Любой бизнесмен стремится к сокращению расходов. То же самое касается и IT-инфраструктуры.
При открытии нового офиса у кого-то начинают шевелиться волосы. Ведь надо организовать:
Но поднять сеть предприятия с такими требованиями эникейщик не сможет… Нанимать дорогого сисадмина?
Вырисовывается очень крупное, по грядущим затратам, рублёвое число.
Но эти расходы можно существенно сократить, если обратить внимание на UTM-решения, которых сейчас огромное количество. А так как я придерживаюсь стратегии «чем проще — тем лучше» в решениях своих задач, то мой взор пал на UTM Интернет Контроль Сервер (ИКС).
![](https://habrastorage.org/webt/iw/rv/e4/iwrve4xuvgbol3pexom9mohycl8.png)
Чем эта система поможет сохранить бюджет компании и почему для её обслуживания не нужен дорогой сисадмин — расскажу ниже.
Но забегая вперёд скажу — это специфический продукт и имеет свои ограничения. Более детально оценить возможности шлюза можно изучив документацию на оф.сайте.
Я же настраивал для статьи «по-русски», то есть не заглядывая в маны, чтобы понять на сколько всё интуитивно понятно.
Начальная установка
ИКС можно установить как на реальное железо, так в гипервизор. Можно задействовать какой-нибудь безвентиляторный ПК.
Система базируется на FreeBSD 11.3 и на большинстве оборудования должно взлететь без проблем.
Установка производится на чистый диск.
Про отказоустойчивость тоже не забыли.
Всё! Можно заходить в вэб-интерфес по ip, который указали в настройках, и порту 81. DHCP на этом этапе пока не включен, поэтому на своём ПК придётся назначить ip из этой же сети вручную.
![](https://habrastorage.org/webt/rv/0y/3i/rv0y3iofo08psjkbnlp2ryp7joe.png)
При первом входе запускается мастер, который заставляет Вас установить надёжный пароль.
Далее лезем в настройки сети
![](https://habrastorage.org/webt/y-/wz/tk/y-wztk_rzlzxt2m4bpxxfet6eae.png)
и настраиваем подключение к нашему провайдеру и роли всех сетевых интерфейсов.
![](https://habrastorage.org/webt/i_/_c/9r/i__c9rqqqqkgr7_7alhxkp4mioc.png)
![](https://habrastorage.org/webt/ig/sk/-9/igsk-9iqvpe29vfsf4gacfnliwo.png)
Провайдеров можно настроить несколько и организовать балансировку.
Кстати, если Вам не удобен английский язык интерфейса, то его легко можно поменять здесь.
![](https://habrastorage.org/webt/2l/yj/zx/2lyjzxv75dd4cbssztxnm8psm14.png)
Если требуется подключить офис, например, к головному офису.
Только о динамической маршрутизации можете забыть — её тут нет.
Может я сильно придираюсь, но ИМХО это большой недостаток…
Чаще всего основная задача шлюза — контроль доступа сотрудников в интернет.
Идентифицировать сотрудников можно как по ip/mac, так и по логину/паролю через агента или captive portal.
Также если в Вашей организации используется Active Directory, то ИКС можно интегрировать и с ним.
![](https://habrastorage.org/webt/jq/p3/vh/jqp3vh7i3gaiag85oujl1pawqgu.png)
Настройки фильтрации (куда сотруднику можно и куда нельзя) очень обширны.
![](https://habrastorage.org/webt/tc/zv/pr/tczvprwqxookr06gn30lvt2dblm.png)
Огромное количество готовых шаблонов правил:
Но можно не ограничивать и ИКС всё равно расскажет куда кто и куда ходил своими обширными отчётами:
![](https://habrastorage.org/webt/mw/g8/z6/mwg8z6o96hniavmbb9qknyk2mps.png)
И гостевой вай-фай можно организовать с соблюдением требования законов РФ об обязательной идентификации пользователей.
ИКС поддерживает отправку смс по протоколу SMPP через любого SMS-провайдера.
