Посоветуйте дистр для роутера

pfSense

Спс. Есть кстати два, pfSense и форкнутый с него OPNsense. Знаете разницу ? Или лучше потыкать палочкой в виртуалбоксе ?

Хз, на мой взгляд принципиальной разницы не вижу. Потыкать в любом случае необходимо внезависимости от. В частности потому, что PF это не Netfilter и сходу после RouterOS может быть непривычно.

LibreCMC

Увы. У меня x86-железка, а там только на MIPS.

pfSense

openwrt

Не. Эти *wrt не нужны. Для начала пусть их Luci научится конфигурить PPPOE и вафлю в два клика.

Ipfire http://www.ipfire.org/

Нет ну не блеать ? «Predefined root password», о котором на сайте ни слова: https://pp.userapi.com/c836639/v836639443/38631/Yy7c1rSs54E.jpg

OPNsense фтопку!

PfSense установился за 4 минуты двумя нажатиями Enter. Круто.

Микротик 751U-2HnD дохнет и уходит в ребут после примерно полутора тысяч одновременных подключений

покажи скрин правил фаервола, поржать

https://pp.userapi.com/c836639/v836639443/3863b/EtDi05MNxvM.jpg

вкладка Filter Rules?

https://pp.userapi.com/c836639/v836639443/38645/kcR87b8S6TQ.jpg

Ipfire http://www.ipfire.org/

Вроде хорош. При установке просит указать конфиги сети, GREEN, ORANGE итд. Но у меня на целевой железке нет видеовыхода. То есть ставить я буду на обычном локальном компьютере на тот SSD, который после установки перенесу на целевую железку...

Фасттрек включи.

Ахринеть мощная железка. Ставь деб, он штабилен. Или центю, она тоже нерушима.

С полность забитым торрентами 100-мегибитным каналом у меня справляется п2-400. Железки хватит с избытком...

http://i.imgur.com/oun6uJh.png
http://i.imgur.com/G7GGAz7.png
может он у тебя бракованный или греется? нафига годную x86 под роутер отдавать?

Не. Эти *wrt не нужны. Для начала пусть их Luci научится конфигурить PPPOE и вафлю в два клика.

Мда. Оно вообще не собралось видимо что я нигде не хочу ipv6.

          ^
In file included from networking/netmsg.c:26:0:
/home/hbars-inst/work/source/staging_dir/toolchain-mipsel_24kc_gcc-5.4.0_musl/include/string.h:32:7: note: expected 'char * restrict' but argument is of type 'unsigned char *'
 char *strncpy (char *__restrict, const char *__restrict, size_t);
       ^
  CC      networking/netstat.o
  CC      networking/nslookup_lede.o
networking/nslookup_lede.c: In function 'parse_nsaddr':
networking/nslookup_lede.c:305:42: error: 'union <anonymous>' has no member named 'sin6'
  if (inet_pton(AF_INET6, addrstr, &lsa->u.sin6.sin6_addr)) {
                                          ^
networking/nslookup_lede.c:306:9: error: 'union <anonymous>' has no member named 'sin6'
   lsa->u.sin6.sin6_family = AF_INET6;

может он у тебя бракованный или греется? нафига годную x86 под роутер отдавать?

Работал (и сейчас работает) нормально до тех пор пока не посадил к себе домой клиента которого школоддосят. Опять же, я в сетях не силен, но вчера Микротик стал отваливаться по этим сранным коннектам. при чем наглухо, в ребут. Судя по всему недостаток мозгов. Со всеми установленными пакетами и со штатными настройками (т.е. никаких форвардингов, сугубо домашняя вафля) - свободно порядка 7.99 мегабайт. Потом когда включил форвардинг 80-го порта, постепенно стало уменьшаться до трех, потом до полутора, потом я уже не смог наблюдать, роутер отвалился.

Затем начался треш с DNS не знаю как это правильно называется, спуфингом. В общем Микротик в дауне, думаю дай ка я подключу эту коробку-сервер напрямую, гляну что там да как. Подключился к pppoe, и вот что я вижу:

1. https://pp.userapi.com/c836639/v836639443/38659/IgVk9nAgV9I.jpg - за пять минут на ppp0 набижало 3.1 гб трафика, при том что логи нджинкса практически девственно чисты;

2. https://pp.userapi.com/c836639/v836639443/38677/9nLXkKxGsek.jpg и https://pp.userapi.com/c836639/v836639443/3866d/ZgL5_GmhPtM.jpg - школоддос 53-го порта, судя по нетстату около 500 подключений в секунду. Микротик дох совсем. Этой железке ни по чем.

Идея - купить что-то более менее быстрое (или использовать мой Core i3\16Gb DDR4\256 Gb PCIE SSD) как сервер, а эту штуку поставить как роутер. Клиент платит $500 в месяц за такой хостинг. Основная идея - абюзоустойчивость.

Ставь деб, он штабилен. Или центю, она тоже нерушима.

Та то понятно, но мне не охота в 2017 году делать руками тривиальные задачи. Поэтому ищу что-то для домохозяек.

