RusRoute
для Windows
RusRoute firewall — программный IPv4 и IPv6 маршрутизатор, фаервол, межсетевой экран, Интернет-шлюз для организации выхода локальной сети LAN небольшой компании в Интернет.
Имеется подсчет и ограничение трафика пользователей, защита от сетевых, (D)DOS атак, с функциями NAT, redirect, динамические шейперы, VPN сервер/клиент, прокси, мост LAN в VPN, DHCP серверы, HTTP кэши, преобразователь HTTP в HTTP прокси, с функцией Captive Portal для автоматического приглашения ввода имени и пароля пользователя при первом выходе в Интернет, настройкой времени действия и разделителей потоков для правил, с дополнительными возможностями маршрутизации.
RusRoute состоит из двух модулей: драйвера, перехватывающего Ethernet и IP-пакеты (пакеты протокола Интернет версии 4) и передающего эти пакеты для обработки модулю фаервола.
Особенности приложения:
- маршрутизатор, фаервол
- прозрачная прокси
- многофункциональный NAT
- динамический TCP шейпер
- распределённые межсерверные VPN сети
- встроенные DHCP, HTTP серверы
- гибкий HTTP кеш, автоматическая авторизация “на лету”
- авторизация, аутентификация и аккаунтинг пользователей
ТОП-сегодня раздела «Firewalls»
Firewall App Blocker 1.9
Firewall App Blocker — удобная программа для управления параметрами Firewall запуска или блокирования приложений на Вашем ПК…
TinyWall 3.3.1
Небольшой бесплатный и простой в работе инструмент для защиты и управления встроенным в…
Fort Firewall 3.17.6
Бесплатный и простой в использовании файервол для Windows, основанный на Windows Filtering Platform (WFP). …
Отзывы о программе RusRoute
Admin
Отзывов о программе RusRoute 2.7.4 пока нет, можете добавить…
Любой бизнесмен стремится к сокращению расходов. То же самое касается и IT-инфраструктуры.
При открытии нового офиса у кого-то начинают шевелиться волосы. Ведь надо организовать:
- локальную сеть;
- выход в интернет. Лучше ещё с резервированием через второго провайдера;
- VPN до центрального офиса (или до всех филиалов);
- HotSpot для клиентов с авторизацией по sms;
- фильтрацию трафика так, чтобы сотрудники не сидели в соцсетях и не трещали в скайпе;
- защиту сеть от вирусов и атак. Обеспечить защиту от вторжений (IDS/IPS);
- свой почтовый сервер (если не доверяете всяким pdd.yandex.ru) с антивирусом и антиспамом;
- файловую помойку;
- Вероятно Вам нужна телефония, т.е. организовать АТС, подключить к SIP провайдеру и другие плюшки…
Но поднять сеть предприятия с такими требованиями эникейщик не сможет… Нанимать дорогого сисадмина?
Вырисовывается очень крупное, по грядущим затратам, рублёвое число.
Но эти расходы можно существенно сократить, если обратить внимание на UTM-решения, которых сейчас огромное количество. А так как я придерживаюсь стратегии «чем проще — тем лучше» в решениях своих задач, то мой взор пал на UTM Интернет Контроль Сервер (ИКС).
Чем эта система поможет сохранить бюджет компании и почему для её обслуживания не нужен дорогой сисадмин — расскажу ниже.
Но забегая вперёд скажу — это специфический продукт и имеет свои ограничения. Более детально оценить возможности шлюза можно изучив документацию на оф.сайте.
Я же настраивал для статьи «по-русски», то есть не заглядывая в маны, чтобы понять на сколько всё интуитивно понятно.
Начальная установка
ИКС можно установить как на реальное железо, так в гипервизор. Можно задействовать какой-нибудь безвентиляторный ПК.
Например такой.
Система базируется на FreeBSD 11.3 и на большинстве оборудования должно взлететь без проблем.
Установка производится на чистый диск.
Точнее если там что-то было, то можете смело попрощаться с этим.
К сожалению, инсталлятор поддерживает только английский язык. Но после установки основной интерфейс может быть на русском.
Про отказоустойчивость тоже не забыли.
Если в системе несколько дисков, то они могут быть объединены в рэйд средствами ZFS.
