Всем доброго времени.
Просьба помочь определится, с пока  что, теоретическими вопросами. Хочу сделать шлюз состоящий из 2-х компьютеров. Ось-freebsd. Сеть небольшая, но понемногу растет. Пока, что <50. На одном компе vpn server, хостинг для локальной странички, биллинг, dns,dhcp, samba, ftp. На другом - pf, хостинг для внешнего сайта, шейпер, вторичный dns.
Пока что не ясно, как лучше реализовать шейпер: ng_car или dummynet\ipfw? Если первый, то вместе с mpd на первом или dummynet на втором? В идеале сделать самостоятельные серверы, чтобы обслуживание одного не останавливало сеть. Подскажите, как оптимальней распределить сервисы? Компы: 1) 2.8Prescott 1.5GbОЗУ 2)Barton2800+ 1GbОЗУ

• Составной сервер,Miha, 01:21 , 25-Ноя-13
  • Составной сервер,164Vitali164, 02:28 , 25-Ноя-13
    • Составной сервер,Дядя_Федор, 08:15 , 25-Ноя-13
      • Составной сервер,164Vitali164, 08:50 , 25-Ноя-13
        • Составной сервер,164Vitali164, 10:22 , 25-Ноя-13
        • Составной сервер,Miha, 12:24 , 25-Ноя-13
        • Составной сервер,михалыч, 14:07 , 25-Ноя-13
          • Составной сервер,164Vitali164, 18:16 , 25-Ноя-13
            • Составной сервер,lavr, 22:43 , 25-Ноя-13
              • Составной сервер,164Vitali164, 08:13 , 26-Ноя-13
                • Составной сервер,Дядя_Федор, 08:17 , 26-Ноя-13
                  • Составной сервер,164Vitali164, 09:14 , 26-Ноя-13
                    • Составной сервер,164Vitali164, 15:04 , 26-Ноя-13
                      • Составной сервер,164Vitali164, 04:54 , 27-Ноя-13
• Составной сервер,2ihi, 08:50 , 27-Ноя-13
  • Составной сервер,Miha, 14:49 , 27-Ноя-13
    • Составной сервер,2ihi, 14:59 , 27-Ноя-13
      • Составной сервер,Miha, 18:11 , 27-Ноя-13
        • Составной сервер,2ihi, 19:04 , 27-Ноя-13
        • Составной сервер,164Vitali164, 19:51 , 27-Ноя-13
      • Составной сервер,Дядя_Федор, 08:17 , 28-Ноя-13
        • Составной сервер,Miha, 10:46 , 28-Ноя-13
          • Составной сервер,2ihi, 11:32 , 28-Ноя-13
            • Составной сервер,164Vitali164, 20:38 , 28-Ноя-13
              • Составной сервер,2ihi, 09:06 , 29-Ноя-13
                • Составной сервер,lavr, 14:23 , 29-Ноя-13
                  • Составной сервер,2ihi, 06:07 , 30-Ноя-13
                • Составной сервер,164Vitali164, 01:10 , 30-Ноя-13
                  • Составной сервер,2ihi, 06:09 , 30-Ноя-13
                    • Составной сервер,164Vitali164, 07:59 , 30-Ноя-13
                      • Составной сервер,2ihi, 14:07 , 30-Ноя-13
                        • Составной сервер,164Vitali164, 01:32 , 01-Дек-13
                          • Составной сервер,2ihi, 07:19 , 01-Дек-13
            • Составной сервер,Дядя_Федор, 08:50 , 29-Ноя-13
              • Составной сервер,2ihi, 08:56 , 29-Ноя-13
                • Составной сервер,164Vitali164, 10:17 , 30-Ноя-13
                  • Составной сервер,2ihi, 13:58 , 30-Ноя-13
                    • Составной сервер,Дядя_Федор, 20:36 , 30-Ноя-13
                      • Составной сервер,2ihi, 07:25 , 01-Дек-13
                        • Составной сервер,164Vitali164, 11:30 , 01-Дек-13
                        • Составной сервер,Дядя_Федор, 13:00 , 01-Дек-13
                    • Составной сервер,164Vitali164, 21:04 , 30-Ноя-13
                      • Составной сервер,2ihi, 07:26 , 01-Дек-13
                        • Составной сервер,164Vitali164, 11:26 , 01-Дек-13
                          • Составной сервер,2ihi, 05:23 , 02-Дек-13
                            • Составной сервер,164Vitali164, 05:51 , 07-Дек-13
                              • Составной сервер,2ihi, 06:42 , 08-Дек-13
                                • Составной сервер,164Vitali164, 16:33 , 08-Дек-13
                                  • Составной сервер,164Vitali164, 06:34 , 09-Дек-13
                                    • Составной сервер,164Vitali164, 03:26 , 13-Дек-13
                                      • Составной сервер,2ihi, 06:36 , 13-Дек-13
                                        • Составной сервер,164Vitali164, 10:53 , 13-Дек-13
                                      • Составной сервер,164Vitali164, 09:26 , 13-Дек-13
                                    • Составной сервер,2ihi, 06:33 , 13-Дек-13
                                      • Составной сервер,164Vitali164, 12:18 , 17-Дек-13
                                        • Составной сервер,lavr, 13:50 , 17-Дек-13
                                          • Составной сервер,164Vitali164, 08:26 , 18-Дек-13
                                            • Составной сервер,164Vitali164, 20:44 , 17-Фев-14
                                              • Составной сервер,164Vitali164, 19:10 , 25-Дек-15
                                                • Составной сервер,164Vitali164, 19:28 , 27-Янв-17

> Всем доброго времени.
> Просьба помочь определится, с пока  что, теоретическими вопросами. Хочу сделать шлюз
> состоящий из 2-х компьютеров. Ось-freebsd. Сеть небольшая, но понемногу растет. Пока,
> что <50. На одном компе vpn server, хостинг для локальной странички,
> биллинг, dns,dhcp, samba, ftp. На другом - pf, хостинг для внешнего
> сайта, шейпер, вторичный dns.
> Пока что не ясно, как лучше реализовать шейпер: ng_car или dummynet\ipfw?

