Mikrotik hAP ac RB962UiGS-5HacT2HnT или Keenetic Giga KN-1010?
1) Разделить сеть на подсети, которые должны либо видеть другие подсети либо нет, и это должно настраиваться. Сеть маленькая, вланы, думаю, не нужны. Принцип — на порт роутера свой IP и отдельный DHCP-сервер, с порта витая пара идёт на тупой свитч, к которому подключены компьютеры, которые будут в своей маленькой уютненькой подсеточке. Микротик так умеет, а вот сможет ли Кинетик? Вроде бы, у современных Кинетиков есть CLI, но почитав мануал так ничего толком и не понял про способность настроить требуемое.
2) Хороший, годный Wi-Fi, в частности 5 Ghz. Вот тут на Микротик в отзывах читал жалобы, мол, не айс. Да и вообще, мол, на эту железку ценник перегрет из-за SFP и 5 Ghz, а ничего хорошего эта модель из себя не представляет.
3) SFP-порт. Цель — избавиться от провайдерского медиаконвертера, модуль будет предоставлен любой требуемый.
4) Гигабитные порты.
5) И вот ещё одно требование — BGP. На ныне действующем старом Микротике настроен прозрачный обход блокировок посредством связки OpenVPN + BGP + VPS в дружественной стране. Т.е. 146% Микротик так умеет, но умеет ли работать с BGP Кинетик?
Записки странника-технаря
Недавно мой провайдер решил перейти на 5 ггц и увеличил скорость до 50 мбит. До этого WI-FI у меня раздавали 2 роутера — Acorp WR-G и Asus WL520GC (друг подарил). Раньше маршрутизация и фильтрация была настроена на радиомодеме, а при выдаче нового комплекта оборудования провайдер сделал козью морду и не выдал мне пароль для настройки. Пришлось в спешном порядке приспосабливать для этих целей древний ASUS. Вначале вроде всё шло неплохо, но очень вскоре я обнаружил, что едва ли он мог прожевать NAT — скорость в лучшем случае составляла 45 мбит, чаще же были провалы до 15. Потом появились странные глюки и подвисания. Было принято решение — взять 2 роутера, так как одним покрыть дом сигналом не удавалось. Также хотелось взять роутеры на вырос — с USB портами, мощным железом и гигабитными портами.
Проблемы выбора — свои 2 роутера я покупал в далёком 2008 году — это был Acorp WR-G и D-Link DIR-615 rev.B2. D-Link до сих пор стоит и работает у родителей, несмотря на некоторую нестабильность работы с VPN, которая вылечилась перепрошивкой, роутер меня более чем устраивал — торренты и другой трафик гонял под соточку без напрягов, сигнал был довольно мощный и покрывал всю квартиру. Аналогами такого устройства я видел в NETGEAR в частности модель WNR612 и WNR2200. Последняя не уступала моему D-Link-у. Оба этих роутера без проблем работают у 2 друзей в аналогичных условиях — VPN|L2TP и NAT. Но хотелось чего-то большего, брать D-Link 655 я не стал — уж больной древняя модель, хотя мнение у меня о ней такое же хорошее, как и о своём 615, но в ней уже были и гигабитные порты и USB.
Глядя на современный рынок роутеров и одновременно упавший рубль, мне стало немного грустно. Старые бюджетки, устаревшие интернет-центры, причём выбор на мой взгляд скудный. Во многих магазинах выбор в лучшем случае и 2-3 фирм. Как я понял — нынешний рынок представлен всевозможными моделями Asus, Zyxel и TP-Link. Netgear и D-Link стало поменьше и выбор скудный. КрЫзЫс, однако! Я люблю пробовать новое — потому, решил, что не буду брать роутеры тех фирм, что у меня были и тех, которые я плотно изучал у друзей. TP-Link мне не понравился и я решил взять Zyxel, повыбирав, я остановился на линейке GIGA, 3 модель мне была избыточна своим 5 ггц и мне не понравилось, что антенны несъёмные. По объёму флешки и памяти 2 и 3 одинаковые, а мощность процессора для меня не была уж столь значимой — я не планировал использовать роутер, как торренто-качалку или DLNA-сервер. А вот 2 роутер я выбрал почти спонтанно, мой провайдер решил строить свою сеть на Mikrotik-ах, уйдя от Ubiquilti. Ну, а так как я был наслышан о Mikrotik на форумах, то подумал, ну, а почему бы и нет? Вначале я хотел взять hAP Lite, но уж слишком бюджетно выглядела моделька — 100 мбитные порты, 32 мб ОЗУ и не было USB порта. Выбор пал на RB951G-2HnD — дорого, но зато всё устраивало. Решено-куплено.
2 роутера именитых и уважаемых фирм, что они могут нам предложить? Поехали!
