Linux VS FreeBSD Gateway

FreeBSD проще настраивается и по-человечески, а не «как нагуглили, так и настроили», в случае с Linux.

FreeBSD проще настраивается и по-человечески

По-человечески это когда при включенном ipv6 в ядре, рандомно валится раз в месяц?

сколько ожидается трафика?

А что вы лучше знаете?

то,что лучше знаешь.
routeros годная штука, но по мне Linux удобнее.

5. Возможность приоритезации траффика по подсетям, портам, протоколам итд.

это ты придумал QoS или нет

Разницы нет, что использовать.

Изя, а почему ты проблемы в головах сисадминов переносишь на ОС?

Здесь дежурная шутка про зюзероутеры.

Бери то, в чем лучше разбираешься.

3 интернет канала суммарно около 30 мб/c. И внутренний трафик около 200 машин с гигабитными сетевыми картами, но не все они постоянно будут маршрутизироваться, как правило маршрутизируется около 10%-20%.

Я примерно одинаково не очень глубоко знаю обе ОС. Просто задач не вставало именно глубоко копать в эту сторону. Поэтому решил перед принятием решения на «многиегоды» совета спросить )

Тогда я бы посоветовал Debian GNU/Linux.

У нас почти все сервера под линукс. Это как бы «дефолтное» решение. Интересует больше инструментарий для реализации. Если взять по пунктам: 1 - iproute 2 - OpenVPN и любой доступный в репозиториях ipsec «сервер» 3 - iptables ?? 4 - iptables ??? 5 - iptables ????

То есть, как я писал в теме, инетересуют последние 3 пункта.

Если честно, то без разницы. Все твои задачи реализуются и там и там почти одинаково. 1 и 2 пункты все одинаково. Остальные пункты реализуются просто разными способами. Но результат можно получить одинаковый и в linux и в freebsd. Лично я на роутерах использую FreeBSD т.к. синтаксис файервола ipfw мне более понятный. Ну и во фряхе есть такая замечательная вещь как netgraph, которая позволяет делать всякие хитрые штуки с трафиком. В общем решай сам ) 3) во фряхе шейпить можно с помошью dummynet. Или что более удобнее и быстрее это через ноду нетграфа ng_car, которая реализует цисковский rate_limit (полисинг) и shape (шейпер). Для скоростей больше 1 Mbit/s рекомендуют юзать rate_limit. В linux для этого есть пакет tc (traffic control), правда его синтаксис немного пугает. 4) Для балансировки внешних каналов используют обычно BGP (При условии, конечно, если тебе отдают fullview). Советую использовать демон bird. У него более приятный синтаксис чем у Quagga (Это все имхо). Что во фряхе что в линуксе все одно и тоже. 5) Вот тут почитай про QoS http://xgu.ru/wiki/QoS В двух словах в linux для этого юзают опять же tc, а во фряхе ipfw altq например.

попробуйте pfsense на базе freebsd

К сожалению нет возможности использовать BGP. У нас нет своей АС, а стоит она довольно не дешево, на сколько я знаю, учитывая что у нас не IT компания.

нет проблем используй policy based routing. Вот тут шикарная статья на эту тему http://habrahabr.ru/post/108690/ Во фряхе делается примерно аналогичным способом.

Хотя по факту эта фича с балансировкой на уровне соединений называется Equal-cost multi-path (ecmp). То есть можно сделать два маршрута по умолчанию до двух провайдеров и задать им какой-нибудь вес для балансировки. Во фряхе эта возможность появилась в 2009 году (http://www.opennet.ru/opennews/art.shtml?num=21262) Вот тут отличная статья на эту тему http://skeletor.org.ua/?p=2187

если религия позволяет то все это решается на OpenBSD.

для настройки всего требуется всего-то читать официальные маны, в списке рассылки misc реально грамотные специалисты, многие моменты могут доходчиво разъяснить. как то туго у меня было с понимаем шейпинга downstream и upstream, но в итоге там разжевали.