   Kernel nat, ясное дело. От pf можно отказаться, если у вас не сложная топология на шлюзе, но если сложная, что часто бывает в офисных реализациях, то на ipfw могут возникнуть сложности в реализации.

> Если
> первый, то вместе с mpd на первом или dummynet на втором?

  Один внешний, который рулит трафиком. Другой - внутренний, на котором внутренние сервисы. С ДМЗ-зоной и т.д.
  Вообще нужно смотреть нагрузку. Если бы не самба, то я бы все по клеткам распихал на одном сервере.
  Я использую jail + vnet. Клетки строятся самописным скриптом, имеется одна базовая со фсем софтом и апппликейшн-клетки под сервисы. Рулится все ipfw (per-inetrface acl). Для распределения нагрузки активно успользую, появившийся в 9.0, RACTL. Очень компактное и секурное решение получается.

> В идеале сделать самостоятельные серверы, чтобы обслуживание одного не останавливало сеть.
> Подскажите, как оптимальней распределить сервисы? Компы: 1) 2.8Prescott 1.5GbОЗУ 2)Barton2800+
> 1GbОЗУ

>Для распределения нагрузки активно успользую, появившийся в
>9.0, RACTL. Очень компактное и секурное решение получается.

Для распределения по разным инет каналам?
=============
Нагрузка, пока что 40 юзеров. Мне бы скелет системы определить. Думается, больше нагрузки будет приходится на НАТ, если это можно назвать нагрузкой. И хостинг (php особенно),.. не то чтобы незаметен совсем.
А если так: на тот, что интел2.8(внешний) поставить ipfw(+dummynet чтоб шейпить когда первого компа нету), apache+mysql+php. На второй(внутренний) - mpd+ngcar+billing+apache_php+dns+dhcp Биллинг простенький буду использовать Поэтому нагрузка должна быть минимальная. Вот если бы UTM бесплатен был :) Еще вопрос: проц с HT и как PF с ним уживается в 9-ке? Самба под вопросом..может третим компом поставлю 3-й пенек с какой нибудь виндой самой дешевой ХР хоум например. Заодно обозреватель сети будет с wins. 100% юзеров на винде сидят. С шейпером вопрос какой меньше нагружает систему ngcar или dummynet?

> Биллинг простенький буду использовать

А биллинг Вам зачем, если не секрет? Разве у Вас не рабочая сеть, а сеть предоставления услуг (мини-провайдер, тык скыть)? Если да - то биллинг на фиг не вперся. Ну, разве что своих пользователей как-то ограничивать. Тут и какого-нибудь SAMS с головой бы хватило.

> Вот если бы UTM бесплатен был :)

В UTM своих тараканов хватает. Очень многое приходится делать при помощи "костылей" и какой-то матери. :) Хотя среди биллингов, пожалуй, самое бюджетное решение для небольшой сетки. На очень серьезных нагрузках приходится очень серьезное тюнить. Конкурент в этом ценовом сегменте у него LAN Billing, как мне кажется.

> сеть предоставления услуг (мини-провайдер, тык скыть)

Ну да, чтото вроде этого. И потом удобно: база пользователей, сами сверяют баланс и тд. Отключение пользователей тоже важно. А из бесплатных аналогов, какой заслуживает внимания, не подскажите?

Интересная статейка: http://linuxbill.blogspot.com/2007/12/linux.html
------
NetAMS
Stargazer+ubilling
как варианты

>> сеть предоставления услуг (мини-провайдер, тык скыть)
> Ну да, чтото вроде этого. И потом удобно: база пользователей, сами сверяют
> баланс и тд. Отключение пользователей тоже важно. А из бесплатных аналогов,
> какой заслуживает внимания, не подскажите?

Не, ну вы даете. Описывать же надо. Я так понял, что для предприятия. А вы типа домонета ваяете. Тут я бы сам написал. Смотрите в сторону ipfw/dummynet + pmacctd + готовый фронтэнд или самописный.

>> сеть предоставления услуг (мини-провайдер, тык скыть)
> Ну да, чтото вроде этого. И потом удобно: база пользователей, сами сверяют
> баланс и тд. Отключение пользователей тоже важно. А из бесплатных аналогов,
> какой заслуживает внимания, не подскажите?

есть порт /usr/ports/net/abills

> есть порт /usr/ports/net/abills

Совсем забыл за него. С биллингом вроде определился. Хотя еще stargazer почитаю. Буду ставить freebsd на первый комп.

>> есть порт /usr/ports/net/abills
> Совсем забыл за него. С биллингом вроде определился. Хотя еще stargazer почитаю.
> Буду ставить freebsd на первый комп.