Zyxel Keenetic Giga II — чёрный, корпус, съёмные антенны 5 дб, цп с частотой 700 мгц, озу 256 мб, флешка 16 мб, БП 12 в 1.5 А, инструкция на русском, модная коробка и патчкорд в комплекте. Смотрится строго, классический дизайн, индикация не слишком яркая. Интерфейс WEB на русском и английском. Перевод адекватный. Несколько замудрили с меню настройкой ISP. Управлять роутером можно также через TELNET. Тут у меня честно говоря ступор — на дворе 2016 год, пусть модель и 2013, но почему TELNET? Незащищенный протокол, в отличии от того SSH, не поддерживает аутентификацию по ключам. Также не понравилось, ужасно убогие настройки WI-FI — нельзя выставить преамбулы, жёстко закрепить 20/40 мгц, выставить фиксированные значения скорости, даже выбор режимов и то был невменяемым — B|BG|BGN. В старом добром D-Link я мог настроить всё и выставить жёстко, что спасало в условиях замусоренного эфира квартиры. Планшет при подключении к Zyxel всё время норовит свалиться в G режим. Ну и автовыбор 20/40 мгц априоре валится в 20. Хотя тот же D-Link прекрасно себя ощущает. Эти косяки можно исправить в консольном режиме, но тут у меня возникает вопрос — Zyxel по уровню настраиваемости через WEB уступает бюджетному D-Link-у? Получается, что так. отдельно речь о портах в Zyxel их 5 штук и все гигабитные. Подписаны — домашняя сеть 4 шт. и интернет 1 шт. Фишка в том, что роутер может менять назначение портов и комбинировать и как угодно, а это значит, что можно подключить 2 провайдера (2 WAN порта) и резервировать каналы, Wi-FI сеть можно вынести в отдельный сегмент. Также я проверил, как работает расшаривание файлов на жёстком диске через SMB и FTP- всё работает. Удобно, что безопасное извлечение можно сделать не только через WEB, а просто нажав кнопку на корпусе. Кнопок 2 — значение можно менять. О мощности и скорости WI-FI планшет в условиях города показал, приём/передачу порядка 41-43 мб при 20 мгц ширине канала. Уровень покрытия чуть лучше, чем у старого D-Link DIR-615. В частном доме покрыл всю площадь, кроме одной комнаты сигнал не падает ниже -70 дбм. Скорость отдачи планшета возросла до 51 мбит, при скорости соединения 72 мбита, считаю хорошим результатом. Через 1 бетонное перекрытие приём/передача 38-41 мбит. Фото роутера (с Яндекс-Маркет):
Mikrotik или keenetic что лучше
Mikrotik hAP ac RB962UiGS-5HacT2HnT или Keenetic Giga KN-1010?
1) Разделить сеть на подсети, которые должны либо видеть другие подсети либо нет, и это должно настраиваться. Сеть маленькая, вланы, думаю, не нужны. Принцип — на порт роутера свой IP и отдельный DHCP-сервер, с порта витая пара идёт на тупой свитч, к которому подключены компьютеры, которые будут в своей маленькой уютненькой подсеточке. Микротик так умеет, а вот сможет ли Кинетик? Вроде бы, у современных Кинетиков есть CLI, но почитав мануал так ничего толком и не понял про способность настроить требуемое.
2) Хороший, годный Wi-Fi, в частности 5 Ghz. Вот тут на Микротик в отзывах читал жалобы, мол, не айс. Да и вообще, мол, на эту железку ценник перегрет из-за SFP и 5 Ghz, а ничего хорошего эта модель из себя не представляет.
3) SFP-порт. Цель — избавиться от провайдерского медиаконвертера, модуль будет предоставлен любой требуемый.
4) Гигабитные порты.
5) И вот ещё одно требование — BGP. На ныне действующем старом Микротике настроен прозрачный обход блокировок посредством связки OpenVPN + BGP + VPS в дружественной стране. Т.е. 146% Микротик так умеет, но умеет ли работать с BGP Кинетик?
OpenWrt vs. Mikrotik vs. Keenetic для дома
Уже много лет в моем доме трудится роутер TP-Link TL-WDR3600 с прошивкой OpenWrt. Брал его ещё в студенческие времена, когда денег было не очень много, зато было время и желание покрасноглазить и поэкспериментировать. На первых порах использовал его и в хвост и в гриву, даже развернул на нем домашний сервер. Со временем необходимость в подобных выкрутасах отпала, большинство задач переехала на более подходящие для этого устройства, а на роутере остались только вещи, связанные непосредственно с сетью:
- Мой собственный VPN, соединяющий дом, работу и дачу. Внутри VPN используется IPv6, потому что в разных физических IPv4-сетях используется один и тот же диапазон адресов, а костылять не хотелось. Непосредственно VPN-шлюз стоит на другом устройстве, на роутере только прописан маршрут и организована раздача адресов.
- Ipset + DNAT для заворачивания части запросов в shadowsocks-туннель.
