Понадобился маршрутизатор, более-менее пристойно умеющий разделять нагрузку на два инет-канала с возможностью поднятия VPN-туннеля между локальными сетями двух офисов плюс возможность подключаться по VPN с ноутбуков. Офисы не сильно большие, трафик будет не сильно объёмным.
Сначала попытался разделить задачу на разные устройства: LB-роутер на одно, VPN-сервер — на другое. Долго подбирал роутер, присмотрел пару. Один из них — киска начального уровня. И тут выяснилось, что киска начального уровня стоит раза в четыре поболее второго роутера, но LB поддерживает, только если ей купить расширение лицензии на её IOS до соответствующих функций — плюс надо бы пройти обучение, которое стоит ой-ёй, либо надолго забуриться в талмуды. Расширение лицензии стоит раза в полтора больше второго роутера.
Второй выполняет свои функции относительно пристойно, пристойно настраивается. Есть куда расти. Но производитель выбрал философию: для каждой новой версии прошивки выпускается новая ревизия роутера, со старой несовместимая аппаратно. Хотите ту же модель с исправленными ошибками и новыми фичами — покупайте новую ревизию.
Ко всему выяснилось, что и кошка начального уровня, и этот роутер собраны на одной платформе и имеют почти одинаковую производительность, а второй начал захлёбываться при полной загрузке каналов.
Для VPN-сервера — отдельные требования.
Согласно идеологии противников сборки суперкаров, брать надо кошку enterprise-уровня или Juniper. Или городить сервер с серверной Windows, которая будет работать круглосуточно. И брать к ним отдельного спеца-сетевика.
Я не настолько богат, чтобы покупать такие ненадёжные решения.
Взялся изучать бесплатные варианты. Это либо Linux, либо FreeBSD, либо дистрибутивы «router on PC». Последнее зацепило. Впечатлил Endian, но он стал коммерческим, хотя несколько лет назад был условно бесплатным. Из троицы FreeSCO, m0n0wall, pfSense остановился на последней, так как первые два давно уже не развиваются.
И всё взлетело. Более того, не пришлось разделять на два устройства. А работает всё, стыдно сказать, на железе, которое теперь списывается, ибо на нём уже невозможно работать. У меня на старых Pentium 4 c 2 ГБ памяти запас по мощности таков, что можно через них поток под 500 мегабит пропускать, только тогда захлёбываться начнут, а по памяти — я потолка вообще не скоро достигну.
Бонусом оказалась возможность поднятия на них же OpenVPN-серверов с шифрованием и связи по нему двух точек. Плюс подъём PPTP-сервера для подключения удалённых клиентов…
Вот так. И затрат-то всего на пару тысяч рублей, чтобы из этого хлама собрать несколько штук и настроить. Спросите: а как же время настройщика? Отвечу: потратил… Но это моя работа, за которую платят зарплату. С другими решениями я бы тоже потратил это время.
Сисадмин — это не пингвиноид или виндусятник, а тот, кто будет работать с оптимальным инструментом, не вертя носом от его вида. Аналог из мира транспорта — вездеход, прокладывающий дороги. А IT-специалист — автомотриса, ездящая только по определённым рельсам, которые уже проложены.