имеет смысл озаботится нормальными сетевыми картами

> имеет смысл озаботится нормальными сетевыми картами

Сетевые такие Intel PRO1000GT, Intel PRO100S, 3Com905Tx

>> имеет смысл озаботится нормальными сетевыми картами

Имеет смысл ознакомиться с правилами предоставления услуг телематики. ;) Чтобы потом не было мучительно больно за бесцельно прожитое прошлое. Это добрый совет. Который к теме, конечно, имеет очень опосредованное отношение.

> Имеет смысл ознакомиться с правилами предоставления услуг телематики ;)

Как уж тут не ознакомишься с нашей налоговой %) Изучаем понемногу
http://www.rom.by/forum/Zapishchal_trans_JJ-300T?page=9
А это моя самоделка :) Вторая чуток поплотнее

Подскажите, по нагрузке на проц и стабильности, как оцениваются ng_car и dummynet?

Понятно, а нужны ли параметры ipfw\pf, если ната на компе не будет, - только mpd? Хочу ядро пересобрать.

Вопросы:
1. Какой толщины канал будет шейпиться\натиться?
2. Какие сетевые карты стоят, сколько ядер процессора и тактовые частоты?
3. Есть ли потребность вести логи кто-куда-сколько-когда?
4. по ВПНу, что в нем будет летать - только интернет или еще и локалка?
5. для какой цели делается фтп, самба и прочее?

конкретика:

1. Нат
самый быстрый натер - это ПФ с опцией агрессив, в 10.0 он еще и многоядерным будет

2. Шейпер
самый "правильный" шейпер - это dummynet

3. подходы
а)файловый сервер и роутинг вещи не совместимые
б)ВПН и услуги связи - беда, чем дальше тем больше
в)в серверах должны стоять карты под дровину igb и лучше, или на худой конец em (который не легаси)
г)в роутинге\шейпинге\нате нужна тактовая частота, поколение процов влияние оказывает но не так как тактовая частота и количество ядер, особенно в поточных дровах типа igb (8 очередей на порт, в карту с 4мя портами можно прибить 32 ядра, конечно этого много но 4 гигабита с адским PPS просрет на ура, джунипер подобного класса будет стоить от 1 млн.р.)
д)VPN - не связывайтесь ни при каких условиях, пусть свичи занимаются безопасностью.

память под роутеры:
Чисто роутеру потребуется 300-400-500мб памяти если увеличить буферы, раздуть очереди итд, минимальный запас x2 и того для роутера минимум гиг, МИНИМУМ.
ВПН, в принципе мпд нормальный демон, юзает нормальный нетграф, память сильно не жрет, на 50 рыл онлайна нужно мегабайт 200-300 памяти в т.ч. и самому МПД. если МПД будет отдельно от бордюрного роутера, то не забываем про 300-500мб роутера, и того если МПД будет отдельным, то желательно поставить 1.6гб-2гб на ВПН.

самба, фтп, биллинг (БД) - тут все тонко, все зависит от демонов применяемых и онлайна юзерского, от гига и до упаду.

по распределению:
на бордере можно поставить шейпер, нат, билинг, днс, дхцп и можно ВПН
на втором все остальное

схема с отказоустойчивостью при вырубании одного не вырисовывается, если ДХЦП можно сделать отказоустойчивым, то ДНС нет, без дикого колхоза и изврата который будет вечно глючить. Ну а про такие сервисы как нат или ВПН и говорить не приходится, их тупо некому будет заменить.

> Вопросы:
> 1. Какой толщины канал будет шейпиться\натиться?
> 2. Какие сетевые карты стоят, сколько ядер процессора и тактовые частоты?
> 3. Есть ли потребность вести логи кто-куда-сколько-когда?
> 4. по ВПНу, что в нем будет летать - только интернет или
> еще и локалка?
> 5. для какой цели делается фтп, самба и прочее?
> конкретика:
> 1. Нат
> самый быстрый натер - это ПФ с опцией агрессив, в 10.0 он

  Ве чего? Агрессив даст вам восновном снижение расходов памяти, т.к. стейтов гораздо меньше будет.
Для себя я тестил новый ПФ, срузу как Глеб его в HEAD портировал, и ipfw (acl по интерфейсам). Выигрыш по загрузке CPU у ipfw около 5%. Для ISP - лучше ipfw+dummynet.

>   Ве чего? Агрессив даст вам восновном снижение расходов памяти, т.к.
> стейтов гораздо меньше будет.
>  Для себя я тестил новый ПФ, срузу как Глеб его в
> HEAD портировал, и ipfw (acl по интерфейсам). Выигрыш по загрузке CPU
> у ipfw около 5%. Для ISP - лучше ipfw+dummynet.

Тестировать можно по разному, например на потоке 5к пакетов, или 500.. В каком варианте ipfw выигрывал? :) Ну и есть такая особенность - чем больше данных в мозгах, тем ими сложнее оперировать.

По опыту, на канале в гигабит ПФ на высоте, чего про ipfw не сказать.. Плюс (вернее минус в огород ipfw) при нате ipfw нужно ключики выставлять one_pass что приводит к раздуванию правил или другим нежелательным последствиям, и еще - я вот не в курсе, глюк на пайпах пофиксили с one_pass=1 когда пакеты застревали в трубах на передергивании пайпов?