Сейчас появилось желание обновить роутер до чего-нибудь с поддержкой 802.11ac, а может даже с 802.11ax. Так как никаких особо хитрых задач на роутере больше не решается, потребности в OpenWrt тоже нет. Плюс, есть ощущение, что сам OpenWrt не очень хорошо справляется со своими обязанностями — временами очень долго открываются страницы и скачет скорость по Wi-Fi при пустом эфире.
Посоветуйте, какие железки можно рассматривать в качестве замены. Первая мысль — Mikrotik. С некоторым скепсисом смотрю на RouterOS и её ярых фанатов, но если вещь действительно стоящая, то можно закрыть глаза на предубеждения и попробовать. Насколько я понимаю, первая задача на Mikrotik решается без проблем, а вот по поводу второй есть сомнения.
Кроме того, несколько раз слышал хорошие отзывы о Keenetic. Понятно, что это устройства сугубо для дома и рассчитанные в первую очередь на домохозяек, но если в них есть SSH-доступ и возможность устанавливать сторонний софт, то, может, и хватит для моих задач. Есть у кого-нибудь подобных опыт?
Microtik сразу забей, они AC до юзабельного состояния довели только в этом году, а ax ещё лет пять доводить будут..
у mikrotik слабый wifi, + там ущербная поддержка openvpn ( хотя ipsec замечателен ).
По поводу 2 не получится — но что тебе стоит на VPS поставить ipsec и соединить твой микротик туннелем ipsec ?
Нормален, поддерживает entware.
Можешь как вариант купить xiaomi роутер и поставить туда openwrt
у mikrotik слабый wifi, + там ущербная поддержка openvpn
В семере вроде завезли нормальный openvpn и даже wireguard..
Ну не, микротов у меня больше не будет.. Говно. Ибо правда, в wifi они не умеют..
но зато там очень удобный gui. Все можно буквально настраивать мышкой в отличие от openwrt ( где куча различных приложений )
Можешь как вариант купить xiaomi роутер и поставить туда openwrt
xiaomi r3p аналог по железу keenetic ultra ( при стоимости ниже в 3 раза . ). По поводу 802.11ax — openwrt пока не поддерживает, а вот xiaomi уже продают.
Ты видел tomato? И в микротике половина фичей настраивается только из cli.
И в микротике до сих пор нет udpxy, что для меня актуально.
Microtik сразу забей, они AC до юзабельного состояния довели только в этом году, а ax ещё лет пять доводить будут..
А что конкретно не работает?
Уже вроде все ок, но конкретно не работало 5Ghz на hAP Ac2 и на rb4011igs+5hacq2hnd-in больше года. Сейчас с подачи микротиковских форумчан починили, но сами микротики морозились год
у них обычно антенны встроенные ( в домашних моделях) — из-за этого микротыки очень компактны но там wifi слабоват
И в микротике до сих пор нет udpxy,
Оно уже давно сдохло — все перешли на hls
Оно уже давно сдохло — все перешли на hls
Пля. Ну у тебя сдохло и хорошо, а у меня микротик не может в мультикаст по вафле. Прова менять не предлагать..
у mikrotik слабый wifi, + там ущербная поддержка openvpn ( хотя ipsec замечателен ).
Насколько слабый? У меня квартира, не частный дом. У нынешнего роутера 5 ГГц затухает на кухне, а вот 2.4 ГГц вполне себе добивает, даже на улице поймать можно.
По поводу 2 не получится — но что тебе стоит на VPS поставить ipsec и соединить твой микротик туннелем ipsec ?
Когда-то даже использовал такой вариант, до того, как пересел на Wireguard и Shadowsocks. Было две проблемы:
1) Работало, но не было уверенности, что настроил всё достаточно безопасно. Где-то что-то недокрутил — и уже кто угодно может залезть внутрь моей сети. Понятно, что есть файрволл, но в какой-то момент решил заменить на более примитивное решение.
2) Сравнительно сложная настройка перенаправления на OpenWrt. Помечаешь пакеты флагом, создаешь отдельную таблицу маршрутизации, связываешь флаг и таблицу, ещё что-то. Всё это раскидано по нескольким конфигам, примеров нет. В итоге справился, но при каждом апдейте OpenWrt нужно было вспоминать эту схему и переносить куски конфига из бекапа.
Можешь как вариант купить xiaomi роутер и поставить туда openwrt
Думал и о таком варианте. Было много жалоб на драйвер mt76, не знаю, в каком состоянии он сейчас. Ну и см. стартовый пост про OpenWrt, есть ощущение, что на заводской прошивке роутер работал лучше.
И в микротике до сих пор нет udpxy, что для меня актуально.
Да, это минус. Даже igmp proxy нет?
Не, это появилось в 2019 :)))
Но про мультикаст по вафле можешь забыть, даже в 5GHz..
Уже вроде все ок, но конкретно не работало 5Ghz
Откуда тогда столько восторженных отзывов от владельцев Микротиков? Даже владельцы Apple-девайсов так не радуются. Или сам факт покупки железки, которая почти-как-циска вызывает такие эмоции?