![](https://habrastorage.org/webt/7o/vk/wt/7ovkwty1clpowvyqwnpcpybbuya.png)
Да-да! Не надо ставить отдельный сервер с Asterisk. Он уже есть в ИКС.
Я успешно подключил SIP от Мегафона (emotion, мультифон).
![](https://habrastorage.org/webt/ea/vd/rc/eavdrccb7r8wzqgyaqp3mb-ygk8.png)
Как получить SIP от Мегафона по сотовым тарифам физлиц можно почитать в статье «SIP от Мегафона по домашнему тарифу».
В ИКС есть много инструментов, которые позволят настроить уровень безопасности по Вашим требованиям: от бесплатных антивирусов ClamAV и систем обнаружение вторжений Suricata до продуктов Евгения Касперского, настраивая только через понятны вэб-интерфейс.
![](https://habrastorage.org/webt/9m/jo/xz/9mjoxzgg2tnj9nz_uocqcudq-5s.png)
Даже тот же незаменимый fail2Ban настраивается в несколько кликов
![](https://habrastorage.org/webt/ue/oy/hz/ueoyhzdpb3joiyb1avp-k3i-ngo.png)
Так же ИКС может мониторить трафик по netflow протоколу с сетевого оборудования, не пропуская через себя трафик.
Коммуникацию сотрудников можно организовать не только телефонией и почтой
![](https://habrastorage.org/webt/du/74/t_/du74t_xyhkzuxfkvnezpofnuscg.png)
но и через jabber. Правда мало уже кто помнит о таком протоколе.
Web-server:
На ИКС есть даже web-server c поддержкой PHP. HTTPS сертификат можно установить свой, если есть приобретённый, или указать, чтобы ИКС получил бесплатный Let's Encrypt.
![](https://habrastorage.org/webt/qa/nc/3f/qanc3fjchmccdxxqzr6-9olycnm.png)
Этого достаточно для размещения сайта-визитки или рекламного лендинга. Но впилить тяжёлый портал с кастомными модулями у Вас не выйдет. И по мне — это глупо. Всё-таки шлюз должен оставаться шлюзом.
Гибкая настройка мониторинга и уведомлений.
Алярмы можно слать даже в Телеграм. А в реалиях РФ есть даже возможность слать сообщения через прокси.
![](https://habrastorage.org/webt/ao/2j/se/ao2jsergae_1i5g-t1ezutn00oe.png)
Интернет-шлюз «ИКС» содержит в себе практически все компоненты, необходимые для функционирования небольшого офиса.
При этом всё это может настроить начинающий системный администратор.
Несмотря на то, что система построена ни FreeBSD, доступа по ssh к нему нет. То есть без костылей доустановить модули PHP у Вас не получится. Придётся довольствоваться тем, что есть… Или просить саппорт допилить.
При любом раскладе в начале скачайте триал на 35 дней и проверьте на сколько этот шлюз Вам подходит.
Лицензия не имеет срока действия, но несмотря на это стоимость является вполне демократичной.
На стенде в синтетических тестах система показала себя адекватно.
Если заказчик одобрит и Вам будет интересно как данная система поведёт себя в «бою», то месяцев через 3-6 напишу отзыв со всеми возникшими задачами и сложностями. Если получится, то проверим качество технической поддержки.
В комменты жду от Вас вопросы, на которые надо будет детально заострить внимание в боевом применении.
При открытии нового офиса у кого-то начинают шевелиться волосы. Ведь надо организовать:
- локальную сеть;
- выход в интернет. Лучше ещё с резервированием через второго провайдера;
- VPN до центрального офиса (или до всех филиалов);
- HotSpot для клиентов с авторизацией по sms;
- фильтрацию трафик так, чтобы сотрудники не сидели в соцсетях и не трещали в скайпе;
- защиту сеть от вирусов и атак. Обеспечить защиту от вторжений (IDS/IPS);
- свой почтовый сервер (если не доверяете всяким pdd.yandex.ru) с антивирусом и антиспамом;
- файловую помойку;
- Вероятно Вам нужна телефония, т.е. организовать АТС, подключить к SIP провайдеру и другие плюшки...