Выбираем сетевой интерфейс и назначаем ip из выбранной сети.
Доменное имя указывайте реальное, если Вы планируете поднять, например, почтовый сервер. Если такой потребности нет сейчас, то можно написать от балды. Далее в интерфейсе можно будет поправить.
Всё! Можно заходить в вэб-интерфес по ip, который указали в настройках, и порту 81. DHCP на этом этапе пока не включен, поэтому на своём ПК придётся назначить ip из этой же сети вручную.
Подключаем к интернету и соединяем офисы.
При первом входе запускается мастер, который заставляет Вас установить надёжный пароль.
Далее лезем в настройки сети
и настраиваем подключение к нашему провайдеру и роли всех сетевых интерфейсов.
Провайдеров можно настроить несколько и организовать балансировку.
Кстати, если Вам не удобен английский язык интерфейса, то его легко можно поменять здесь.
Если требуется подключить офис, например, к головному офису.
То создаём новое подключение
и настраиваем маршруты до ресурсов в удалённой сети.
Только о динамической маршрутизации можете забыть — её тут нет.
Может я сильно придираюсь, но ИМХО это большой недостаток…
Доступ в интернет сотрудников
Чаще всего основная задача шлюза — контроль доступа сотрудников в интернет.
Идентифицировать сотрудников можно как по ip/mac, так и по логину/паролю через агента или captive portal.
Также если в Вашей организации используется Active Directory, то ИКС можно интегрировать и с ним.
Настройки фильтрации (куда сотруднику можно и куда нельзя) очень обширны.
Огромное количество готовых шаблонов правил:
Можно разрешить youtube, но запретить загружать туда видео.
Но можно не ограничивать и ИКС всё равно расскажет куда кто и куда ходил своими обширными отчётами:
А как же гостевой Wi-Fi?
И гостевой вай-фай можно организовать с соблюдением требования законов РФ об обязательной идентификации пользователей.
ИКС поддерживает отправку смс по протоколу SMPP через любого SMS-провайдера.
Телефония.
Да-да! Не надо ставить отдельный сервер с Asterisk. Он уже есть в ИКС.
Я успешно подключил SIP от Мегафона (emotion, мультифон).
Как получить SIP от Мегафона по сотовым тарифам физлиц можно почитать в статье «SIP от Мегафона по домашнему тарифу».
Безопасность.
В ИКС есть много инструментов, которые позволят настроить уровень безопасности по Вашим требованиям: от бесплатных антивирусов ClamAV и систем обнаружение вторжений Suricata до продуктов Евгения Касперского, настраивая только через понятны вэб-интерфейс.
Даже тот же незаменимый fail2Ban настраивается в несколько кликов
Так же ИКС может мониторить трафик по netflow протоколу с сетевого оборудования, не пропуская через себя трафик.
Коммуникационные плюшки
Коммуникацию сотрудников можно организовать не только телефонией и почтой
но и через jabber. Правда мало уже кто помнит о таком протоколе.
Web-server:
На ИКС есть даже web-server c поддержкой PHP. HTTPS сертификат можно установить свой, если есть приобретённый, или указать, чтобы ИКС получил бесплатный Let’s Encrypt.
Этого достаточно для размещения сайта-визитки или рекламного лендинга. Но впилить тяжёлый портал с кастомными модулями у Вас не выйдет. И по мне — это глупо. Всё-таки шлюз должен оставаться шлюзом.
Гибкая настройка мониторинга и уведомлений.
Алярмы можно слать даже в Телеграм. А в реалиях РФ есть даже возможность слать сообщения через прокси.
В заключение
Интернет-шлюз «ИКС» содержит в себе практически все компоненты, необходимые для функционирования небольшого офиса.
При этом всё это может настроить начинающий системный администратор.
Несмотря на то, что система построена ни FreeBSD, доступа по ssh к нему нет. То есть без костылей доустановить модули PHP у Вас не получится. Придётся довольствоваться тем, что есть… Или просить саппорт допилить.
При любом раскладе в начале скачайте триал на 35 дней и проверьте на сколько этот шлюз Вам подходит.
Лицензия не имеет срока действия, но несмотря на это стоимость является вполне демократичной.
На стенде в синтетических тестах система показала себя адекватно.