У микротыка это делается буквально несколькими кликами мыши. На стороне VPS достаточно поставить docker с настроенным ipsec.
Всё это раскидано по нескольким конфигам, примеров нет
Ну это же openwrt. У микротыка единый интерфейс — в этом его прелесть.
Насколько слабый? У меня квартира, не частный дом. У нынешнего роутера 5 ГГц затухает на кухне, а вот 2.4 ГГц вполне себе добивает, даже на улице поймать можно.
Оно так и будет. По личным наблюдениям у keenetic ultra wifi 5Ghz мощнее, чем у hAP Ac2.
Так что покупай keenetic и не парься. shadowsocks там можно поставить на entware. У них кстати в офицальной прошивке есть возможность ставить entware и сторонние пакеты. Не каждый роутеростроитель может этим похвастаться.
Откуда тогда столько восторженных отзывов от владельцев Микротиков
Так фэнбои, что с них взять..
Вот тебе пару тем
микротык хорош в качестве решения в офисе — например сделать сеть между 2 оффисами или поставить где нить роутер на комбайне, чтобы сделать wifi сеть между комбайнами и разгрузчиками.
микротык хорош в качестве решения в офисе — например сделать сеть между 2 оффисами или поставить где нить роутер на комбайне, чтобы сделать wifi сеть между комбайнами и разгрузчиками
В жопу микротик. Если что то пошло не так, то тебе никто не поможет. Даже их хваленый саппорт, который вообще ни на письма ни на сообщения на их форуме не отвечает.
Пишут что сделали UDP в RouterOS 7 (но она бета ещё).
Кинетик и домохозяевам подойдёт. Поддерживает приложки от опенврт.
Плюс у них есть свой бесплатный ddns.
Я б взял железку на атоме с возможностью воткнуть PCIe вайвай карту. Все таки можно полноценную ОС вкорячить и возможностей побольше.
Уже вроде все ок, но конкретно не работало 5Ghz
Откуда тогда столько восторженных отзывов от владельцев Микротиков?
Прикинь, у них железки вовсе без WiFi бывают. Отзывы, в основном, от тех, кому надо что-то необычное. Например вот в качестве PPPoE сервера работает, OSPF умеет.
Пишут что сделали UDP в RouterOS 7 (но она бета ещё).
Да там и tcp кривое
openvpn сам по себе кривой и тормозной. У микротыка железная поддержка ipsec ( до 450 мбит )
А 450 ты откуда взял?
Так что покупай keenetic и не парься. shadowsocks там можно поставить на entware.
Ок. Тогда два вопроса
1) Как у них с апдейтами, фиксами багов и уязвимостей?
2) Как организован доступ к ipset, iptables и таблицам маршрутизации? Есть ли какая-нибудь инфраструктура с конфигами а-ля OpenWrt, или просто SSH и портянки из скриптов?
С некоторым скепсисом смотрю на RouterOS и её ярых фанатов
Что вспомнил. Можно качнуть RouterOS для x86 и месяц посмотреть. Может в виртуалке.
Купи ещё один туполинк и не парься
Можно взять железо от MikroTik и попробовать RouterOS. Если не понравится или не хватит возможностей, то запустить на этом железе OpenWrt.
Я это проделывал с RB750Gr3 и RB960PGS.
RouterOS хороша тем, что имеет (как и большинство профессионального сетевого оборудования) достаточно ортогональную систему конфигурации — можно зайти на любую железку и сказать «/export», прочитать конфиг и понять, что и как она делает. OpenWrt же, напротив, больше похож на типичные линуксы — есть много способов настроить одно и то же (начиная от uci и заканчивая /etc/rc.local), что делает конфигурацию более хрупкой. Это одновременно и плюс, и минус OpenWrt — он даёт огромную гибкость, но если периодически вносить какие-то изменения и не документировать их, то через пару лет повторить конфигурацию даже на такой же новой чистой железке (например, если текущая сгорит) будет трудно. А ещё в OpenWrt легко внести какое-то рантаймовое изменение (например, из шелла добавить фаервольное правило или маршрут), тогда даже на файловой системе не останется никаких следов, и при следующей перезагрузке изменения пропадут — можно будет долго гадать, а как же оно раньше работало, и почему теперь перестало. Конечно, при хорошей дисциплине документирования всего этого можно избежать, но много ли кто будет заниматься таким для дома?
Для Wi-Fi лучше брать отдельные коробки — часто в квартире выгодные (удобные) места для концентрации проводов и для распространения радиосигналов не совпадают. Если есть постоянно работающий компьютер с линуксами, который всё равно регулярно обслуживается, то я бы взял свитч с 802.1q, точку доступа и завёл бы всю маршрутизацию и прочие сетевые функции/сервисы (терминирование IPv6, IPSec, Wireguard, прочих VPN, DHCP(v6)/RA, DNS (рекурсор и внутренние зоны), фаервол) на этот компьютер, возможно сделав из него «router-on-a-stick» (когда на один сетевой интерфейс приходит несколько тегированных VLAN для маршрутизации).