Но поднять сеть предприятия с такими требованиями эникейщик не сможет… Нанимать дорогого сисадмина?
Вырисовывается очень крупное, по грядущим затратам, рублёвое число.
Но эти расходы можно существенно сократить, если обратить внимание на UTM-решения, которых сейчас огромное количество. А так как я придерживаюсь стратегии «чем проще — тем лучше» в решениях своих задач, то мой взор пал на UTM Интернет Контроль Сервер (ИКС).
![](https://habrastorage.org/webt/iw/rv/e4/iwrve4xuvgbol3pexom9mohycl8.png)
Чем эта система поможет сохранить бюджет компании и почему для её обслуживания не нужен дорогой сисадмин — расскажу ниже.
Но забегая вперёд скажу — это специфический продукт и имеет свои ограничения. Более детально оценить возможности шлюза можно изучив документацию на оф.сайте.
Я же настраивал для статьи «по-русски», то есть не заглядывая в маны, чтобы понять на сколько всё интуитивно понятно.
Начальная установка
ИКС можно установить как на реальное железо, так в гипервизор. Можно задействовать какой-нибудь безвентиляторный ПК.
Например такой.![](https://habrastorage.org/webt/o5/ve/nu/o5venur2uahcytuudm-bzo8oygy.png)
![](https://habrastorage.org/webt/o5/ve/nu/o5venur2uahcytuudm-bzo8oygy.png)
Система базируется на FreeBSD 11.3 и на большинстве оборудования должно взлететь без проблем.
Установка производится на чистый диск.
Точнее если там что-то было, то можете смело попрощаться с этим.
К сожалению, инсталлятор поддерживает только английский язык. Но после установки основной интерфейс может быть на русском.
![](https://habrastorage.org/webt/je/ka/dy/jekady3fazrccvkf_z1fkkql5l0.png)
![](https://habrastorage.org/webt/g4/vs/m6/g4vsm6h1-c3vv78v48y59mrnodw.png)
![](https://habrastorage.org/webt/xb/z-/g7/xbz-g7yiibyssvo-m26wkhsdyqo.png)
![](https://habrastorage.org/webt/x9/a6/zu/x9a6zut9wbads_fpifmgpcx0cv4.png)
![](https://habrastorage.org/webt/je/ka/dy/jekady3fazrccvkf_z1fkkql5l0.png)
![](https://habrastorage.org/webt/g4/vs/m6/g4vsm6h1-c3vv78v48y59mrnodw.png)
![](https://habrastorage.org/webt/xb/z-/g7/xbz-g7yiibyssvo-m26wkhsdyqo.png)
![](https://habrastorage.org/webt/x9/a6/zu/x9a6zut9wbads_fpifmgpcx0cv4.png)
Про отказоустойчивость тоже не забыли.
Если в системе несколько дисков, то они могут быть объединены в рэйд средствами ZFS.![](https://habrastorage.org/webt/ax/mp/mx/axmpmxtf7gqfxiorili91r-ue9s.png)
![](https://habrastorage.org/webt/zr/qa/2m/zrqa2mcotzutkesun7olph36q5a.png)
![](https://habrastorage.org/webt/ax/mp/mx/axmpmxtf7gqfxiorili91r-ue9s.png)
![](https://habrastorage.org/webt/zr/qa/2m/zrqa2mcotzutkesun7olph36q5a.png)
Выбираем сетевой интерфейс и назначаем ip из выбранной сети.![](https://habrastorage.org/webt/mz/s_/fb/mzs_fbstxa6usgweyqx1qywobf4.png)
![](https://habrastorage.org/webt/8s/gj/7o/8sgj7opwkd-7ltvuvnjpfzwhgam.png)
Доменное имя указывайте реальное, если Вы планируете поднять, например, почтовый сервер. Если такой потребности нет сейчас, то можно написать от балды. Далее в интерфейсе можно будет поправить.