Если заказчик одобрит и Вам будет интересно как данная система поведёт себя в «бою», то месяцев через 3-6 напишу отзыв со всеми возникшими задачами и сложностями. Если получится, то проверим качество технической поддержки.
В комменты жду от Вас вопросы, на которые надо будет детально заострить внимание в боевом применении.
Если эта публикация вас вдохновила и вы хотите поддержать автора — не стесняйтесь нажать на кнопку
0
— 30.01.2013 — 01:32
Выбираю программное решение для сервера предприятия для организации доступа в интернет для сотрудников. Сервер на Windows Server 2012 Standart.
Очень желательна поддержка VPN PPTP.
Обратил внимание на следующие продукты:
Kerio Control — http://www.kerio.ru/ru/control
WinGate — http://www.wingate.ru/
UserGate Proxy & Firewall — http://usergate.ru/products/usergate/
Traffic Inspector — http://www.smart-soft.ru/ru/products/Traffic-Inspector/
Какие есть ещё серьёзные подобные продукты под WIndows?
1
— 30.01.2013 — 01:54
Ещё вспомнил Forefront Threat Management Gateway 2010 (TMG) — http://www.microsoft.com/ru-ru/serve…t-gateway.aspx .
И кстати VPN подойдёт следующих стандартов: PPTP, IPSec, L2TP, PPPoE.
2
— 30.01.2013 — 07:22
У на ТИ, капризен к сетевухам и дополнительным сетевым(!) сервисам на сервере. В остальном — нравится.
3
— 30.01.2013 — 08:10
0-Agran > Посмотри по стоимости, что тебе позволяет бюджет.
Под виндой Forefront у меня вызвал самые положительные чувства, да и информации в сети по этому продукту масса. Так же, если организация достаточно крупная, то стоит заморочиться законом 152-ф3 — у них есть список сертифицированных проксей (что бы потом не пришлось покупать что-то другое). ТрафикИнспектор там точно был, а вот остальные — надо уточнить.
4
— 30.01.2013 — 08:23
0 Вообще продукты принято выбирать, исходя также из размера организации. Это важный фактор, который позволяет сэкономить немало средств.
Рекомендую продукты TrendMicro
Для большой организации: http://www.trendmicro.com.ru/enterpr…ons/index.html
Терминирование VPN лучше организовывать в отдельном сегменте DMZ на выделенном устройстве (VPN, SSL- концентратор), но это также некое типовое решение для некой большой организации с централизацией доступа.
5
— 30.01.2013 — 09:47
а что еще за роли будут на сервере?
PS: FW на винсервере имхо моветон. Ну разве что Forefront ихний
6
— 30.01.2013 — 11:07
За деньги, которые стоят эти продукты — имхо, можно купить неплохой сервак и развернуть на нем squid+postfix+iptables или что-то аналогичное. В 2009-м из-за кризиса отказались от продления Kerio в пользу такого решения, вроде как админы привыкли и вообще в него не заглядывают. Средств мониторинга под Linux тоже нашлось немало. Инет-юзеров 120, ящиков 200, групп юзеров по правам доступа — 20, внутренних web-ресуров — около десятка. Геморроя было не в разы, а просто несколько больше. Любой серьезный продукт по-любому изучать и изучать.
7
— 30.01.2013 — 12:04
6-economist > Тут основная фишка не в том-что дешево или дорого, а в управлении из одной оснастки. Т.е. уровни доступа и т.д. надо заходить в сквид, вычислять ипшники (которые могут меняться) и т.д. Очень много гемора. Потому и он бесплатный. FW — в этом плане вин, особенно при перемещаемых профилях, когда на компе работает куча народу и каждому нужен свой доступ. В такой задаче я не вижу альтернатив FW за его деньги.
8
— 30.01.2013 — 12:31
да масса альтернатив мс форефронт 
9
— 30.01.2013 — 12:33
но! дораха!
10
— 30.01.2013 — 15:55
7-ruvirus >
Цитата:
Т.е. уровни доступа и т.д. надо заходить в сквид, вычислять ипшники (которые могут меняться) и т.д
внезапно) сквид умеет аутентифицировать не только по IP , но и авторизовывать по LDAP-группе в AD =)
11
— 30.01.2013 — 16:24
я вот не совсем понимаю материю вашего спора.
