Памятуя плачевное состояние ИТ в СибГМУ, их шлюзы на винде и загаженые кафедральные компы - еще тот гемор."
про загаженые кафедральные компы - не спорю )))), я имел ввиду, не то что шлюзы на винде это хорошо или нет
я имел ввиду - с чего вы взяли что шлюзы в меде на винде? как говорится, где пруфы? ))))
Title: Re: Шлюзы на винде
Post by: NiK on March 02, 2015, 10:56:04: Quote from: SinClaus on February 28, 2015, 13:41:10
местный админ так и не смог сконфигурять свой керио на винде, что бы он пропускал всё что нужно для dmvpn в обе стороны.
Dmvpn многие и на линуксе-то не знают как, хотя там не сложно.
Касательно Kerio, там connection tracker/helper работает не всегда корректно с малораспространненными решениями. Потому, там приходится отключать антиспуфинг. Тогда многое решается чудесным образом.
Title: Re: Шлюзы на винде
Post by: NiK on March 02, 2015, 11:10:08: Quote from: tarzaan on March 02, 2015, 10:46:00
я имел ввиду - с чего вы взяли что шлюзы в меде на винде? как говорится, где пруфы? ))))
Извиняюсь, немного непонял пост в другой теме. Воспринял "насчет шлюзов на винде, вот щас обидно было" как уверенность в хорошей работоспособности виндовых шлюзов в масштабе университета.

В то время, когда я туда заглядывал, наблюдал в нескольких корпусах такое явление. Внутрисетевые - точно на винде были. Но не буду палить тех, от кого я в сеть попадал.
Давненько это было. Допускаю, что с тех пор изменилось. Вон и boombastic пишет " часть шлюзов СибГМУ мы перевели на линукс". С циски что ли перевели или с FreeBSD?
Я допускаю, что информация у меня может быть немного устаревшей. Но в таких организациях инфраструктура обычно очень МЕДЛЕННО меняется.
Лично Вы там давно работаете?

Ну и по поводу первой категории ПДн, ситуация, уверен, там паршивая. СтОит прийти с нормальной проверкой и ппц. Благо, Роскомнадзор глаза на это пока "преподзакрыл"
Title: Re: Шлюзы на винде
Post by: NiK on March 02, 2015, 11:21:57: Quote from: zhenya on February 28, 2015, 22:01:22
а зачем сохо ? можно бу для офиса взять %) вполне ок будет.
Гм. Смотря для какого офиса. Там одной циской не обойтись порой.
Даже за БУ ценник будет негуманный.
Хотя, ткните на shop.nag.ru, что имелось ввиду?
Title: Re: Шлюзы на винде
Post by: zhenya on March 02, 2015, 15:36:25: http://shop.nag.ru/catalog/02092.Cisco/07120.800-1800-2800-3800/04356.CISCO3845

вполне вытянет мбит 300, если сильно не увлекаться впнами и аесами (универу имхо заглаза). ну и поставить парочку.

если крупнее, то можно впринципе и
http://shop.nag.ru/catalog/02092.Cisco/07122.7200-7300/06974.Cisco-7204VXR-NPE-G1-Bundle )
Title: Re: Шлюзы на винде
Post by: NiK on March 03, 2015, 09:58:52: Quote from: zhenya on March 02, 2015, 15:36:25
http://shop.nag.ru/catalog/02092.Cisco/07120.800-1800-2800-3800/04356.CISCO3845
вполне вытянет мбит 300, если сильно не увлекаться впнами и аесами (универу имхо заглаза). ну и поставить парочку.
Симпатичная железка, но вряд ли вытянет 300. Даже рядом в описании
"Производительность:
Маршрутизация пакетов:
до 500.000 пакетов/сек
до 256 Мбит/сек"
Универу, тоже думаю за глаза. А средний бизнес за парочку таких напряжется нынче.

Для SOHO-сегмента, и для филиальной сети реально рулит mikrotik.
Ска, дешево и сердито и тоже "скучно": поставил, настроил, работает.
Поглядел таблицы производительности: в core я б не воткнул, а вот в access/distribution layer вполне входит.