Добрый вечер, господа!
Поставлена задача разграничить доступ (скорость, порты, протоколы, сайты) к Интернету пользователям сети и организовать круглосуточный доступ к файловому серверу через VPN, распределение нагрузки на 2х провайдеров.
Я сейчас разрываюсь между вариантом поставить и настроить CISCO или купить KERIO.
Подскажите какой вариант Вы бы использовали.
Задача состоит в том чтобы пользователи
а. могли получать доступ только на разрешенные сайты
б. имели ограничение скорости после окончания выделенного объёма трафика.
в. могли заходить в сеть по VPN
г. имели ограничение по портам (для некоторых пользователей)
Ну и конечно же стоимость реализации при учете что в сети около 100 пользователей

б. имели ограничение скорости после окончания выделенного объёма трафика. »
с этим беда?

у нас было так:
- CISCO ASA как файрвол (том числе и портов), VPN сервер.
- squid как фильтр трафика
- около 400 пользователей
- ограничение скорости не было

с этим беда? »
Ну в смысле я имел ввиду что на каждого пользователя дать какой-то объём трафика, и если он его потратил, то "до свидания скорость".

дать какой-то объём трафика »
под "с этим беда?" я имел ввиду, что у вас в организации лимитный трафик?

нет. это скорее в воспитательных целях и для выявления злостных бездельников

это скорее в воспитательных целях и для выявления злостных бездельников »
не те методы вы придумываете для воспитания. да и не ваша же эта забота?!

да и не ваша же эта забота?! »
крайний всё-равно админ.
Когда начальство не может провести архиважную конференцию в skype потому-что кто-то из юзеров смотрит фильмы онлайн и качает музыку, по шапке получает админ

крайний всё-равно админ. »
за то, что кто-то не делал свою работу?Когда начальство не может провести архиважную конференцию в skype потому-что кто-то из юзеров смотрит фильмы онлайн и качает музыку, по шапке получает админ »
используйте QoS. блокируйте сайты с фильмами и музыкой.

вот я и думаю над вариантами пути. =) софт или железка

CentOS + Squid + AD + Layer7 + Snort + ipcad + lightsquid + OpenVPN
Cisco я бы не стал ставить основным шлюзом сети...

голая циска - нет.
керио - частично.
Cisco я бы не стал ставить основным шлюзом сети... »
спорное утверждение.
CentOS + Squid + AD + Layer7 + Snort + ipcad + lightsquid + OpenVPN »
10 десятка разных конфигов в разных местах.
для любителей костылей - отличный вариант.

10 десятка разных конфигов в разных местах.
для любителей костылей - отличный вариант. »
Где тут костыли?
Или надо что бы все было с красивыми менюшками было и настраивалось одним щелчком мышки?
Везде где я работал и компании которые я знаю использовали в качестве шлюзов дистрибутивы на Linux/Unix.

для любителей костылей - отличный вариант. »
в точку
CentOS + Squid + AD + Layer7 + Snort + ipcad + lightsquid + OpenVPN »
Проще. PfSense стандартной сборки и больше ничего не нужно
Где тут костыли? »
Такая связка сама по себе сборник костылей, всё-равно что создавать свою сборку Linux под каждую задачу. Зачем когда уже есть прекрасные готовые решения.красивыми менюшками »
хотя бы WEB GUI
настраивалось одним щелчком мышки »
Не думаю что CISCO или Kerio настраиваются одним щелчком мыши. Разговор всё-же о них.

PfSense стандартной сборки и больше ничего не нужно »
Ты это мне говоришь, ну-ну...
Pfsense - очень хорошая штука для новичков, но не более того. Я сам именно с нее начал активно изучать Linux/Unix.

Такая связка сама по себе сборник костылей, всё-равно что создавать свою сборку Linux под каждую задачу »
Костыли будут у Вас в голове когда после обновления у Вас пакеты полетят и начнут не корректно работать.

хотя бы WEB GUI »
Вот оно новое поколение...

CISCO или Kerio »
Kerio багнутое ПО.
Циско хорошая железка, дальше думайте сами.

Везде где я работал и компании которые я знаю использовали в качестве шлюзов дистрибутивы на Linux/Unix. »
это ровным счётом ничего не означает, кроме самого факта.
Где тут костыли?
Или надо что бы все было с красивыми менюшками было и настраивалось одним щелчком мышки? »
костыли тут тотально и абсолютно везде, при каждом шаге.
нужно что бы был один конфиг.
см. железо или аппаенсы с FW, где тоже линукс, только (сюрпиз!) допиленный до ума.

костыли тут тотально и абсолютно везде, при каждом шаге. »
Тогда и Windows server это костыль и вообще все костыли что содержит более одного конфиг файла, бред какой-то...