Смотрите, автор сформулировал задачу: организация доступа к Интернет. Для такой задачи в простом виде не нужно никакого сервера вообще. А вы уже начали мериться возможностями. Необходима правильная постановка задачи. Она обычно исходит из принятых стандартов.
Если стандартом является: непременно на сервере не знаю почему, я так хочу, это круто, заодно научусь, получу откат и вообще стану крутым админом, то можно просто ткнуть в любой продукт и купить.
Как и в большинстве случаев ситуация пахнет одним: ввязаться, а там посмотрим.
12
— 30.01.2013 — 16:25
0 Автор, ответь нам. Почему на сервере и почему именно на Win2012 Standard?
13
— 30.01.2013 — 16:36
и у ролях на сервере
14
— 30.01.2013 — 17:18
Win2012 Standard уже куплен и менять его на что-то другое не буду. Например мне в нём нравится функция WSUS. И со временем возможно подниму AD. От сервера требуется раздача интернета и сбор статистики кто на каких сайтах лазил и с сколько накачал. Установка приоритета по пользователям. Если в программном шлюзе будут какие-нибудь интересные функции — это приветствуется, возможно их наличие натолкнёт меня на использование. Хотел бы что бы программный шлюз выступал в роли VPN сервера, так как часть сети работает через открытый WIFI и хотелось бы что бы пользователи до сервера ходили через VPN, через него же и авторизовывались, но так же хотелось бы что бы VPN работал без дополнительного софта на клиентах (Windows 7, IPhone).
15
— 30.01.2013 — 17:21
Компьютеров в сети около 70, бюджет маленький, тысяч до 20-25, но стоит учесть что это образовательное учреждение и многие производители дают хорошие скидки.
16
— 30.01.2013 — 17:39
Автор, Вы уверены, что поступаете правильно?
На чем базируется Ваша уверенность?
17
— 30.01.2013 — 18:05
Цитата:
Сообщение от Онаним
Автор, Вы уверены, что поступаете правильно? На чем базируется Ваша уверенность?
Если считаете, что я неправ, то выскажете в чём по вашему я ошибаюсь.
18
— 30.01.2013 — 18:09
17 Вам следует заказать решение у профессионала, а не экспериментировать самому попутно обучаясь.
Вы и сейчас хотите тут, чтобы Вас научили. А форум- это не то место. Здесь могут только подсказать. Научить — не получится. Все сложнее, чем просто один сервер с кучей функций.
На сим я замолкаю.
19
— 30.01.2013 — 18:12
18. По первому посту видно, что я хочу, что бы мне посоветовали программный продукт подобный тем, что я привёл.
20
— 30.01.2013 — 18:48
Вы сами себе и ответили. Для Вашего решения без входных данных подойдет все что угодно.
Т.к. Вы не знаете особенностей того, чего Вы хотите, то можете применить все что угодно, работать будет.
А детали как я понял:
1. Вам не важны
2. Вы их не знаете
3. Вы их хотите выяснить в процессе общения на форуме
4. Да ну их в п0пу, эти детали
выбирайте одно или несколько или все
Все замолк
21
— 30.01.2013 — 20:09
AD попенцией в инет это да! это по нашему!
поставьте на любой комп pfsense и обрулитесь по самое нихачу. И бесплатно и веб интерфейс и впн и тд и тп
22
— 30.01.2013 — 20:12
21-Gochy >в pfsense фильтром pf или кто?
23
— 30.01.2013 — 20:15
знакомый бздишник летом сетовал, что оно gre не умеет пробрасывать, так что отпадает
24
— 30.01.2013 — 20:39
19-Agran > ставьте ТИ
25
— 30.01.2013 — 21:01
Цитата:
Сообщение от Gochy
поставьте на любой комп pfsense и обрулитесь по самое нихачу. И бесплатно и веб интерфейс и впн и тд и тп
Спасибо за наводку. Уже сам стал склонятся к подобному решению, как раз есть один свободный системник. Ещё нашёл подобные решения: ClearOS (http://www.clearfoundation.com/), Zentyal (http://www.zentyal.org/).
26
— 30.01.2013 — 21:13
Цитата:
Сообщение от gloomymen
21-Gochy >в pfsense фильтром pf или кто?