![](https://habrastorage.org/webt/wo/hd/4v/wohd4vjxrbswqz4ccnz4bj3or-k.png)
![](https://habrastorage.org/webt/mz/s_/fb/mzs_fbstxa6usgweyqx1qywobf4.png)
![](https://habrastorage.org/webt/8s/gj/7o/8sgj7opwkd-7ltvuvnjpfzwhgam.png)
Доменное имя указывайте реальное, если Вы планируете поднять, например, почтовый сервер. Если такой потребности нет сейчас, то можно написать от балды. Далее в интерфейсе можно будет поправить.
![](https://habrastorage.org/webt/wo/hd/4v/wohd4vjxrbswqz4ccnz4bj3or-k.png)
Всё! Можно заходить в вэб-интерфес по ip, который указали в настройках, и порту 81. DHCP на этом этапе пока не включен, поэтому на своём ПК придётся назначить ip из этой же сети вручную.
![](https://habrastorage.org/webt/rv/0y/3i/rv0y3iofo08psjkbnlp2ryp7joe.png)
Подключаем к интернету и соединяем офисы.
При первом входе запускается мастер, который заставляет Вас установить надёжный пароль.
Мастер![](https://habrastorage.org/webt/xp/_s/px/xp_spxlkh6ral_ttcu05kzjfclm.png)
![](https://habrastorage.org/webt/ci/_9/az/ci_9azcxbetwmgxrnsxvpuv6pow.png)
![](https://habrastorage.org/webt/vn/tw/83/vntw83qgm6o47tqymml80v-3vbq.png)
![](https://habrastorage.org/webt/6r/nf/zc/6rnfzche8wzvtu_5wbixdvjizu0.png)
![](https://habrastorage.org/webt/xp/_s/px/xp_spxlkh6ral_ttcu05kzjfclm.png)
![](https://habrastorage.org/webt/ci/_9/az/ci_9azcxbetwmgxrnsxvpuv6pow.png)
![](https://habrastorage.org/webt/vn/tw/83/vntw83qgm6o47tqymml80v-3vbq.png)
![](https://habrastorage.org/webt/6r/nf/zc/6rnfzche8wzvtu_5wbixdvjizu0.png)
Далее лезем в настройки сети
![](https://habrastorage.org/webt/y-/wz/tk/y-wztk_rzlzxt2m4bpxxfet6eae.png)
и настраиваем подключение к нашему провайдеру и роли всех сетевых интерфейсов.
![](https://habrastorage.org/webt/i_/_c/9r/i__c9rqqqqkgr7_7alhxkp4mioc.png)
![](https://habrastorage.org/webt/ig/sk/-9/igsk-9iqvpe29vfsf4gacfnliwo.png)
Провайдеров можно настроить несколько и организовать балансировку.
Кстати, если Вам не удобен английский язык интерфейса, то его легко можно поменять здесь.
![](https://habrastorage.org/webt/2l/yj/zx/2lyjzxv75dd4cbssztxnm8psm14.png)
Если требуется подключить офис, например, к головному офису.
То создаём новое подключение![](https://habrastorage.org/webt/me/s6/qy/mes6qyfnsfk8rnbvjky0t4uhrp8.png)
![](https://habrastorage.org/webt/ja/5s/py/ja5spyesmhifxeymx3sx0efizzo.png)
![](https://habrastorage.org/webt/me/s6/qy/mes6qyfnsfk8rnbvjky0t4uhrp8.png)
![](https://habrastorage.org/webt/ja/5s/py/ja5spyesmhifxeymx3sx0efizzo.png)
и настраиваем маршруты до ресурсов в удалённой сети.![](https://habrastorage.org/webt/nv/td/zf/nvtdzfkvkyhmcicqrkrpqacnwfg.png)
![](https://habrastorage.org/webt/nv/td/zf/nvtdzfkvkyhmcicqrkrpqacnwfg.png)
Только о динамической маршрутизации можете забыть — её тут нет.
Может я сильно придираюсь, но ИМХО это большой недостаток…
Доступ в интернет сотрудников
Чаще всего основная задача шлюза — контроль доступа сотрудников в интернет.
Идентифицировать сотрудников можно как по ip/mac, так и по логину/паролю через агента или captive portal.