- вопросы приоретизации и балансировки включены в pf.

- маршрутизация включается пересылкой пакетов между интерфейсами как обычно.

- ipsec включен в дистрибутив

- openvpn доступен в пакетах и портах

более интересны конкретные вопросы по каждому решению, но в какую сторону копать - решать вам.

классный ник. если опыта нет - пробуй на той плаиформе, что будешь использовать в дальнейшем.

По-человечески это когда при включенном ipv6 в ядре, рандомно валится раз в месяц?

В GENERIC ядре FreeBSD IPv6 включен по дефолту. Если ты считаешь, что в продакшене GENERIC-ядра не используются, то ты сильно ошибаешься. А если GENERIC в продакшене, то почему стонешь от IPv6 только ты один?! Вопрос на засыпку, так сказать.

Чего же я один. Извольте пройти на nag:

http://forum.nag.ru/forum/index.php?showtopic=72905&view=findpost&p=6... http://forum.nag.ru/forum/index.php?showtopic=72905&view=findpost&p=7... http://forum.nag.ru/forum/index.php?showtopic=72905&view=findpost&p=7... http://forum.nag.ru/forum/index.php?showtopic=72905&view=findpost&p=7...

Ведущие собаководы раз за разом говорят - ipv6, freebsd и стабильность - эти слова не пишутся рядом. Если захотите, найдете и более свежие темы. Про GENERIC ядро там тоже упоминают.

Там больше упоминают про FreeBSD 9.0 [i386].

Ну вы можете поиском воспользоваться.

То есть когда в i386 ipv6 нестабильно, а в amd64 стабильно(пруфов этому, кстати, нету) - это ok? Лечить такие баги новыми версиями уж очень похоже на шаманство, а не стабильную систему. Пруфов кстати нету и про то что в 9.1 отсутствует этот косяк.

Грамотная вот статья о былых временах http://dadv.livejournal.com/138951.htm

И отличное описание проблем:

Необходимо сказать «прощай» архитектуре i386, даже если в вашем роутере менее 4GB памяти. Есть неоднократные свидетельства того, что рассмотренный ниже необходимый для повышения производительности тюнинг приводит к переполнениям каких-то ядерных структур и паникам. Деталей не знаю, потому как изначально использовал amd64 и по тем же свидетельствам, простая смена архитектуры убирает и эти паники.

Помоему необходимость перейти к amd64 для устранения переполнения буферов, явно указывает на говнокод. Другие системы как-то же работают на i386 и даже не падают в панику. А у фрибсд все как обычно - «Обновите систему, поставьте amd64». Хорошо бы сказать - дык сейчас ужо 9.1, ужо наступило светлое будущее, ан нет http://www.freebsd.org/cgi/query-pr-summary.cgi?category=kern тут баги на ту же тему.

Да есть такая проблема. Сам столкнулся с ней месяц назад.

В GENERIC ядре FreeBSD IPv6 включен по дефолту.

А параметра для выключения нет что ли?

Хорошо бы сказать - дык сейчас ужо 9.1, ужо наступило светлое будущее, ан нет http://www.freebsd.org/cgi/query-pr-summary.cgi?category=kern тут баги на ту же тему.

ГДЕ?

Параметры выключаются в кастомном ядре. Получить кастомное ядро без IPv6 можно за десять минут, но смысла в этом нет, так как в FreeBSD 9.1-RELEASE и тем более в 9-STABLE обнаруженные явные ошибки фиксятся довольно оперативно.

так как в FreeBSD 9.1-RELEASE и тем более в 9-STABLE обнаруженные явные ошибки фиксятся довольно оперативно.

То есть у вас есть пруф что вышеописанный косяк пофикшен или это вы так, в общем?

ГДЕ?

Ну вы то все так же говорите про i368 как про что-то плохое, намекая что только на amd64 можно получить счастье.