ога pf там фильтром, зато к АД теже всякие лдапы цеплять могет парой кликов )))
Цитата:
Сообщение от gloomymen
знакомый бздишник летом сетовал, что оно gre не умеет пробрасывать, так что отпадает
давно посл раз пробовал,если точнее то не умеет больше одного соединения одновременно , если навесить алиасом адресов на внешке, то ещё варианты, но как-то с ipfw обычно пробрасывали…вроде при сильной необходимости…у меня как-то не возникала
27
— 30.01.2013 — 21:13
glomymen, почему не даешь совет воткнуть на свободный системник endian ?
28
— 30.01.2013 — 21:16
25-Agran > тогда клирос, только 5 версии. pf не ставь — запутаешься. и к клиросу вебмин ещё, а то в клиросе многого из интерфейса не сделаешь.
29
— 30.01.2013 — 21:20
до недавненго времени во freebsd pf nat не умел gre через себя пускать, а с ftp он так и не дружит особо. держит ftp-proxy или как его на лупбаке?
(c) коммент из http://habrahabr.ru/post/82656/
у pfsense-а точно есть ftp-helper, а насчет gre даже не знаю, не нужно оно мне было, мож и вправду в pf поправили или тож костыль какой для гре стоит типа нат другой под gre даж не интересовался…
30
— 30.01.2013 — 21:32
28-Старый Седой Лис >Почему 5 версии? Есть же ClearOS 6.3.0.
31
— 30.01.2013 — 21:37
30-Agran > http://www.clearos.ru/forum/
и читать, читать, читать….
32
— 30.01.2013 — 21:54
да, я главное то упустил, пробрасывать обычно через pfsense не надо т.к. на нем терминировать можно и pptp и openvpn и ipsec и просто gre туннели, и наверняка что-то чего не знаю ))) openvpn в любом случае само оно, дык там для клиента и сборку с инсталлером под форточки\просто конфиг\под вискосити или как его там маковский одним кликом можно дернуть..
для меня былоб странно ставить *nix и пробрасывать vpn внутрь чтоб терминировать на win
33
— 30.01.2013 — 21:58
Forefront Threat Management Gateway 2010 (TMG) уже не продаётся
34
— 30.01.2013 — 22:20
27-Flukostat > оставил эту возможность тебе
32-701054 > ставить *nix и пробрасывать vpn внутрь чтоб терминировать на win
почему именно на вин?
а с исходящими туннелями что делать? есть информация что их не будет?
35
— 30.01.2013 — 22:26
через нат на pf-е один должен быть, дальше не знаю…надо проверять…я на самом деле давно pptp не пользовался…или openvpn или поднято со шлюза, не могу сказать…
36
— 30.01.2013 — 23:00
вообще воспоминание есть с rdr всего gre с внешнего адреса на внутр, а вот для чего не помню…есть подозение это исходящий не работал, на 6-ке чтоли было фре с pf, по-другому не хотело…поэтому старался openvpn использовать, у меня вообще предвзятое отношение к gre , ike для мобильных клиентов, тут openvpn самое оно, …но теже банк клиенты с gre бывают…но мне толи не попадались после того случая, толи что-то поправили.
37
— 30.01.2013 — 23:10
чем кончилось не вспомню, может алиас поднимал и bi-nat который 1 в 1 сопоставляет именно под того банк-клиента или натил чем-то другим, но грабли именно с банк-клиентом который пользовал gre были это точно.
38
— 31.01.2013 — 04:45
31-Старый Седой Лис >Посмотрел СlearOS 5. Всё хорошо, но настроек некоторый не хватает. Установил Webmin и показалось, что они с СlearOS не совсем дружат. Боюсь если начну менять настройки через Webmin, то СlearOS может заглючить. Так же посмотрел Zentyal, настроек больше, но в этом всём сложнее разобраться. И очень не понравилось что для VPN надо заводить отдельных пользователей. В СlearOS все пользователи общие на все сервисы, но не понравилось, что под одним и тем же пользователем VPN можно подключатся одновременно с разных компьютеров, а где это настроить не видно.
39
— 31.01.2013 — 07:07
38-Agran > да, где-то не дружат, вернее, пересекаются, но это легко вычислить простой перезагрузкой). в общем если, то клирос — глобальные настройки и взаимодействие пакетов, вебмин — причесать.