Если есть постоянно работающий компьютер с линуксами, который всё равно регулярно обслуживается, то я бы взял свитч с 802.1q, точку доступа и завёл бы всю маршрутизацию и прочие сетевые функции/сервисы (терминирование IPv6, IPSec, Wireguard, прочих VPN, DHCP(v6)/RA, DNS (рекурсор и внутренние зоны), фаервол) на этот компьютер
Ну, кстати, это и с микротиковской точкой можно. Я так с cAP ac сделал. Точку примерно в центр квартиры, питание по PoE.
RouterOS профессионального сетевого оборудования
Да ты упрлс. Она «профессиональная» не больше, чем подвальный туполинк со стоковой прошивкой. Большинство фич реализовано для галочки, чтобы в маркетоидном буллщите написать про это. Ну хомячки и ведутся.
Для ТСа — OpenWRT + какой-нибудь хороший роутер на ARM с нативной поддержкой, типа WRT AC series или топового зухеля на 4-ядерном снапе, Armor Z2 или как-то так, что ли.
Ну и никогда не стоит забывать о Turris Omnia.
Да ты упрлс. Она «профессиональная» не больше, чем подвальный туполинк со стоковой прошивкой.
Тут ты не прав, значительно больше. Но в домашних условиях это не раскрыть. PPPoE я упоминал. Знаю одного оператора небольшого города, у которого все NAS под PPPoE — это Микротики. Работает же. RADIUS во вполне достаточном объёме и т.п. OSPF тоже упоминал, это уже прямо у нас: один клиент двумя каналами с двух разных точек включен, всё работает, там же и QinQ. В общем ниша у Микротика вполне есть, особенно если чудес на самом деле не ждать и не навешивать все варианты применения разом на одну железку. И не делать это всё на каком-нибудь hAP Lite (хотя и у него есть преимущество своё — я WiFi фиговины дешевле не видел).
У нынешнего роутера 5 ГГц затухает на кухне, а вот 2.4 ГГц вполне себе добивает, даже на улице поймать можно.
У hAP ac2 примерно также.
У меня квартира, не частный дом. У нынешнего роутера 5 ГГц затухает на кухне
Это очень плохо, вообще-то. Я бы сказал, неприемлемо.
Тому куча причин может быть, от материала стен до состава обоев…
Ты забыл упомянуть, что все это состоит из велосипедов, говна и палок, а по функционалу не приближается к реальным вещам в принципе. RouterOS сделана дилетантами для дилетантов, а если хочется окунуться в мир настоящих роутеров занедорого, есть EdgeOS, основанная на Debian и Vyatta.
есть EdgeOS, основанная на Debian и Vyatta.
В общем-то там не лучше. Мелкие роутеры от Ubiquiti я тоже смотрел. Например Netflow на Микротике у меня никогда не валился, а там только в путь (вот им бы, кстати, на ipt_netflow с этим переехать). Писал скрипт, чтобы дёргал процесс. Хотя конечно шел нормальный некоторый плюс даёт. И вроде там пакеты доустановить можно, но не помню уже.
Записки странника-технаря
Недавно мой провайдер решил перейти на 5 ггц и увеличил скорость до 50 мбит. До этого WI-FI у меня раздавали 2 роутера — Acorp WR-G и Asus WL520GC (друг подарил). Раньше маршрутизация и фильтрация была настроена на радиомодеме, а при выдаче нового комплекта оборудования провайдер сделал козью морду и не выдал мне пароль для настройки. Пришлось в спешном порядке приспосабливать для этих целей древний ASUS. Вначале вроде всё шло неплохо, но очень вскоре я обнаружил, что едва ли он мог прожевать NAT — скорость в лучшем случае составляла 45 мбит, чаще же были провалы до 15. Потом появились странные глюки и подвисания. Было принято решение — взять 2 роутера, так как одним покрыть дом сигналом не удавалось. Также хотелось взять роутеры на вырос — с USB портами, мощным железом и гигабитными портами.
Проблемы выбора — свои 2 роутера я покупал в далёком 2008 году — это был Acorp WR-G и D-Link DIR-615 rev.B2. D-Link до сих пор стоит и работает у родителей, несмотря на некоторую нестабильность работы с VPN, которая вылечилась перепрошивкой, роутер меня более чем устраивал — торренты и другой трафик гонял под соточку без напрягов, сигнал был довольно мощный и покрывал всю квартиру. Аналогами такого устройства я видел в NETGEAR в частности модель WNR612 и WNR2200. Последняя не уступала моему D-Link-у. Оба этих роутера без проблем работают у 2 друзей в аналогичных условиях — VPN|L2TP и NAT. Но хотелось чего-то большего, брать D-Link 655 я не стал — уж больной древняя модель, хотя мнение у меня о ней такое же хорошее, как и о своём 615, но в ней уже были и гигабитные порты и USB.
