Платформа под софт-роутер в формате мини-пк

[alibek]

Попросил у меня знакомый совета, а я от современного железа малость отстал.

Есть организация, на два-три десятка ПК, входящий интернет-канал на 100М. Нужна раздача интернета и продвинутый сетевой экран.

В качестве роутера ростелекомовский Fast 2304 (Sagemcom}.

Роутер будет меняться, предварительно это будет pfSense. Требования: CPU i5/i7, RAM 8G, SSD 128G.

Устанавливаться будет в серверной (то есть бесшумность не требуется), но денег хочется потратить поменьше. Если собирать из комплектующих (закладывая двухпортовую Intel), то дешевле 40 не выходит. Если брать готовый мини-пк, то можно найти за 15, но вот по начинке есть вопросы.

Не посоветуете что-нибудь готовое?

[nixx]

я не то чтобы ответить на вопрос, а скорее спросить - накойхрен под 100мбит i5 проц и вообще современное железо? да и мини-пк, если устанавливаться будет в серверной?

если хотят потратить поменьше, пусть возьмут любую полуюнитовую (в смысле - короткую) некросупермикру за 5 тысяч на E3 ксеоне или такой же делл типа R210-II / R220 за те же 5-15 тысяч, его пророутить/пронатить гигабит трафика не то что за глаза, а трижды за глаза хватит.

интел 10г двухпортовка 2 тысячи, если что, но зачем?

 

или надо "новое с гарантией", как обычно у госов? )

 

ps: pfsense нынче скурвился в сторону "хотим денег", лучше смотреть в сторону opnsense.

Edited June 6, 2025 by nixx

[jffulcrum]

20 минут назад, nixx сказал:

pfsense нынче скурвился в сторону "хотим денег", лучше смотреть в сторону opnsense.

+, и огородился от РФ, закрыв сервера обновлений

 

На 100 Мбит/с хватит даже встроенной сетевухи, даже Realtek. Берется какой-нибудь Chuwi Ubox и понеслась.

 

Вообще, тот случай, когда коробочка от Микротик закроет все мыслимые задачи.

[passer]

1 час назад, alibek сказал:

входящий интернет-канал на 100М. Нужна раздача интернета и продвинутый сетевой экран.

По-моему, можно рассмотреть Mikrotik HEX, точнее можно сказать если знать насколько замороченный сетевой экран требуется.
 

 

1 час назад, alibek сказал:

готовый мини-пк, то можно найти за 15

ЛЮБОЙ миниПК из продаваемых потянет 100М. Если деньги хочется съэкономить совсем, то на озоне сортировка по цене и брать самое дешевое с нужным числом сетевух, при необходимости докомплетовав оперативой.

Единственное исключение, когда не каждый миниПК справится с 100М, это если эти 100М будут использованы под VPN с шифрованием и тогда желательно, чтобы процессор умел AES-NI, SHA и т.п.

[straus]

Я сначала хотел спросить, потом передумал. Ну ладно, спрошу. Что такого нужно от фаера на 20-30 машин, что нужно брать pfsense и интеловское железо? Я почему спрашиваю... Для обычной конторы на 18 компов оказалось более, чем достаточно OpenWRT. И там ещё запас остаётся. Да, если что, железо вообще смешное - Keenetic Lite (!). Это древность неимоверная, сейчас уже и не найдёшь. Какой-нибудь более-менее современный роутер, перешитый на OpenWRT, 40-50 клиентов обслужит не напрягаясь. Ну в обычных условиях. Видимо, у ТС какие-то специальные требования.

[alibek]

Отвечу по порядку.

 

Требования — потому что такие указаны (в качестве рекомендуемых) на сайте pfSense.

Мини-пк — потому что он получается дешевле, чем любой другой вариант, по крайней мере из тех, что я нашел. Б/у на Авито и т.п. — нежелательно, покупать будет организация, желательно это делать по счету.

 

Почему просто не Микротик? Ну была такая мысль. Но у нас Микротики сейчас идут с большой наценкой, просто не хочется за какой-нибудь hEX отдавать 10-12 тысяч. А уж по цене RB4011 так и вовсе можно мощный микро-сервер или мини-пк взять.

Кроме того, это сейчас заявляется, что нужно только раздать интернет, да сетевой экран настроить. Потом окажется, что будет не лишним настроить VPN, какой-нибудь IDS и т.д. Потом руководство вдруг захочет какие-нибудь отчеты. Так что пусть лучше будет сервер (для универсальности)

Хотя вот сейчас снова про Микротики подумал.

 

Двухпортовая Intel — ну просто хотелось бы нормальную сетевую карту. В тех вариантах мини-пк, что я находил, модель сетевой карты не уточнялось, либо была Realtek 8111, а она уж очень на софтовую похожа (хотя вот тут вроде пишут, что есть офлоад для CRC и фрагментирования). Если этого с избытком хватит на 100М, то наверное можно и такое оставить.

 

Голый линукс не подходит, потому что знакомый с ним не знаком, а ему потом это обслуживать и сопровождать. Из подобного ПО pfSense обычно на слуху, я сходил на сайт, посмотрел описание и скриншоты — вроде бы достаточно просто, удобно и функционально. Но раз они в санкции играют, то посмотрю OPNsense.