>>   Ве чего? Агрессив даст вам восновном снижение расходов памяти, т.к.
>> стейтов гораздо меньше будет.
>>  Для себя я тестил новый ПФ, срузу как Глеб его в
>> HEAD портировал, и ipfw (acl по интерфейсам). Выигрыш по загрузке CPU
>> у ipfw около 5%. Для ISP - лучше ipfw+dummynet.
> Тестировать можно по разному, например на потоке 5к пакетов, или 500.. В
> каком варианте ipfw выигрывал? :) Ну и есть такая особенность -
> чем больше данных в мозгах, тем ими сложнее оперировать.

   Iperf'ом стандартным ТСР-пакетом. Цыфр с результатами нету по рукой.

> По опыту, на канале в гигабит ПФ на высоте, чего про ipfw
> не сказать.. Плюс (вернее минус в огород ipfw) при нате ipfw
> нужно ключики выставлять one_pass что приводит к раздуванию правил или другим

  А как раздуются правила на ПФ, когда у вас будет с пол-сотни вланов, для которых нужно прописать фильтрацию? А? В ipfw есть per-interface acl.

> нежелательным последствиям, и еще - я вот не в курсе, глюк
> на пайпах пофиксили с one_pass=1 когда пакеты застревали в трубах на
> передергивании пайпов?

  На практике с этим глюком не встечался. Видел на страничке у dadv'а описание этой проблемы. Ну дак у него до полторы тыщи активных p2p соединений на сервер. Пофиксили или нет не в курсе.
  Я нехочу с вами спорить на тему ipfw vs pf. Просто у каждого свое предназначение. Одним лучше рулить office/home, другим - ISP.

>   А как раздуются правила на ПФ, когда у вас будет
> с пол-сотни вланов, для которых нужно прописать фильтрацию? А? В ipfw
> есть per-interface acl.

ну дак я и говорю, для ната PF, все остальное - ipfw (в т.ч. думминет и пайпы)

>> нежелательным последствиям, и еще - я вот не в курсе, глюк
>> на пайпах пофиксили с one_pass=1 когда пакеты застревали в трубах на
>> передергивании пайпов?
>   На практике с этим глюком не встечался. Видел на страничке
> у dadv'а описание этой проблемы. Ну дак у него до полторы
> тыщи активных p2p соединений на сервер. Пофиксили или нет не в
> курсе.

было и у меня такое, слава богу разгреблись с ВПНом, кстати ничего страшного в таких количествах нет, было б железо да руки :)

>   Я нехочу с вами спорить на тему ipfw vs pf.
> Просто у каждого свое предназначение. Одним лучше рулить office/home, другим -
> ISP.

Согласен, ipfw/pf/прочее - это домашний уровень, джунипер/сиско/брокад - это уже ISP ;)

> Вопросы:
> 1. Какой толщины канал будет шейпиться\натиться?
> 2. Какие сетевые карты стоят, сколько ядер процессора и тактовые частоты?
> 3. Есть ли потребность вести логи кто-куда-сколько-когда?
> 4. по ВПНу, что в нем будет летать - только интернет или
> еще и локалка?
> 5. для какой цели делается фтп, самба и прочее?

=============================
1) Всем привет. Сейчас подходит по волокну 50Мбит выделенки. Вожможно поднимется до 100Мбит.
2) Сетевые, от свича к шлюзам по 1Гбит(Intel PRO1000GT). Остальные: Intel PRO100S, и одна 3Com905TX(Возможно останется не у дел). 1-й комп Barton2800+(cpu2083MHzSocketA), 1Gb333DDR1. 2-й комп: Prescott HT 2.8GHzSocket478, FSB800, 1.5Gb400MHzDDR1
3) Логи, если имеется ввиду деятельность пользователей, то не нужны. Логи нужны только об  положении дел в системе(VPN, ftp..)
4) VPN только для инета.
5) FTP делается для удобства обслуживания и работы. Из варинтов: приходишь к пользователю, а он винду перебил только что и сидит, без дров, инета, софта. Понимаю, что нетбиос (самба)например, помог бы, но FTP мне больше нравится. А про нетбиос и не слышал бы)
=============================
У меня нет статистики, что потянет каждый из компов, а что нет. Вот за вчерашний день накопал, что ng_car менее прожорливый чем dummynet, и шейпит,  вроде как лучше, управление через freeradius, однако порождение нод в Netgraph его замедляет - основной минус. С другой стороны может ли dummynet управлятся биллингом? На сколько я понял, что может, поправьте если ошибаюсь. Работает в паре с ipfw. Ок, тогда если строить на 2- компах, можно шейп+нат на 1 компе сделать, впн, биллинг - на другом. Остальные компоненты - это уже нюансы. NAT, как я понял лучше у PF, но ALTQ слабоват. Давненько уже попадался патч для связки pf+dummynet, но информации о стабильности небыло. Попадались скрипты для улучшения дел с ng_car. Интересно как в 9-ке 10-ке с ним? Хотя врядли, что лучше. Вот основные вопросы: что личше в плане масштабируемости и увеличения пользователей mpd+ng_car или dummynet?

> По опыту, на канале в гигабит ПФ на высоте, чего про ipfw
> не сказать..