Rezor666, Может хватит препираться? Ваше решение действительно сборник костылей
после обновления у Вас пакеты полетят и начнут не корректно работать »
Я ещё ни разу не умудрился так поставить обновления чтобы у меня всё слетело, и я знаю что такое backup
Вот оно новое поколение... »
А Вы у нас, значит админите со времен Ануса Януса?
Что серьёзно? создавали наборы инструкций макрокоманд в текстовом редакторе? (большую часть текста удалил, чтобы не сильно обидеть).
Ну тогда не удивительно почему Вы так настаиваете на своём комплекте костылей. Вам конечно привычнее неделю долбаться через SSH и telnet вместо того чтобы за пару часов настроить полностью работоспособный сервер через WEB GUI.
И кстати, мы снова ушли от темы. Лично я больше склоняюсь в сторону CISCO
1. Она выйдет дешевле чем покупка KERIO
2. Её настройка не займет столько времени сколько нужно для конфигурирования KERIO с учетом всех требований
3. Мне кажется (ИМХО) что CISCO будет стабильнее чем Kerio установленный на WS. Как-то она у меня вызывает больше доверия, а на WS можно будет поставить Traffic Inspector

Я сейчас разрываюсь между вариантом поставить и настроить CISCO или купить KERIO.
Подскажите какой вариант Вы бы использовали.
Задача состоит в том чтобы пользователи
а. могли получать доступ только на разрешенные сайты
б. имели ограничение скорости после окончания выделенного объёма трафика.
в. могли заходить в сеть по VPN
г. имели ограничение по портам (для некоторых пользователей)
Ну и конечно же стоимость реализации при учете что в сети около 100 пользователей »

1) Циско, простите, что? У данной компании сотни типов (не моделей, именно типов) решений.
Если имеется в виду ASA55xx, то сравнивается еж с ужом, т.к. ASA это межсетевой экран (МЭ), а Kerio это прокси с элементами МЭ (по современной классификации - Web Gateway).
Если имеется в виду IronPort (Сейчас Cisco Web/Email Security), то это не ваш уровень, т.к. уровень решения где-то от 500 человек (и все равно понадобится ASA)

2) По поводу желаний и может ли это ASA:
а. могли получать доступ только на разрешенные сайты
Для включения такой функции требуется подписка на опцию.
Штука не дешевая, и самое главное, требуется ежегодные платежи.

б. имели ограничение скорости после окончания выделенного объёма трафика.
В чистом виде нет, т.к. требуется отдельный сервер биллинга, который может управлять МЭ.
Коммерческий сервер биллинга может стоить стоить как вся ваша контора скопом.

в. могли заходить в сеть по VPN
ДА.

г. имели ограничение по портам (для некоторых пользователей)
ДА
Так же хочу заметить, что современные МЭ - (NGFW), детектируют приложения по сигнатурам, а не портам (по портам так же можно).
К сожалению у Cisco это опция платная и выполнена как годовая подписка.

У кого из вендоров это решение более или менее доступно:
Бесплатная эта функция у PaloAlto, но сам вендор не дешевый.
У Fortinet Функция платная, но подписка стоит не дорого.

--------------
Что можно рекомендовать (для данных условий):
Пара Squid + ASA


Лично я бы рекомендовал попробовать решения от Fortinet:
- сама железяка дешевле раза в полтора;
- техподдержка дешевле и сразу включает подписку на все обновляемые базы.

Попробовать можно следующим образом: стянуть с сайта Fortinet полноценный виртуальный апплайнс, который будет "живым" две недели.

3) Если с деньгами совсем плохо, то лучше пробовать пару: Mikrotik + Squid

кстати, о биллинговой системе: NETAMS (http://www.netams.com/netams4.html). Условно-бесплатный (т.е. платный только для определённых организаций: интернет провайдеров, ибо им так положено)
все интересующий вопросы можете задать у них на форуме. Если решите протестировать - рекомендую на Linux.

Rezor666, Может хватит препираться? Ваше решение действительно сборник костылей »
Да для Вас все костыль что имеет больше одного файла конфига :laugh:
Я ещё ни разу не умудрился так поставить обновления чтобы у меня всё слетело, и я знаю что такое backup »
Как он поможет от того что версии пакетов будут разные и соответственно файл конфигов тоже будет различаться :)
Или Вы делаете бэкап с помощью dd? :)
К тому же если Вы почитаете форум то поймете что Pfsense хороший, но не идеальный и с не малым количеством багов.
И все кто это понимают уходят на чистую FreeBSD или Linux.
Вам конечно привычнее неделю долбаться через SSH и telnet вместо того чтобы за пару часов настроить полностью работоспособный сервер через WEB GUI. »
А кто Вам сказал что у Cisco все будет через WEB GUI???
Я не профи в Cisco но насколько мне известно Вам сначала все таки придется использовать telnet или ssh.
И кстати настройка всего что я написал у меня занимает не более часа.
(большую часть текста удалил, чтобы не сильно обидеть) »
Не утруждайтесь, не сможете.
Почитал я ваши темы и "оценил" Ваши знания.

И заметьте, не я один Вам предлагаю костыли.
Mikrotik + Squid »
рекомендую на Linux. »
Тоже самое, только чуть в другой оберточке, или все дураки а Вы умный?

А Вы видели сколько конфиг файлов у Asterisk и заметьте что никто не жалуется что он "костыль" так что не несите пургу.