![](https://habrastorage.org/webt/3b/-z/25/3b-z25leyoohjoma1r6rn-wdble.png)
Также если в Вашей организации используется Active Directory, то ИКС можно интегрировать и с ним.
![](https://habrastorage.org/webt/jq/p3/vh/jqp3vh7i3gaiag85oujl1pawqgu.png)
Настройки фильтрации (куда сотруднику можно и куда нельзя) очень обширны.
![](https://habrastorage.org/webt/tc/zv/pr/tczvprwqxookr06gn30lvt2dblm.png)
Огромное количество готовых шаблонов правил:
Можно разрешить youtube, но запретить загружать туда видео.![](https://habrastorage.org/webt/kn/68/hz/kn68hz76orsl_-eznv2u5-stv0o.png)
![](https://habrastorage.org/webt/65/m9/nm/65m9nmryqzqpyldnrpz8fd-ncyu.png)
![](https://habrastorage.org/webt/s6/xw/fb/s6xwfb6r3mzvu72rsnzh7numu_w.png)
![](https://habrastorage.org/webt/kn/68/hz/kn68hz76orsl_-eznv2u5-stv0o.png)
![](https://habrastorage.org/webt/65/m9/nm/65m9nmryqzqpyldnrpz8fd-ncyu.png)
![](https://habrastorage.org/webt/s6/xw/fb/s6xwfb6r3mzvu72rsnzh7numu_w.png)
Но можно не ограничивать и ИКС всё равно расскажет куда кто и куда ходил своими обширными отчётами:
![](https://habrastorage.org/webt/mw/g8/z6/mwg8z6o96hniavmbb9qknyk2mps.png)
А как же гостевой Wi-Fi?
И гостевой вай-фай можно организовать с соблюдением требования законов РФ об обязательной идентификации пользователей.
ИКС поддерживает отправку смс по протоколу SMPP через любого SMS-провайдера.
![](https://habrastorage.org/webt/7o/vk/wt/7ovkwty1clpowvyqwnpcpybbuya.png)
Телефония.
Да-да! Не надо ставить отдельный сервер с Asterisk. Он уже есть в ИКС.
Я успешно подключил SIP от Мегафона (emotion, мультифон).
![](https://habrastorage.org/webt/ea/vd/rc/eavdrccb7r8wzqgyaqp3mb-ygk8.png)
Как получить SIP от Мегафона по сотовым тарифам физлиц можно почитать в статье «SIP от Мегафона по домашнему тарифу».
Безопасность.
В ИКС есть много инструментов, которые позволят настроить уровень безопасности по Вашим требованиям: от бесплатных антивирусов ClamAV и систем обнаружение вторжений Suricata до продуктов Евгения Касперского, настраивая только через понятны вэб-интерфейс.
![](https://habrastorage.org/webt/9m/jo/xz/9mjoxzgg2tnj9nz_uocqcudq-5s.png)
Даже тот же незаменимый fail2Ban настраивается в несколько кликов
![](https://habrastorage.org/webt/ue/oy/hz/ueoyhzdpb3joiyb1avp-k3i-ngo.png)
Так же ИКС может мониторить трафик по netflow протоколу с сетевого оборудования, не пропуская через себя трафик.
Коммуникационные плюшки
Коммуникацию сотрудников можно организовать не только телефонией и почтой
![](https://habrastorage.org/webt/du/74/t_/du74t_xyhkzuxfkvnezpofnuscg.png)
но и через jabber. Правда мало уже кто помнит о таком протоколе.
Web-server:
На ИКС есть даже web-server c поддержкой PHP. HTTPS сертификат можно установить свой, если есть приобретённый, или указать, чтобы ИКС получил бесплатный Let's Encrypt.
![](https://habrastorage.org/webt/qa/nc/3f/qanc3fjchmccdxxqzr6-9olycnm.png)
Этого достаточно для размещения сайта-визитки или рекламного лендинга. Но впилить тяжёлый портал с кастомными модулями у Вас не выйдет. И по мне — это глупо. Всё-таки шлюз должен оставаться шлюзом.
Гибкая настройка мониторинга и уведомлений.