Глядя на современный рынок роутеров и одновременно упавший рубль, мне стало немного грустно. Старые бюджетки, устаревшие интернет-центры, причём выбор на мой взгляд скудный. Во многих магазинах выбор в лучшем случае и 2-3 фирм. Как я понял — нынешний рынок представлен всевозможными моделями Asus, Zyxel и TP-Link. Netgear и D-Link стало поменьше и выбор скудный. КрЫзЫс, однако! Я люблю пробовать новое — потому, решил, что не буду брать роутеры тех фирм, что у меня были и тех, которые я плотно изучал у друзей. TP-Link мне не понравился и я решил взять Zyxel, повыбирав, я остановился на линейке GIGA, 3 модель мне была избыточна своим 5 ггц и мне не понравилось, что антенны несъёмные. По объёму флешки и памяти 2 и 3 одинаковые, а мощность процессора для меня не была уж столь значимой — я не планировал использовать роутер, как торренто-качалку или DLNA-сервер. А вот 2 роутер я выбрал почти спонтанно, мой провайдер решил строить свою сеть на Mikrotik-ах, уйдя от Ubiquilti. Ну, а так как я был наслышан о Mikrotik на форумах, то подумал, ну, а почему бы и нет? Вначале я хотел взять hAP Lite, но уж слишком бюджетно выглядела моделька — 100 мбитные порты, 32 мб ОЗУ и не было USB порта. Выбор пал на RB951G-2HnD — дорого, но зато всё устраивало. Решено-куплено.
2 роутера именитых и уважаемых фирм, что они могут нам предложить? Поехали!
Zyxel Keenetic Giga II — чёрный, корпус, съёмные антенны 5 дб, цп с частотой 700 мгц, озу 256 мб, флешка 16 мб, БП 12 в 1.5 А, инструкция на русском, модная коробка и патчкорд в комплекте. Смотрится строго, классический дизайн, индикация не слишком яркая. Интерфейс WEB на русском и английском. Перевод адекватный. Несколько замудрили с меню настройкой ISP. Управлять роутером можно также через TELNET. Тут у меня честно говоря ступор — на дворе 2016 год, пусть модель и 2013, но почему TELNET? Незащищенный протокол, в отличии от того SSH, не поддерживает аутентификацию по ключам. Также не понравилось, ужасно убогие настройки WI-FI — нельзя выставить преамбулы, жёстко закрепить 20/40 мгц, выставить фиксированные значения скорости, даже выбор режимов и то был невменяемым — B|BG|BGN. В старом добром D-Link я мог настроить всё и выставить жёстко, что спасало в условиях замусоренного эфира квартиры. Планшет при подключении к Zyxel всё время норовит свалиться в G режим. Ну и автовыбор 20/40 мгц априоре валится в 20. Хотя тот же D-Link прекрасно себя ощущает. Эти косяки можно исправить в консольном режиме, но тут у меня возникает вопрос — Zyxel по уровню настраиваемости через WEB уступает бюджетному D-Link-у? Получается, что так. отдельно речь о портах в Zyxel их 5 штук и все гигабитные. Подписаны — домашняя сеть 4 шт. и интернет 1 шт. Фишка в том, что роутер может менять назначение портов и комбинировать и как угодно, а это значит, что можно подключить 2 провайдера (2 WAN порта) и резервировать каналы, Wi-FI сеть можно вынести в отдельный сегмент. Также я проверил, как работает расшаривание файлов на жёстком диске через SMB и FTP- всё работает. Удобно, что безопасное извлечение можно сделать не только через WEB, а просто нажав кнопку на корпусе. Кнопок 2 — значение можно менять. О мощности и скорости WI-FI планшет в условиях города показал, приём/передачу порядка 41-43 мб при 20 мгц ширине канала. Уровень покрытия чуть лучше, чем у старого D-Link DIR-615. В частном доме покрыл всю площадь, кроме одной комнаты сигнал не падает ниже -70 дбм. Скорость отдачи планшета возросла до 51 мбит, при скорости соединения 72 мбита, считаю хорошим результатом. Через 1 бетонное перекрытие приём/передача 38-41 мбит. Фото роутера (с Яндекс-Маркет):
Поговорим о недостатках Mikrotik
Компания Mikrotik, базирующаяся в Латвии, положительно зарекомендовала себя на рынке сетевого оборудования. Ближайшим конкурентом данной фирмы можно считать американскую компанию Ubiquiti. Последняя из этих фирм офисные роутеры стала выпускать недавно. А вот бренд Mikrotik получил известность именно благодаря роутерам, цена которых сейчас приближается к стоимости базовых решений D-Link или ASUS, одновременно с чем каждый выпущенный фирмой Микротик роутер обладает надежностью, свойственной профессиональному оборудованию. Много плюсов и ни одного минуса – может ли так быть на самом деле? Попытаемся это выяснить.