Любопытно просто. У нас из 10 гигового канала забито в пике 6. Справился бы ipfw или нет? :)

>> По опыту, на канале в гигабит ПФ на высоте, чего про ipfw
>> не сказать..
>  Любопытно просто. У нас из 10 гигового канала забито в пике
> 6. Справился бы ipfw или нет? :)

Думаю да. Стоимость оборудования будет большая, но все же дешевле чем cisco/juniper думаю раз в 5. Плюс, прямые руки нужны :-)

>  Думаю да. Стоимость оборудования будет большая, но все же дешевле чем
> cisco/juniper думаю раз в 5. Плюс, прямые руки нужны :-)

да какая большая, сервер, можно даже dl180 и пара 10g карт, 150т.р., у нас примерно 5-7 гигабит пробегает только по нату - пиринг, каналы в тырнеты и прочее, ведает всем одно лезвие с 4мя портами 10г через вланы, все вроде нормально :) щас хотим 10ку дождаться и поставить под роутер процессоры с 40ВТ ТДП :) Во как :)

Друзья, а по теме напишите что? Помогите разобраться с этим! Заказал еще две сетевые карты 1Гбит. Чтобы между шлюзами линк сделать на 1Гбит. А те драйверы, что идут в комплекти с freebsd, не подойдут?

> Друзья, а по теме напишите что? Помогите разобраться с этим! Заказал еще
> две сетевые карты 1Гбит. Чтобы между шлюзами линк сделать на 1Гбит.
> А те драйверы, что идут в комплекти с freebsd, не подойдут?

Да вроде все рассказали, спрашивайте конкретно тогда..

Дрова дефолтные пойдут, во фре редко когда софт кривой или медленный идет в комплекте..
Карты нужно брать хорошие - это самое узкое место, из хороших только интел, под дровину igb (man igb - там скажут поддерживаемые модели), правда карты не дешевые. Тыщ 10-15 вроде за 2х портовую. На самый крайний случай под дровину em и если манить по ем то карты с припиской server, т.к. ем драйвер поддерживает еще и фуфловые интеловские карты типа HP NC 7170 (если память не изменяет) - pci-x и прочую ерунду. Отличие igb от em - аппаратные реализации карт, в igb 8ми поточная реализация, в em однопоточное, igb грузит ядра примерно равномерно, em упрется в производительность одного ядра, на практике это будет прокачка максимум 600 мегабит (+\-) на процессорах с 3ггц частотой при этом swi1:net будет грузить ядро под 100%, а на карте начнутся ошибки. Хотя пожалуй сейчас не swi1 будет а emX:task оно будет называться.

>> Друзья, а по теме напишите что? Помогите разобраться с этим! Заказал еще
>> две сетевые карты 1Гбит. Чтобы между шлюзами линк сделать на 1Гбит.
>> А те драйверы, что идут в комплекти с freebsd, не подойдут?
> Да вроде все рассказали, спрашивайте конкретно тогда..
> Дрова дефолтные пойдут, во фре редко когда софт кривой или медленный идет
> в комплекте..
> Карты нужно брать хорошие - это самое узкое место, из хороших только
> интел, под дровину igb (man igb - там скажут поддерживаемые модели),
> правда карты не дешевые. Тыщ 10-15 вроде за 2х портовую. На

бррр, что за ерунда...

Intel 82576EB == E1G42ET (Gigabit ET Dual Port), igb(4) средняя цена ~5800 руб

http://market.yandex.ru/model.xml?modelid=6166520&hid=91095

http://shop.nag.ru/catalog/00006.Servery/02273.Setevye-karty...
http://www.kns.ru/vcd-399157-1-347951/goodsinfo.html
http://www.apitcomp.ru/shop/setevye_adaptery/intel/item138221/
http://digitalshop.ru/shop/Setevaya_karta_Intel_E1G42ET_...
http://www.meijin.ru/shoptvdscr?goodsid=89889

> http://market.yandex.ru/model.xml?modelid=6166520&hid=91095
> http://shop.nag.ru/catalog/00006.Servery/02273.Setevye-karty...
> http://www.kns.ru/vcd-399157-1-347951/goodsinfo.html
> http://www.apitcomp.ru/shop/setevye_adaptery/intel/item138221/
> http://digitalshop.ru/shop/Setevaya_karta_Intel_E1G42ET_(OEM)_PCI-E_211289.html
> http://www.meijin.ru/shoptvdscr?goodsid=89889

Друг, прежде чем срать на вентилятор - подумай, ибо я говорил про новые карты не БУ.

пример
http://www.nix.ru/price/price_list.html?section=networking_i...

> правда карты не дешевые. Тыщ 10-15 вроде за 2х портовую.
> правда карты не дешевые. Тыщ 10-15 вроде за 2х портовую.

Это не то, чтобы не дешево, это космос просто. Пока что карты интел, по 40$ ...все-так получше чем реалтек, за 5$ :)

>> правда карты не дешевые. Тыщ 10-15 вроде за 2х портовую.
> Это не то, чтобы не дешево, это космос просто. Пока что карты
> интел, по 40$ ...все-так получше чем реалтек, за 5$ :)

не факт :)

> не факт :)

Почему же??

>> не факт :)
> Почему же??

Потому что дешевые интела такие же софтовые как и карты с реалтеком, только чуть дороже стоят (за бренд), может конечно там и есть какой-либо чип, но от него сильно теплее не становится. Видел как-то серверок с 1 нормальной 2х портовой ЕМкой и 1 простая PCI интел стояла, дак вот на этом простом интеле трафик был порядка 250мб и грузила проц она в 2 раза больше чем карта с 2мя портами с более высокими нагрузками.

А как у em-ки модель польностью звучит? И сколько б\у стоят однопортовые:) А есть в этом секторе сетевых что-нибудь попроще, с нормальной аппаратной поддержкой?