В принципе, тут бы тоже микротик подошел.

 

Почему не просто Кинетик или какой-нибудь *WRT? Знакомый хочет хороший межсетевой экран. За последний год они дважды ловили вирус-шифровальщик. Правда от подобного сетевой экран поможет мало, обычно тут слабым звеном являются пользователи, но по крайней мере последний раз взломали файлохранилище (за которым интерактивных пользователей нет), а значит есть уязвимости, а тут хороший файрвол может помочь.

Ну и в целом знакомый хочет иметь больше контроля за сетью, а подобный сервер-маршрутизатор даст больше контроля, чем роутер (ростелекомовский или какой другой домашнего уровня).

Я помогу знакомому обследовать и документировать сеть, по поведению пользователей рекомендации дам. Но нормальный роутер это та вещь, которая в любом случае лишней не будет.

[straus]

1 час назад, alibek сказал:

Почему не просто Кинетик или какой-нибудь *WRT? Знакомый хочет хороший межсетевой экран.

Здесь у меня замечание. "Просто Кинетик" и OpenWRT я бы не стал ставить в одну фразу. Это очень разные по функциональности системы. Кинетик с родной операционкой - просто обычный домашний роутер. OpenWRT - это уже не детская система. На древности 2014 года я без проблем развёл 2 WAN и 3 внутренних зоны со своей адресацией, плюс несколько зон с изоляцией на Wi-Fi. Возможности файрвола вполне взрослые. SNAT есть. Что там наворотили в 2025 году - даже представить страшно. И ставится на новые гигабитные роутеры.

 

Касательно мини-ПК - их существует много. Тебе нужно смотреть, что именно есть в доступности именно для тебя. Хотя, если стоять будет в серверной - может и не нужно искать мини? Ибо мини - это нестандарт с меньшими объёмами выпуска, своим БП, возможно низкопрофильными расширениями - короче, цена сразу сильно вверх.

[passer]

2 часа назад, alibek сказал:

Почему просто не Микротик? Ну была такая мысль. Но у нас Микротики сейчас идут с большой наценкой, просто не хочется за какой-нибудь hEX отдавать 10-12 тысяч. А уж по цене RB4011 так и вовсе можно мощный микро-сервер или мини-пк взять.

Вот уж до чего не люблю микротики, но примерно год назад настроил hEX (5 гиговых портов без вафли) его в организацию как раз на трафик чуть меньше сотки и порядка 30-40 пользователей - народу итог понравился. Правда, файервол там на достаточном минимуме был. И потом узнал сколько он стоит (5-7 тысяч) , у нас за гигабитные кинетики близкие цифры.

Касательно IDS, надо понимать, что производительность с таким включенным функционалом, в некоторых конфигурациях, может падать на порядок. Если не верите, взгляните на даташиты роутеров элтекс, весьма занятные цифры, однако.

 

В общем, инфой поделился, дальше здравый смысл и ТЗ заказчика дорожку укажет.

 

3 часа назад, alibek сказал:

Двухпортовая Intel

Минипк с интеловскими сетевухами мне встречались на алике, а, значит, их с некой вероятностью и за двойной-тройной ценник можно встретить в официальных магазинах под шильдиками dexp и т.п., но повторюсь, сотку можно прокачать и даже через usb-сетку, а уж встройки гигабитного реалтека за глаза хватит. 

[naves]

3 hours ago, alibek said:

Почему не просто Кинетик или какой-нибудь *WRT? Знакомый хочет хороший межсетевой экран. За последний год они дважды ловили вирус-шифровальщик. Правда от подобного сетевой экран поможет мало

Да никак не поможет. Клиент сам не знает чего хочет, точнее хочет волшебную кнопку железку, которая за него сделает все сама. Плюс эту волшебную железку нужно уметь еще настроить. А те, кто умеют их настраивать, так вопросы не ставят.

А железки, которые прям смотрят трафик, и блокируют зловреды внутри трафика, стоят немного денег, как на железку, так и для настройки. Да, нужно будет на все компы поставить доверенные сертификаты для работы железки в режиме MITM.

 

Гораздо эффективнее отобрать у всех юзеров на компах админов, и права на запуск любых исполняемых файлов, кроме как из каталогов windows и program files. Решается через групповые политики, надо бы скрин настроек поискать для такого дела.

Я несколько раз радовался, когда звонили из бухгалтерии и жаловались, что не могут открыть акт-сверки.doc.exe. Причем тезис, что нельзя открывать файлы от незнакомых не работал, потому что письмо приходило от контрагента.

 

По железу, два любых старых говно-писюка с запущенным keepalived разве не подойдут? Воткнуть только вторую сетевуху. Надо только придумать как синхронизировать конфиги. Один фиг, KVM нигде не будет.

 

 

3 hours ago, alibek said:

взломали файлохранилище (за которым интерактивных пользователей нет), а значит есть уязвимости, а тут хороший файрвол может помочь.