Алярмы можно слать даже в Телеграм. А в реалиях РФ есть даже возможность слать сообщения через прокси.
![](https://habrastorage.org/webt/ao/2j/se/ao2jsergae_1i5g-t1ezutn00oe.png)
В заключение
Интернет-шлюз «ИКС» содержит в себе практически все компоненты, необходимые для функционирования небольшого офиса.
При этом всё это может настроить начинающий системный администратор.
Несмотря на то, что система построена ни FreeBSD, доступа по ssh к нему нет. То есть без костылей доустановить модули PHP у Вас не получится. Придётся довольствоваться тем, что есть… Или просить саппорт допилить.
При любом раскладе в начале скачайте триал на 35 дней и проверьте на сколько этот шлюз Вам подходит.
Лицензия не имеет срока действия, но несмотря на это стоимость является вполне демократичной.
На стенде в синтетических тестах система показала себя адекватно.
Если заказчик одобрит и Вам будет интересно как данная система поведёт себя в «бою», то месяцев через 3-6 напишу отзыв со всеми возникшими задачами и сложностями. Если получится, то проверим качество технической поддержки.
В комменты жду от Вас вопросы, на которые надо будет детально заострить внимание в боевом применении.
Комментарии (10)
AdmAlexus
18.12.2019 12:111. На версию ФСТЭК действующего сертификата на сайте к сожалению не нашел.
2. По «демократической стоимости»… тот же Ideco UTM в модификации Enterprise стоит, ЕМНИП, даже дешевле.
3. В документации к последней версии продукта описывать установку на VmWare ESXi 4.0.0 (текущая вроде 6.7u3) — это совсем ни в какие ворота…
И это я только поверхностно глянул на сайт
Ainamarth
18.12.2019 13:24+1Хороший продукт. Раньше активно использовал, зарекомендовал в простоте настройке и без всяких заморочек.
Shaz
19.12.2019 14:13А вы правда считаете хорошей идей навешивать это все на одну машину?
Да и причем тут «интернет-шлюз», если это реклама безполезного комбайна с бекдорами от каспера и еще черт знает кого?
dnegorov
ClearOS.
Есть платные версии и есть бесплатный community edition, есть платные и бесплатные варианты приложений (общеизвестные программы запиленные под их дистрибутив), включая того же Касперского.
На базе Centos, со всеми плюшками и совместимостями.
Если из магазина что-то не нравиться или нет желания платить, ни что не мешает поставить это-же из стандартных репозитариев. Правда уже ручками, а не через веб-морду как «родное».
slavius
ClearOS SIP и SMS тоже может?
Zentyal похож по функционалу, но тоже не умеет SIP и SMS.
dnegorov
SIP, SMS и прочей телефонии к сожалению из коробки или магазина не умеет.
Но можно все руками прикрутить, внутри это Centos 7.
Скорее всего на их форумах уже это разобрано.
В целом это добротный SOHO сервер, умеющий быть шлюзом (роутер, впн, фильтрация...), почтой, веб, бэкапом, БД, файлопомойкой, медиасервером из коробки.
LMonoceros Автор
В том то и дело, что все UTM системы надо рассматривать под конкретные задачи.
Далеко не все способны отойти от стандартной инструкции, чтобы «можно все руками прикрутить».
dnegorov
Да собственно я не возражаю и не против все-в-одном решений.
С другой стороны, если взялись что-нить рассматривать под конкретные задачи, то как бы и все-в-одном становится не нужно, ведь лучше взять отдельный инструмент под каждую задачу и с более богатыми возможностями. И тут возможность установить ручками становится ценным фактором за открытые решения. Тот же Asterisk есть в виде готовых дистрибутивов.
Если я правильно понял, ИКС это решение закрытое, не расширяемое установкой чего-то нужного (тот же пример с PHP)?
Можно ли его масштабировать если потребности переросли возможности, особенно если нужны какие-то отсутствующие функциональные возможности?
Konvergent
Так упоминалось в статье, что продукт для помощи простым эникеям, а они вряд ли смогут по отдельности все настроить… Ну и каждый раз всё заново настраивать бывает лень…
Shaz
/del