На днях корпорация Untangle выпустила программный шлюз с открытым кодом для использования на компьютерах с ОС Windows. До сих пор компания выпускала подобное программное обеспечение только для Linux, причем предлагала его в двух вариантах: в виде бесплатного файла для загрузки или в форме встроенного в специальное оборудование ПО, приобретаемого за деньги. Шлюз Untangle для Linux — исключительно качественный, невероятно простой в обращении и притом совершенно бесплатный программный продукт для надежной защиты локальных сетей в домашних офисах и на малых предприятиях. Новое предложение компании — Re-Router для Windows — обладает той же функциональностью, что и версия для Linux.
Untangle Re-Router выгодно отличается от других аналогичных продуктов тем, что не требует установки специальной аппаратуры или использования двух сетевых интерфейсов. В Re-Router используется технология разрешенной имитации соединения ARP, которая позволяет превратить клиент Windows в шлюз для других компьютеров в локальной сети. Это избавляет от необходимости создавать правила переадресации портов для подключенных клиентов. После установки в системном лотке Windows появляется значок Untangle Re-Router (см. рис. A) для доступа к административной консоли приложения.
Рисунок A
Такая схема очень удобна для малых предприятий в не зависимости от вида деятельности, будт то разработка интернет портала или производство программного обеспечения. Допустимое количество компьютеров в сети, защищенной шлюзом Re-Router, строго не регламентируется, но предназначен этот продукт, прежде всего, для организаций с ограниченными техническими ресурсами и узким кругом персонала. На мой взгляд, это прекрасный вариант для предприятий малого бизнеса, которым не нужны сложные сетевые технологии и необходим лишь защищенный выход в Интернет. К Re-Router, как и к версии для Linux, предлагается ряд коммерческих дополнений: платная техническая поддержка, расширенная система антивирусной защиты от Kaspersky, возможность работы на удаленном ПК, механизм подключения к Active Directory, инструменты для управления сетевой политикой и портал для удаленного доступа.
Untangle Re-Router для Windows можно бесплатно
загрузить с сайта Untangle.
Автор: Rick Vanover
Оцените статью: Голосов
Меня часто спрашивают, неужели нет никакого программного маршрутизатора под Windows? Ведь не всегда есть возможность использовать отдельный комп под pfSense или zeroshell, зато есть какой-нибудь виндовый сервер, через который можно организовать централизованный доступ в интернет. Оказывается, есть решение и в этом случае. Сегодня речь пойдет о маршрутизаторе RusRoute, который разработан нашим соотечественником — Андреем Моисеенко. Для некоммерческого использования программа бесплатна с учетом одного ограничения — максимальное количество пользователей или IP-адресов в вашей сети не больше 15.
Этот программный роутер наделен внушительным набором функций. Роутинг, фаервол, проброс портов, VPN, учет пользователей, биллинг, Captive Portal и пр. Одним словом — круто!
Установка
Чтобы раздавать интернет в локальную сеть, вам понадобится собственно сам комп с Windows и одну или две сетевых карты в нем. Одну если у вас интернет приходит по какому-нибудь модему а-ля 3G и/или с соединением по PPPoE, две — если у вас интернет по выделенке. В моем обзоре будет комп с двумя сетевухами.
В винде надо отключить Брандмауэр Windows, чтобы он не мешался. Сделать это лучше и в его настройках и в системных службах. Установку роутера, конечно, лучше производить из учетной записи с правами администратора. Кстати, в мануале к программе об этом почему-то говорится только когда вы доберетесь до 11-го пункта.
Итак, заходим на официальный сайт проекта, скачиваем exe-файл и начинаем установку. На момент написания обзора была доступна версия 1.8.4. Нам рекомендуют устанавливать роутер в каталог C:RusRoute. Да пусть так и будет…
Жмем кнопку Install, после чего через пару мгновений перед нами появится новое окно с лицензионным согашением. В верхней части окна выбираем русский язык, затем принимаем само соглашение.
Затем перед нами появится вот такое сообщение:
Жмем Продолжить. Выскакивает следующее окно:
Жмем ОК. Затем появляется вот это окно:
Жмем Да и только после этого начинается процесс настройки. Многовато сообщений, однако.
