Любой бизнесмен стремится к сокращению расходов. То же самое касается и IT-инфраструктуры.

При открытии нового офиса у кого-то начинают шевелиться волосы. Ведь надо организовать:
  • локальную сеть;
  • выход в интернет. Лучше ещё с резервированием через второго провайдера;
  • VPN до центрального офиса (или до всех филиалов);
  • HotSpot для клиентов с авторизацией по sms;
  • фильтрацию трафик так, чтобы сотрудники не сидели в соцсетях и не трещали в скайпе;
  • защиту сеть от вирусов и атак. Обеспечить защиту от вторжений (IDS/IPS);
  • свой почтовый сервер (если не доверяете всяким pdd.yandex.ru) с антивирусом и антиспамом;
  • файловую помойку;
  • Вероятно Вам нужна телефония, т.е. организовать АТС, подключить к SIP провайдеру и другие плюшки...


Но поднять сеть предприятия с такими требованиями эникейщик не сможет… Нанимать дорогого сисадмина?
Вырисовывается очень крупное, по грядущим затратам, рублёвое число.

Но эти расходы можно существенно сократить, если обратить внимание на UTM-решения, которых сейчас огромное количество. А так как я придерживаюсь стратегии «чем проще — тем лучше» в решениях своих задач, то мой взор пал на UTM Интернет Контроль Сервер (ИКС).



Чем эта система поможет сохранить бюджет компании и почему для её обслуживания не нужен дорогой сисадмин — расскажу ниже.

Но забегая вперёд скажу — это специфический продукт и имеет свои ограничения. Более детально оценить возможности шлюза можно изучив документацию на оф.сайте.
Я же настраивал для статьи «по-русски», то есть не заглядывая в маны, чтобы понять на сколько всё интуитивно понятно.

Начальная установка

ИКС можно установить как на реальное железо, так в гипервизор. Можно задействовать какой-нибудь безвентиляторный ПК.
Например такой.


Система базируется на FreeBSD 11.3 и на большинстве оборудования должно взлететь без проблем.

Установка производится на чистый диск.
Точнее если там что-то было, то можете смело попрощаться с этим.
К сожалению, инсталлятор поддерживает только английский язык. Но после установки основной интерфейс может быть на русском.




Про отказоустойчивость тоже не забыли.
Если в системе несколько дисков, то они могут быть объединены в рэйд средствами ZFS.


Выбираем сетевой интерфейс и назначаем ip из выбранной сети.


Доменное имя указывайте реальное, если Вы планируете поднять, например, почтовый сервер. Если такой потребности нет сейчас, то можно написать от балды. Далее в интерфейсе можно будет поправить.



Всё! Можно заходить в вэб-интерфес по ip, который указали в настройках, и порту 81. DHCP на этом этапе пока не включен, поэтому на своём ПК придётся назначить ip из этой же сети вручную.



Подключаем к интернету и соединяем офисы.


При первом входе запускается мастер, который заставляет Вас установить надёжный пароль.
Мастер





Далее лезем в настройки сети

и настраиваем подключение к нашему провайдеру и роли всех сетевых интерфейсов.



Провайдеров можно настроить несколько и организовать балансировку.

Кстати, если Вам не удобен английский язык интерфейса, то его легко можно поменять здесь.


Если требуется подключить офис, например, к головному офису.
То создаём новое подключение


и настраиваем маршруты до ресурсов в удалённой сети.


Только о динамической маршрутизации можете забыть — её тут нет.
Может я сильно придираюсь, но ИМХО это большой недостаток…

Доступ в интернет сотрудников



Чаще всего основная задача шлюза — контроль доступа сотрудников в интернет.
Идентифицировать сотрудников можно как по ip/mac, так и по логину/паролю через агента или captive portal.


Также если в Вашей организации используется Active Directory, то ИКС можно интегрировать и с ним.


Настройки фильтрации (куда сотруднику можно и куда нельзя) очень обширны.


Огромное количество готовых шаблонов правил:
Можно разрешить youtube, но запретить загружать туда видео.





Но можно не ограничивать и ИКС всё равно расскажет куда кто и куда ходил своими обширными отчётами:


А как же гостевой Wi-Fi?



И гостевой вай-фай можно организовать с соблюдением требования законов РФ об обязательной идентификации пользователей.
ИКС поддерживает отправку смс по протоколу SMPP через любого SMS-провайдера.



Телефония.



Да-да! Не надо ставить отдельный сервер с Asterisk. Он уже есть в ИКС.
Я успешно подключил SIP от Мегафона (emotion, мультифон).



Как получить SIP от Мегафона по сотовым тарифам физлиц можно почитать в статье «SIP от Мегафона по домашнему тарифу».

Безопасность.


В ИКС есть много инструментов, которые позволят настроить уровень безопасности по Вашим требованиям: от бесплатных антивирусов ClamAV и систем обнаружение вторжений Suricata до продуктов Евгения Касперского, настраивая только через понятны вэб-интерфейс.



Даже тот же незаменимый fail2Ban настраивается в несколько кликов


Так же ИКС может мониторить трафик по netflow протоколу с сетевого оборудования, не пропуская через себя трафик.