> А как у em-ки модель польностью звучит? И сколько б\у стоят однопортовые:)
> А есть в этом секторе сетевых что-нибудь попроще, с нормальной аппаратной
> поддержкой?

модели лучше поискать на сайте интела, вот с такими чипами:

1. igb драйвер - он будет лучше
  o   Intel Gigabit ET Dual Port Server Adapter (82576)
  o   Intel Gigabit VT Quad Port Server Adapter (82575)

2. em драйвер - он хуже
     o   Intel PRO/1000 Gigabit Server Adapter (82542)
     o   Intel PRO/1000 MF Dual Port Server Adapter (82546)
     o   Intel PRO/1000 MT Dual Port Server Adapter (82546)
     o   Intel PRO/1000 MT Quad Port Server Adapter (82546EB)
     o   Intel PRO/1000 PF Dual Port Server Adapter (82571)
     o   Intel PRO/1000 PF Quad Port Server Adapter (82571)
     o   Intel PRO/1000 PF Server Adapter (82572)
     o   Intel PRO/1000 PT Dual Port Server Adapter (82571)
     o   Intel PRO/1000 PT Quad Port Server Adapter (82571)
     o   Intel PRO/1000 PT Server Adapter (82572)
     o   Intel PRO/1000 T Server Adapter (82543)
     o   Intel PRO/1000 XF Server Adapter (82544)
     o   Intel PRO/1000 XT Server Adapter (82544)

чипсеты указаны в скобках, карты могут быть и HP, и Dell, и других вендоров, главное на чип смотреть, некоторые карты с ЕМ драйвера я вырезал.

если мне не изменяет память, то юзал лично с 82571 дуалпорты и квадпорты, и 82575 квадпорт, нормальные карты, 82575 лучше только из-за 8ми аппаратных очередей на порт.

> да какая большая, сервер, можно даже dl180 и пара 10g карт, 150т.р.,

  Очень даже большая. :) У нас все это разруливает связка из цисок, 65xx с SUP720 плюс CISCO SCE-8080 (DPI+шейпинг). Про цену первых не скажу, а вот CSE Тоже 150К. Только не рублей. :)))))

>> да какая большая, сервер, можно даже dl180 и пара 10g карт, 150т.р.,
>   Очень даже большая. :) У нас все это разруливает связка
> из цисок, 65xx с SUP720 плюс CISCO SCE-8080 (DPI+шейпинг). Про цену
> первых не скажу, а вот CSE Тоже 150К. Только не рублей.
> :)))))

если брать по ГПЛ то может и 150к :)

Скажите, а есть какое-либо решение для такой задачи: нужно в зависимости от мак адреса, выдавать по ДНС соответствующий шлюз. Есть набор вланов на порт(влан\порт).На порт приходится по 4-5 пользователей. Соответственно в зависимости от порта, нужен разный шлюз. Т.е. как-то нужно идентифицировать хост для днс.
dns netmask ordering не совсем подходит

> Скажите, а есть какое-либо решение для такой задачи: нужно в зависимости от
> мак адреса, выдавать по ДНС соответствующий шлюз. Есть набор вланов на
> порт(влан\порт).На порт приходится по 4-5 пользователей. Соответственно в зависимости
> от порта, нужен разный шлюз. Т.е. как-то нужно идентифицировать хост для
> днс.
> dns netmask ordering не совсем подходит

шлюз по идее выдаётся с ДХЦП сервера, там по макам можно много чего выдать, даже статические маршруты (не более 32х вроде).

делается в принципе все просто, ДХЦП включается во все нужные вланы и настраиваются зоны на раздачу только на основе маков.

Чтобы работала связка по ДХЦП в зависимости от влана - нужна поддержка Option82. Вот на тему оного и гуглим (читаем, изучаем).

> Чтобы работала связка по ДХЦП в зависимости от влана - нужна поддержка
> Option82. Вот на тему оного и гуглим (читаем, изучаем).

мм.. все сложно, есть на фре интерфейсы - vlan1, vlan2, ..., vlanX
ДХЦП серверу говорим где и как слушать (на каких интерфейсах) и с каких зон раздавать, хотя в принципе и это не обязательно если юзер в сети имеет уникальный мак (что собственно должно быть по умолчанию) и уникальную запись в ДХЦП. А защиту можно делать скажем с помощью ДХЦП снупинг на свичах, привязкой ИП+МАК к портам, или просто АЦЛки вешать на нежелательный трафик - типа левый ДХЦП или чего еще.

>> Чтобы работала связка по ДХЦП в зависимости от влана - нужна поддержка
>> Option82. Вот на тему оного и гуглим (читаем, изучаем).
> мм.. все сложно, есть на фре интерфейсы - vlan1, vlan2, ..., vlanX
> ДХЦП серверу говорим где и как слушать (на каких интерфейсах) и с
> каких зон раздавать, хотя в принципе и это не обязательно если
> юзер в сети имеет уникальный мак (что собственно должно быть по
> умолчанию) и уникальную запись в ДХЦП. А защиту можно делать скажем
> с помощью ДХЦП снупинг на свичах, привязкой ИП+МАК к портам, или
> просто АЦЛки вешать на нежелательный трафик - типа левый ДХЦП или
> чего еще.

Спасибо, понял, куда рыть.