Похоже, что недостатков у оборудования Mikrotik просто нет. Заполучить те или иные проблемы вместе с приобретением роутера этой фирмы еще не удавалось никому, или же, о таких случаях сейчас ничего неизвестно. Ну а если говорить о стоимости, то цена роутера Mikrotik в базовом варианте оказывается меньше, чем стоит сетевой комбайн ZyXEL Keenetic II. Указанная модель фирмы ZyXEL является оборудованием начального уровня. Несмотря на перечисленные плюсы, очереди за продукцией латвийской компании если и выстраиваются, то небольшие. Попробуем выяснить, почему.
Плюсы и минусы модели
Самое бюджетное устройство фирмы Mikrotik, которое можно купить сегодня – это роутер RB951-2n. Достоинства этого устройства:
- Можно организовать локальную проводную сеть любых вообразимых масштабов (200-300 абонентов)
- Встроенный модуль Wi-Fi – все же есть (для профессионального оборудования это не типично)
- Скорость работы L2TP соединений – такая же, как характерно для RB750 (90 Мбит/с – без проблем)
- Надежность работы, свойственная всей продукции рассматриваемого бренда.
Уровень надежности аппаратного обеспечения, применяемого в роутерах Микротик, сравним с надежностью профессиональных решений Cisco. Грубо говоря, пользователю не придется раз в месяц (и даже раз в год) нажимать кнопочку reset на корпусе, чтобы поддерживать устройство «в форме». Возможно, свою роль тут играет и качество прошивки – операционная система Router OS, поставляемая вместе с оборудованием, до сих пор не имеет аналогов.
А теперь, перечислим недостатки данной модели. Мы руководствуемся только техническим описанием (анализ отзывов будет дальше). Итак, устройство RB951-2n не может:
- Организовать резервный канал связи через 3G/4G (отсутствует порт USB)
- Использовать максимальную мощность беспроводного передатчика, которая разрешена в РФ (поддерживается только 17 dBm вместо разрешенных 20-ти)
- Антенна Wi-Fi компенсирует недостаток мощности только частично, обладая усилением 1,5 дБ, вдобавок, она – внутренняя!
Собственно, рекомендованная стоимость рассматриваемой модели роутера не превосходит 50 у.е. Наверное, есть смысл смотреть в сторону чуть более дорогих решений. Но тут покупателя ждет сюрприз – самый дешевый роутер с USB, RB951Ui-2HnD, стоит больше 2000 рублей. Если под «роутером» подразумевать «сетевой комбайн», надо готовить эту сумму.
Разные случаи из практики
Интерфейс системы Router OS, встроенной в любое оборудование «Микротик», обладает следующим свойством. Он – графический, и настроить в нем любую опцию, включая связь по 4G, можно путем выполнения кликов и вписывания букв и цифр. Настроив устройство один раз, а также убедившись в работоспособности всех опций, о роутере Mikrotik можно будет забыть, рассчитывая на непрерывную работу в течение нескольких лет. Но интерфейс обеспечивает доступ к огромному числу параметров, причем, по отдельности, а в результате возможны казусы, наличие которых вызвано отсутствием соответствующего опыта у оператора.
Куда пропала сеть Wi-Fi?
Все знают, что любой домашний и офисный маршрутизатор наделен встроенным DHCP-сервером. В то же время, само устройство под названием «роутер» имеет собственный IP-адрес. Обычно обе перечисленные опции настраиваются на одной вкладке. А вот для системы Router OS это – не верно, и в результате, возможен следующий казус.
Пользователь, согласно мануалам, настроил сеть Wi-Fi. Перед этим им был включен встроенный DHCP-сервер (по умолчанию данный сервер не работает).
И все было хорошо, но до тех пор, пока не было решено поменять локальный адрес роутера. Как только значение изменилось, абоненты Wi-Fi потеряли возможность доступа даже к локалке, не говоря об Интернет. А ларчик открывался просто: перед тем, как менять значение присвоенного роутеру адреса, надо было правильно выставить диапазон адресов DHCP. Только и всего.
Трудности с подключением 4G
Сначала поговорим о том, что может встроенный в маршрутизатор Mikrotik порт USB, и чего он не может. Если нужен сетевой комбайн, способный с USB-накопителя раздавать торренты, то рассматриваемый бренд в этом случае надо исключить. Во всех остальных случаях, которые можно себе представить, порт USB будет полезен в максимально возможной мере.
На самом деле, труднее всего в интерфейсе Router OS получить работающее подключение 3G/4G.
Бытовой сетевой комбайн может быть совместим с тем или иным дополнительным оборудованием, или не совместим с ним. В первом случае параметры внешнего устройства, такого, как модем 3G/4G, будут зашиты во встроенную программу. А в профессиональном оборудовании (роутерах «Микротик») используется другой подход – параметры необходимо выставлять самому. И подобрать правильный вариант иногда оказывается не просто. Заметим, что для используемых сейчас модемов число параметров равно двум – это Data Channel и Info Channel. Жаль, что в описании производитель не всегда приводит эти значения.