Коммуникационные плюшки



Коммуникацию сотрудников можно организовать не только телефонией и почтой


но и через jabber. Правда мало уже кто помнит о таком протоколе.

Web-server:
На ИКС есть даже web-server c поддержкой PHP. HTTPS сертификат можно установить свой, если есть приобретённый, или указать, чтобы ИКС получил бесплатный Let's Encrypt.


Этого достаточно для размещения сайта-визитки или рекламного лендинга. Но впилить тяжёлый портал с кастомными модулями у Вас не выйдет. И по мне — это глупо. Всё-таки шлюз должен оставаться шлюзом.

Гибкая настройка мониторинга и уведомлений.
Алярмы можно слать даже в Телеграм. А в реалиях РФ есть даже возможность слать сообщения через прокси.


В заключение



Интернет-шлюз «ИКС» содержит в себе практически все компоненты, необходимые для функционирования небольшого офиса.
При этом всё это может настроить начинающий системный администратор.

Несмотря на то, что система построена ни FreeBSD, доступа по ssh к нему нет. То есть без костылей доустановить модули PHP у Вас не получится. Придётся довольствоваться тем, что есть… Или просить саппорт допилить.

При любом раскладе в начале скачайте триал на 35 дней и проверьте на сколько этот шлюз Вам подходит.

Лицензия не имеет срока действия, но несмотря на это стоимость является вполне демократичной.

На стенде в синтетических тестах система показала себя адекватно.

Если заказчик одобрит и Вам будет интересно как данная система поведёт себя в «бою», то месяцев через 3-6 напишу отзыв со всеми возникшими задачами и сложностями. Если получится, то проверим качество технической поддержки.

В комменты жду от Вас вопросы, на которые надо будет детально заострить внимание в боевом применении.

Комментарии (10)


  1. dnegorov
    18.12.2019 11:57

    ClearOS.
    Есть платные версии и есть бесплатный community edition, есть платные и бесплатные варианты приложений (общеизвестные программы запиленные под их дистрибутив), включая того же Касперского.
    На базе Centos, со всеми плюшками и совместимостями.
    Если из магазина что-то не нравиться или нет желания платить, ни что не мешает поставить это-же из стандартных репозитариев. Правда уже ручками, а не через веб-морду как «родное».


    1. slavius
      18.12.2019 12:43
      +1

      ClearOS SIP и SMS тоже может?
      Zentyal похож по функционалу, но тоже не умеет SIP и SMS.


      1. dnegorov
        18.12.2019 13:36

        SIP, SMS и прочей телефонии к сожалению из коробки или магазина не умеет.
        Но можно все руками прикрутить, внутри это Centos 7.
        Скорее всего на их форумах уже это разобрано.

        В целом это добротный SOHO сервер, умеющий быть шлюзом (роутер, впн, фильтрация...), почтой, веб, бэкапом, БД, файлопомойкой, медиасервером из коробки.


        1. LMonoceros Автор
          18.12.2019 13:40

          В том то и дело, что все UTM системы надо рассматривать под конкретные задачи.

          Далеко не все способны отойти от стандартной инструкции, чтобы «можно все руками прикрутить».


          1. dnegorov
            18.12.2019 15:43

            Да собственно я не возражаю и не против все-в-одном решений.
            С другой стороны, если взялись что-нить рассматривать под конкретные задачи, то как бы и все-в-одном становится не нужно, ведь лучше взять отдельный инструмент под каждую задачу и с более богатыми возможностями. И тут возможность установить ручками становится ценным фактором за открытые решения. Тот же Asterisk есть в виде готовых дистрибутивов.

            Если я правильно понял, ИКС это решение закрытое, не расширяемое установкой чего-то нужного (тот же пример с PHP)?
            Можно ли его масштабировать если потребности переросли возможности, особенно если нужны какие-то отсутствующие функциональные возможности?


            1. Konvergent
              19.12.2019 03:14

              Так упоминалось в статье, что продукт для помощи простым эникеям, а они вряд ли смогут по отдельности все настроить… Ну и каждый раз всё заново настраивать бывает лень…


        1. Shaz
          19.12.2019 14:12

          /del


  1. AdmAlexus
    18.12.2019 12:11

    1. На версию ФСТЭК действующего сертификата на сайте к сожалению не нашел.
    2. По «демократической стоимости»… тот же Ideco UTM в модификации Enterprise стоит, ЕМНИП, даже дешевле.
    3. В документации к последней версии продукта описывать установку на VmWare ESXi 4.0.0 (текущая вроде 6.7u3) — это совсем ни в какие ворота…

    И это я только поверхностно глянул на сайт


  1. Ainamarth
    18.12.2019 13:24
    +1

    Хороший продукт. Раньше активно использовал, зарекомендовал в простоте настройке и без всяких заморочек.


  1. Shaz
    19.12.2019 14:13

    А вы правда считаете хорошей идей навешивать это все на одну машину?
    Да и причем тут «интернет-шлюз», если это реклама безполезного комбайна с бекдорами от каспера и еще черт знает кого?