Завтра гляну в настройках дружественной сети - как у них разрулены настройки дхцп серверов. Помню навскидку, что там несколько процессов дхцп - каждый вешается на свой ИП (в разных вланах), каждый со своим конфигом. Вся эта петрушка активно использует Option82 (разумеется, ее должны поддерживать и оконечные свичи). Ну и все это требует, конечно, дополнительной работы от монтажников, которые подключают абонентов - они через Веб-морду вносят настройки (номер порта свича, номер влана) - все это заносится скриптом в конфиг дхцп и передергивается процесс дхцп. То есть - не используются маки - используются номера портов свича а точнее - влан, в который воткнута сетевая абонента. Разумеется, все это реализовано на базе технологии VLAN per user. Вопрос защиты от пионэров-хацкеров решен автоматически. :)

Точнее, адрес ВПН сервера, а не шлюз. Ошибся.
У клиента прописан адрес ВПН сервера в клиенте, далее он обращается на шлюз, к ДНС, для его разрешения, и в зависимости от порта, получает соотв. адрес. Получается, что критерием все-таки является порт коммутатора(порты все прокинуты на шлюз, каждый на соотв. интерфейс).
Эту систему настраиваю на старом шлюзе. Но впринципе, это теория, так что на любой оси пригодится. Как приедут сетевые - возьмусь за новый :)

> Точнее, адрес ВПН сервера, а не шлюз. Ошибся.
> У клиента прописан адрес ВПН сервера в клиенте, далее он обращается на
> шлюз, к ДНС, для его разрешения, и в зависимости от порта,
> получает соотв. адрес. Получается, что критерием все-таки является порт коммутатора(порты
> все прокинуты на шлюз, каждый на соотв. интерфейс).
> Эту систему настраиваю на старом шлюзе. Но впринципе, это теория, так что
> на любой оси пригодится. Как приедут сетевые - возьмусь за новый
> :)

вопрос, а серверов VPNa сколько будет?

чем сильней накрутите огород, тем больше вероятности глюка в этом огороде, делайте все проще, как можно проще. Да, и когда начнёте переделывать на костылях построенную систему в нормальный вид, будет ой как трудно :) Учитесь на моих ошибках, своих еще наделаете кучу :)

> Да, и когда начнёте переделывать на
> костылях построенную систему в нормальный вид, будет ой как трудно :)

Это точно! Там уже на старой, накручено столько, что ужс. Но, если посмотреть с другой стороны... как можно построить функциональную систему без денег? С помощью костылей:)
На одном компе работает: впн, почтовик в обе стороны в лан и в инет, хостинг с сайтом в обе стороны, фтп в обе, нат+шейпер, радио в лан, 2 днса с репликацией зон меж собой, дхцп.. и наверно все. А теперь вот, не хватает производительности, если бы хватало простоял еще бы 5 лет :) Теперь хочу вот по нормальному сделать. Серверов ВПН один будет.

если не хватает железа, то значит задачи растут, нужно грейдиться..
и по возможности под всякую ересь типа ФТП, радиво, сцайт лучше поставить отдельную железку.

Доброго времени. Буду ставить 9.0, но с 8-ки остался вопрос. При разметке слайса и создании больше 4-х (видимо)разделов в Disk Editor, вместо типа файловой системы стоят X. А далее, в DIsk LableEditor, назначение точки монтирования на них, не срабатывает. Означает ли это ограничение на количество разделов?

> Доброго времени. Буду ставить 9.0, но с 8-ки остался вопрос. При разметке
> слайса и создании больше 4-х (видимо)разделов в Disk Editor, вместо типа
> файловой системы стоят X. А далее, в DIsk LableEditor, назначение точки
> монтирования на них, не срабатывает. Означает ли это ограничение на количество
> разделов?

Что-то вы не так делаете, я точно не помню про разметку, обычно это все на автопилоте делается и не очень часто, но то что можно создать более 4х слайсов - это точно.

Можно сначала создать все стандартно, потом после установки "добить" необходимое, в какой-то версии фри были проблемы с разметкой диска, но это точно не на 8.х, 9.х

кстати, а диск случаем не более 2х ТБ? я что-то на фрях не сталкивался с дакого рода дисками под ОС.

> кстати, а диск случаем не более 2х ТБ?

Диск SATA 1(150) 320Gb
Так понял, что это необходимые разделы, логи будут и почта тоже:
/
/tmp
/var
/swap
/usr
А /boot нужен как отдельный раздел?

Совсем забыл, лежит у меня материнка P45T-C51(775), бордер лучше собрать, наверно, на ней. Вопрос, какой проц поставить Core2Duo и Core2Quad? Есть пара PCI Express X1 слотов. Сетевые лучше express?

С разбивкой разобрался, все нормально. Установил9-ку. Теперь такой вопрос. Если я установлю один мпд, без ipfw,pf, будут ли пакеты с выхода мпд сыпаться в другой интерфейс? Соответственно, интерфейс сделать в подсети мпд и со шлюзом по умолчанию.

> С разбивкой разобрался, все нормально. Установил9-ку. Теперь такой вопрос. Если я установлю
> один мпд, без ipfw,pf, будут ли пакеты с выхода мпд сыпаться
> в другой интерфейс? Соответственно, интерфейс сделать в подсети мпд и со
> шлюзом по умолчанию.

за маршрутизацию отвечает опция в /etc/rc.conf gateway_enable="YES"
если она есть, то пришедший пакет в любой интерфейс будет переброшен на другие интерфейсы согласно правил маршрутизации (netstat -rn).