Кстати, пока я делал скриншоты всех этих окон, установщик зачем-то два раза определял архитектуру моего процессора… То ли баг, то ли установщик действительно думает, что в процессе инсталляции я могу успеть сменить начинку ПК? 🙂
Во время установки перед вами появится еще несколько окон, которые будут то появляться, то исчезать и в конце-концов процесс будет завершен. Жмем кнопку Готово.
В системном трее появится вот такой значок:
Если по нему кликнуть, то развернется основное окно всех настроек, однако, если нажать по крестику в верхне-правом углу окна, то программа настройки закроется совсем. На мой взгляд этот момент не до конца продуман. Если нажимаем по крестику, то нас должны спросить: закрыть или свернуть. Ну да ладно, ведь сам роутер при этом будет продолжать работать, т.к. он в системе регистрируется как сервис. Запустить заново программу настройки можно из меню ПускПрограммы или через ярлык на рабочем столе.
Настройка
Итак, вот мы открыли основное окно…
Первое, что бросается в глаза это Demo-режим работы роутера, который скажет вам до свидания через 30 дней. Как заставить это дело работать в бесплатном некоммерческом режиме не совсем понятно, пришлось залезть в мануал к программе. Оказывается, надо по табличке нажать правой кнопкой мыши и выбрать нужный пункт. Во как!
Я нажал пункт «Опционально: переключиться в режим бесплатной версии» после чего вылезло окно, в котором нам сообщают, что максимальное число клиентов = 8.
Отвечаем Да. Затем нам отдельным окном сообщат, что мы можем не активировать бесплатную версию.
В итоге у нас должно получиться примерно вот это.
Тут пишется об ограничении = 15-и адресов. Не совсем понятно как именно они считаются, но по большому счету для нас это не столь важно.
Ладно. Итак, у меня в компе 2 сетевухи. Одна из них смотрит в интернет и получает IP-адрес и все остальное автоматически, а вторая смотрит в локальную сеть. На ней адрес настроен вручную. Еще RusRoute установил в моей системе виртуальный сетевой адаптер, правда, не знаю для чего. Итого три сетевухи. Как написано в мануале, нам нужно убедиться, что роутер правильно распознал наши сетевые адаптеры. Для этого идем в пункт Информация о сетиСетевые адаптеры. Тут нам нужно просто посмотреть что все так.
Далее нужно сходить в раздел правил файервола и как учит инструкция щелкнуть правой кнопкой мыши в каком-нибудь месте. В выпавшем меню нужно выбрать Мастер правил.
Вот так выглядит мастер. Здесь жмем Далее.
Первым делом надо указать, какая сетевуха у нас смотрит в локальную сеть. Почему-то в правом списке уже присутствует две позиции под названием «Some network» и «VPN».
Зачем они тут — непонятно. Я все это убрал и добавил только одну сетевую карту, которая у меня смотрит в локалку. После этого жмем Далее.
Теперь выбираем подключение к интернету. В правом списке уже присутствуют два пункта pppoe и dialup (я так понял, это на тот случай, если интернет приходит по модему) и я добавил туда одну сетевуху, которая у меня смотрит в интернет. Жмем Далее, после чего нам предложат выбрать сетевой адаптер для подключения через спутник. Мы таким не пользуемся поэтому смело кликаем Далее. Затем нас спросят про спутниковый pptp подключения. Я тоже это пропустил.
Следующий этап — определяем те сервисы, которым разрешен доступ из локальной сети в интернет. Нам будет уже предложен стандартный список разрешенных протоколов, но если промотать этот список до конца, то можно обнаружить небольшой прикол — ALL TCP и ALL UDP. Действительно, весь трафик будет пропускаться без ограничений, а перечисления остальных протоколов нужны, например, для подсвечивания в журнале.
Пока согласимся с настройками по умолчанию и продолжим. Теперь нас попросят определить все разрешенные сервисы для компа с RusRoute в интернет. Я просто нажал Далее. Потом нас спросят про разрешенные сервисы из локалки к роутеру. Тоже согласился с настройкам по умолчанию. И последнее — нужно определить разрешенные сервисы для доступа из интернета к роутеру. Жму Далее.