Web-port хранилки открыли в интернет? Ну и как хороший файрвол должен помочь? Старый роутер от провайдера не имеет ACL для таких случаев? Ну так на самой хранилке иногда есть настройки ACL.

Edited June 6, 2025 by naves

[dvb2000]

Mini-PC для pfSense существует огромное множество. Например, для всяких мелочей уже много лет я использую такие:

 

Это и пассивное охлаждение, и сверх малый форм фактор, и возможность выбора требуемого процессора с нужной мощностью, и достаточное количество сетевых интерфейсов высокого качества со скоростью до 2.5 гига, и возможность установить достаточно памяти и т. д.

Этот дешёвый китайский Mini-PC можно купить даже на aliexpress, например тут:

https://www.aliexpress.com/item/1005005180998417.html

 

Стоить он будет около 1K$ и хватит его на всё что от него требуется для подключения такого SMB офиса на пару десятков посадочных мест, со всеми их хотелками, включая VPN Server с аппаратным ускорением шифрования, IPS/IDS, сетевой антивирус, продвинутый файрволл и т. д.

  

[alibek]

80 рублей — дешевый?

 

Цитата

Гораздо эффективнее отобрать у всех юзеров на компах админов, и права на запуск любых исполняемых файлов

Я знакомого сразу предупредил, что файрвол от такого (шифровальщики) поможет мало. Тут надо наводить порядок с правами пользователей; при этом удобство пользования и защищенность сети взаимоисключают друг друга.

Ну а что конкретно делать — посоветую, когда посмотрю, что там за сеть.

Как он мне сказал: Залезли с файловой помойки под управлением serv 2012, создали RDP, залезли на основной сервер под Админом, удалили Dr.Web, посадили шифровальщика.

[straus]

1 час назад, alibek сказал:

80 рублей — дешевый?

Ну да. Особенно учитывая заявленные характеристики. Ты же хотел мини, а это нестандартные вещи с очень малыми объёмами выпуска. Даже какой-нибудь баребончик будет стоить намного дороже стандартного ПК.

[pppoetest]

Цитата

входящий интернет-канал на 100М.

Хватит малинки

[passer]

Малинка как бы не дороже минипк выйдет, если с корпусом приличным и БП нормальным, а не телефонной зарядкой.

[Ivan_83]

On 6/6/2025 at 2:39 PM, alibek said:

на два-три десятка ПК

 

On 6/6/2025 at 2:39 PM, alibek said:

входящий интернет-канал на 100М

DIR-300!

Можно и асус года 2010-11, на позапрошлой работе как раз какой то древний асус всю контору окучивал 🙂

 

On 6/6/2025 at 2:39 PM, alibek said:

Требования: CPU i5/i7, RAM 8G, SSD 128G.

Жирновато для 100м канала. Даже коредуо и то жирновато.

 

On 6/6/2025 at 9:03 PM, alibek said:

Требования — потому что такие указаны (в качестве рекомендуемых) на сайте pfSense.

Там же фря обычная/допиленная, а требования там поди под заметно большие нагрузки.

 

On 6/6/2025 at 9:03 PM, alibek said:

какой-нибудь IDS и т.д. Потом руководство вдруг захочет какие-нибудь отчеты.

Ха-ха.

Кто вам в IDS будет бесплатно сигнатуры давать?

Захочет отчёты - пусть доплачивает, ибо это новая задача.

 

On 6/6/2025 at 9:03 PM, alibek said:

Двухпортовая Intel — ну просто хотелось бы нормальную сетевую карту.

Да нафиг там не упало больше одного порта, вланами растегируешь через управляемый коммутатор сколько нужно портов.

 

On 6/6/2025 at 9:03 PM, alibek said:

Знакомый хочет хороший межсетевой экран. За последний год они дважды ловили вирус-шифровальщик. Правда от подобного сетевой экран поможет мало, обычно тут слабым звеном являются пользователи, но по крайней мере последний раз взломали файлохранилище (за которым интерактивных пользователей нет), а значит есть уязвимости, а тут хороший файрвол может помочь.

Не поможет оно вам, это надо понимать как и что настраивать.

 

Смотрите сами по бюджету.

Можно взять пару роутеров и перешить в опенврт, один сразу в запас убрать. (только в начале в вики смотрите а потом покупайте, наоборот часто не работает)

Можно нечто на какомнить атоме или мелком амд взять и вкорячить туда фаервольный дистр фри/линуха - будет чуть дороже.

[edo]

В 06.06.2025 в 21:03, alibek сказал:

Realtek 8111, а она уж очень на софтовую похожа

а что вы вообще вкладываете в «софтовая»? 

 

В 06.06.2025 в 21:03, alibek сказал:

(хотя вот тут вроде пишут, что есть офлоад для CRC и фрагментирования)

с оффлоадами на 8111 небогато, ну так и вам не надо сотни гигабит ворочать, к чему о них думать?

 

В 06.06.2025 в 21:03, alibek сказал:

просто не хочется за какой-нибудь hEX отдавать 10-12 тысяч

то есть 10 тысяч для вас уже дорого? и на какую сумму вы рассчитываете?!?