> за маршрутизацию отвечает опция в /etc/rc.conf gateway_enable="YES"
> если она есть, то пришедший пакет в любой интерфейс будет переброшен на
> другие интерфейсы согласно правил маршрутизации (netstat -rn).

Наверное, pf прийдется поставить, чтобы роутить между вланами? Игровые порты, файлообмен..

> С разбивкой разобрался, все нормально. Установил9-ку.

Сменил MBR->GPT.

> Совсем забыл, лежит у меня материнка P45T-C51(775), бордер лучше собрать, наверно, на
> ней. Вопрос, какой проц поставить Core2Duo и Core2Quad? Есть пара PCI
> Express X1 слотов. Сетевые лучше express?

Конечно лучше квад поставить, сетевые лучше pci-e ставить, правда 1х я не встречал карт.

Всем привет. Хочу подключить инет к компу bsd по vpn. Или плохо ищу или так и есть - если  vpn, то только через mpd. Должен же быть простой vpn клиент? :)

> Всем привет. Хочу подключить инет к компу bsd по vpn. Или плохо
> ищу или так и есть - если  vpn, то только
> через mpd. Должен же быть простой vpn клиент? :)

VPN вообще простая технология, какую предпочитаете: PPTP, L2TP/IPSec, OpenVPN ? :)

Вы сами выбираете вариант VPN у провайдера?

ps. PoE или PPPoE - довольно просты, но это как бы и не VPN.

> Вы сами выбираете вариант VPN у провайдера?

Что-то вроде этого:) У меня пока что виндовый шлюз с rras (pptp+l2tp). Для настройки, freebsd буду подклчать к нему. Нашел статейку по клиенту, буду пробовать
http://savio.km.ua/2009/06/09/vpn-%D0%BA%D0&#.../
Не будут ли мешаться друг другу этот клиент и мпд? Мпд пока не ставил.
Уйма вопросов возникает,..ужас просто. Лучше бы я в 97-м с *nix начал. Но технаре за w95 посадили. Вот и попался.

Всем доброго времени. Подскажите, какая сетевая будет получше, из pci-e x1? На материнке(P45T-C51 Проц Е8400-3ГГц, 4Гб-ДДР2-800) есть 2 слота х1. Хочу вход и выход сделать на сетевых х1. Поиск выдает примерно следующее:
http://scandata.ru/shop/servernoe-i-setevoe-oborydovanie/dnn...
http://scandata.ru/shop/servernoe-i-setevoe-oborydovanie/dnn...
http://scandata.ru/shop/servernoe-i-setevoe-oborydovanie/dnn...
-----------еще ссылки------------
http://www.intel.com/products/desktop/adapters/pro1000pt/pro...
http://www.nix.ru/autocatalog/networking_intel/Intel_EXPI940...
http://www.fcenter.ru/product/goods/94748-Set_karta_Ethernet...
---------------------------------
Основная масса сетевых в районе 1000руб, а РТ - около 3500. Интересно, будет ли преимущество от РТ?

Всем доброго времени. ...Почитал свои прошлые темы..такой бред, что не по себе как-то))) Ностальгия аж пробирает))
Хотя и сейчас наверное не особо лучше будет)..
В последнее время поболее времени получается уделять изучению фри, естессно не без косяков. При загрузке freebsd9.2 release, гдето пару дней назад, сразу после сообщений инициализации сети, стало появляться собщение:
ELF ldconfig path... и далее список путей. После этого: Creating or trimming log files(примерно).
Хочу спросить, сообщение ELF ldconfig... оно сигнализирует об ошибке, или вывод этого сообщения включается отключается? и само по себе не означает ошибок?
Попадались типичные примеры логов загрузки, в том же хендбуке, где присутствовало это сообщение, но про ошибки не говорилось. Как я понял тут, с форума, и со статей в нете, такое сообщение проявляется на пару с ошибками. Попадалось: vi recover, парава на каталоги, удаление модулей, sendmail и разрешение адресов. А как быть если никаких ошибок не выводится и в логах тоже?
До этого эксперементировал с apcupsd - пытаюсь сделать, чтобы отключался упс вместе с системником. Правил файлы /etc/rc.d  /etc/apcupsd. Поставил portupgtate и обновил apsupsd.
Русифицировал консоль и вывод, но стало непривычно.. Все записи убрал с rc.conf ,в остальных файлах закомментил.
Попробовал включить заставку) через sysinstall, но стало выдаваться сообщение, что не удалось загрузить модуль заставки+ появились ошибки в rc.conf. sysinstall добавил криво метку времени. +воткнул blacktime в /default/rc.conf. Ранее, при замене ядра заставку я отключил. Модуля кстати отсутствуют в /boot/modules, а присутствуют в /boot/kernel. Но в kernel.konf путь именно на первое местоположение.
Такие вот нехитрые действия. А сообщение появляться начало. В чем может быть причина?

Привет всем. Подскажите днс сервер под фрю, умеющий отдавать в разные интерфейсы соответствующий подсети ответ. Если запрашиваемый домен один и тот же.
Если проще - то можно ли сделать ответ ДНС сервера зависимым от запрашивающего IP?
То есть спрашивает айпи из диапазона 10.24.. про server.ru, ДНС ему отдает 10.24.0.1
А если спрашивает 192.168.. про тот же server.ru ДНС возвращает 192.168.0.1
Присмотрелся к powerdns, но суппорт молчит чтото.