Следующий этап — «Отображение портов для внешних адресов в адреса и порты локальной сети». Бррр. Из этой фразы новичек точно ничего не поймет, а специалист подумает что за ересь. По-моему это называется форвардинг портов (port forwarding) или просто проброс портов. Мы ничего пробрасывать не будем. Жмем Далее.
Следующий пункт — «Сервисы для маршрутизации между локальными сетями и другими сетями». Просто жмем Далее.
Последним пунктом нас спросят про перенаправление CaptivePortal. Здесь остановлюсь чуть подробнее. Если вы хотите ограничить доступ в интернет с помощью паролей для отдельных пользователей, то галку Captive Portal снимать не нужно. Если нужно просто выпустить всю локальную сеть в интернет, то снимите галку. На IPTV multicast пока заострять внимание не будем.
Последнее диалоговое окно мастера порадовало, где сказано «нажми конец для установки правил..» и кнопка «Конец» внизу формы. 🙂 Как говорится, лучше ужасный конец, чем ужас без конца. На мой взгляд кнопка должна называться «Завершение», «Готово» или «Применить»! Я не видел ни одной программы, где мастер заканчивался бы кнопкой «Конец».
Теперь, когда основные правила фаервола созданы, необходимо нажать кнопку «Применить» в основном окне программы.
Если вы оставили включенной галку Captive Portal в мастере, то при попытке зайти на какой-нибудь сайт с любого компьютера сети у вас появится вот такая замечательная страница, которая снабжена двумя ссылками на вход и выход и кучей других не очень нужных ссылок.
Важное замечание: на компьютерах в сетевых настройках шлюз по умолчанию (gateway) и DNS сервер должен быть указан IP-адрес компа с RusRoute.
Простой доступ в интернет
Если мы хотим пользоваться только базовыми настройками роутера без всяких паролей на интернет, то во-первых, как я уже отмечал выше нам нужно снять галку Captive Portal в мастере, а во-вторых — отредактировать руками одно правило на фаерволе. Идем в раздел «Правила фаервола», находим в списке правило 6.1 и в колонке Пользователи нажимаем правой кнопкой мыши. В появившемся меню выбираем пункт Редактировать.
В появившемся окне выставляем все галки, как показано на скриншоте ниже, нажимаем ОК и в основном окне программы нажимаем Применить.
Всё, после этих действий вся наша локальная сеть получит беспрепятственный доступ в интернет.
Доступ в интернет по паролям
Для этого сценария в мастере должна быть установлена галка Captive Portal и всё что нам потребуется сделать — создать нужное количество пользователей с нужными параметрами. Идем в меню Пользователи. Где нибудь в пустом месте нажимаем правой кнопкой мыши и в меню выбираем «Добавить пользователя».
Появится окно добавления пользователя:
Здесь есть поля, которые не вызывают никаких вопросов, например, имя (это логин), пароль, комметарий. Но есть настройки, по которым хотелось бы получить некое пояснение. Было бы здорово, если при наведении курсора мыши на некоторые поля и галки появлялась всплывающая подсказка. Самое главное, добавьте «денег» на баланс пользователю, в противном случае интернет ему будет недоступен. Можно сделать вход пользователя без пароля, а по MAC-адресу сетевой карты в его компьютере. Тут есть поле для ввода MAC-адреса и галка «Автоматический вход». Главное, после создания пользователя не забудьте нажать кнопку Применить в основном окне программы.
В процессе изучения роутера нашел еще один ньанс. Созданного ранее универсального пользователя можно отключить только обнулив его баланс. Галка «Отключен» в его настройках почему-то не срабатывает.
Итог
По мере свободного времени мы расскажем об остальных функциях RusRoute, а пока подведем промежуточный итог.
Идея и функционал, надо сказать, выше всяческих похвал, но реализация именно по части удобства не самая лучшая. Это небольшой недостаток, если вы будете использовать RusRoute в самом простом режиме «настроил и забыл». Но если вы каждый день будете в него лазить по несколько раз, например, администрируя пользователей, то удобство управления имеет значение.
Спасибо Андрею за RusRoute. Надеюсь, что этот продукт будет совершенствоваться и дальше.
PS: После выхода обзора мы связались с Андреем и получили от него некоторые комментарии. Материал был существенно дополнен и отредактирован.
Редакция от 15.04.2012