Windows Server Vasyan Ultimate Pro XXX Edition Repacked

Сразу и все работает)

если у тебя днс наружу светит, а фаервол пустой, то может например дропать все входящие кроме 80 порта и icmp?

У меня вообще DNS-а нет :)

Дропать пытался через «iptables -A INPUT -p udp --dport 53 -j DROP» непосредственно на железке. Но видимо либо моих знаний недостаточно, либо оно не помогает. Нет, сама железка нагрузки практически не ощущает. А вот интерфейс угашен. Даже ICMP не вырывается наружу. Скорость канала - 100 мбит (это правда, через спидтест гонял), занято примерно 82 мбита.

Фасттрек включи.

Тогда Queue не работает.

Alpine, конечно же!
А если есть время, то можно и Gentoo.

Тогда мб стоит отключить connection tracking для насилуемых портов и прописать нужные перенаправления (SNAT/DNAT) для них статически?

Нет, сама железка нагрузки практически не ощущает. А вот интерфейс угашен. Даже ICMP не вырывается наружу. Скорость канала - 100 мбит (это правда, через спидтест гонял), занято примерно 82 мбита.

Ммм. А тогда что ты ещё хочешь сделать? Если злонамеренного трафика настолько много, что он занимает твой внешний канал — то хоть ты его дропай, хоть не дропай, ничего не поможет. В этом и суть DDoS-атаки :)

С полность забитым торрентами 100-мегибитным каналом у меня справляется п2-400.

Или это не PII - 400
Или вы тот человек с которым говорил Станиславский
ЗЫ Кстати а шо за сетевки-то ?

Дропать в raw таблице, не поможет к прову или вешаться. Если серьезно то tcpdump, if ddos; обращаться к прову. У них возможностей больше.

Nethserver , лучший аналог pfsense(хотя мне больше нравится opnsense)

Atheros wifi как раздающая на всё (стандарт n, 2 антенны) и какая-то реалтековская pci-гигабитка на входе. Работает как NAT, больше функций не особо висит на нем...

Канал забивался до 92-93 мбит, дальше не выжимает уже провайдер со своей оптики...

«Predefined root password», о котором на сайте ни слова

А это разве не оно?

A user can login to the console menu with his credentials. The default credentials after a fresh install are username “root” and password “opnsense” .

docs.opnsense.org/manual/install

Так у вас вафля компенсирует недостатки RTL.

Что за коробочка-то? Я тоже такую хочу.

Я че-то не понял, о чем ты. Пропускной способности хватает, load_average меньше 1 - что еще волновать должно?

А реалтек работает как часы.

http://www.pcengines.ch/apu1d4.htm

А реалтек работает как часы.

Песочные

В общем сижу играюсь с IpFire.

Вроде норм, но не могу пока настроить следующее...

Есть три сетевых интерфейса. В Ipfire они отмечены как RED, GREEN, ORANGE. RED - pppoe, с этим все понятно. Есть вафельный многострадальный микротик, который должен раздавать вафлю по дому. И есть условный «сервер».

Задача: раздавать интернет в GREEN и ORANGE интерфейсы, так чтоб к одному я мог подсоединить микротик, а к другому сервер.

На данный момент почему-то работает только один интерфейс - GREEN: https://pp.userapi.com/c836721/v836721443/3120c/PQdQrlh8aL4.jpg (несмотря на то что ORANGE какова-то уя светится online, к нему ничего на данный момент не подключено). Если я подключаю что-то к ORANGE, он же DMZ - ничего не происходит. Пробовал на условном «сервере» получать адрес через DHCP - ноль на массу. Пробовал на условном сервере юзать статический IP-адрес - так же само ноль на массу. Вот что на сетевых интерфейсах внутри девайса: https://pp.userapi.com/c836721/v836721443/31216/_cUU56Zotrg.jpg

Интересует два момента:

1. Можно ли это побороть ? (то что мне нужно, я пару дней назад делал на этой же коробочке голыми руками в консоли Убунточки, но я ж хочу гламурно, с графиками и прочей поебенью);

2. Другие подобные дистры (opnsense,pfsense) тоже себя так ведут, или там есть надежда ?

Спасибо!

И да, посоны, «роутерный» ClearOS - говно, он ставит сука на роутеры ИКСЫ (!!!).

Можно ли это побороть

Забей, ты вон пароль дефолтный на сайте не смог найти, куда тебе что-то настраивать, тем более типа руками типа в консоли.

И че?

Во-первых, я спросил здесь совета именно потому что я не умею настраивать, а то что я сам дурак - я и сам знаю без твоей подсказки.

Во-вторых, в любом нормальном дистре, эти пароли пишутся сразу на видном месте, поскольку очевидно востребованы прежде всего. Либо юзер вообще беспарольный.

В-третьих, с чего ты взял что я хочу что-то настраивать руками? Ты сабж-то и коммент перечитал ? Руками роуты я и сам могу прописать, это школьная дисциплина, но мне надо чтобы оно работало в гуе, и не затерлось когда я сделаю изменения через гуй.

Всем спасибо, кто принимал участие в этом обсуждении.

Остановился на pfSense.