Настраивая роутер, управляемый системой Router OS, необходимо четко представлять, чего нужно добиться на каждом конкретном шаге.
Последовательность шагов (настройка DHCP-сервера, включение модуля Wi-Fi и так далее) должна быть выписана на листик, и ни в коем случае нельзя нарушать ее. Также, необходимо понимать, что именно должно получиться в результате. Например, нет смысла включать сервис UDP-proxy, если уже работает IGMP-snooping. Если в оборудовании бытового класса предусмотрена некая защита от ошибок, то в роутерах Mikrotik ее нет. Здесь все сделано по принципу «а вдруг требовалось настроить именно так». Тут остается сказать только одно: выбор оставим за пользователем.
Mikrotik или keenetic что лучше
В поисках кнопки «Сделать хорошо». Zyxel в сети малого и среднего бизнеса
Роутеры Mikrotik шикарны с точки зрения сетевого инженера. Они позволяют строить невероятно сложные сетевые решения. И стоит оборудование смешные деньги.
Но для малого и среднего бизнеса, не связанного с индустрией IT, он крайне сложен в установке. Для правильной настройки RouterOS бизнесмен должен нанять подрядчика, который специализируется на этом оборудовании, либо обучить своего сисадмина. В первом случае дорого, втором — долго… и снова дорого.
Уязвимость в WinBox (CVE-2018-14847) показала, что мало кто способен корректно настроить RouterOS. А те, кто настроил — обновляют прошивки крайне редко. Несмотря на то, что последняя уязвимая версия 6.42 была выпущена 20 апреля 2018 года, моя статья на Хабр подняла шум во всём мире, мне по настоящее время продолжают писать люди, которые только что обнаружили, что их роутер взломан через эту уязвимость…
Соотношение «цена-возможности» Mikrotik не всегда играет в пользу потребителя. Моя задача: найти сетевое оборудование, которое после прохождения «мастера» обеспечивает максимальный функционал для маленького офиса до 50 человек. При этом один из главных критериев — безопасность. Ведь, например, логистическую компанию должна беспокоить скорость доставки посылки к заказчику, а не отваливающаяся сеть и «висящий» терминал.
На аутсорсинг ко мне попал разворачивающийся маленький офис, заказавший установку сети на базе комплекта оборудования Zyxel: шлюз ATP 200, две точки Wi-Fi и управляемый PoE свитч. Опыт оказался достаточно интересным, учитывая, что к Zyxel я всегда относился с пренебрежением.
Как мне известно, Keenetic появился как кастомная прошивка для роутеров Zyxel, которую компания взяла под свою опеку. В 2016 году keenetic отделился от Zyxel и стал выпускать своё оборудование самостоятельно.
То есть сейчас Keenetic не имеет никакого отношения к Zyxel.
Перед тем, как я получил Zyxel на руки, я поинтересовался мнением своих знакомых сетевиков, как они относятся к этому оборудованию:
Безопасность
Разумеется, я полез смотреть зарегистрированные CVE (Common Vulnerabilities and Exposures).
За 2018 год зарегистрировано CVE:
Даже малоизвестный Eltex из Новосибирска имеет 5 уязвимостей.
Zyxel 7 уязвимосетей.
У Zyxel меня позабавила уязвимость CVE-2018-9149 с максимальным рейтингом опасности:
Сразу вспоминаются кадры из любимых шпионских боевиков, где главный герой/злодей проникает на базу по верёвке и цепляется к некой коробочке проводком, чтобы остановить/запустить ядерные ракеты, нацеленные на… *додумайте сами*.
То есть, чтобы воспользоваться этой уязвимостью, необходимо атакующему подключиться к Wi-Fi точке физически, используя специальный кабель USB-to-UART!
Вопросов к надежности Zyxel по CVE у меня не осталось.
Распаковка
Коробочки пришли, а стены еще красят. Распаковываем дома.
Первое мое впечатление – это вес! ATP 200 весит 1.4 кг для своего маленького размера (272x36x187 мм). Точки доступа также заметно тяжелее Ubiquiti.
В коробках с точками не было блоков питания. Такое оборудование при адекватной установке запитывается по PoE. Управляемый свитч GS1200-5HP для этого и был приобретён.
Первое включение
Подключил ATP200 к ноуту кабелем через порт P4 (из lan) шлюза. В wan1 воткнул проводной интернет, в USB1 E3272 с прошивкой Hi-Link и в USB2 свой Андроидфон в режиме «USB модема». Загружался он около минуты. Далее по «Quick Start» я полез на 192.168.1.1. Вот тут меня ожидала первая неприятность. Вебморда у него работает по SSLv3, который на современных браузерах выключен. Включаем:
При первом входе он не дает перейти к следующему действию без смены пароля, в отличие от RouterOS. Далее стартует «мастер», в котором я указал, что хочу использоваться второй порт wan (p3). Дополнительных устройств «мастер» не увидел.
Сервисы оставил также по умолчанию.
Так как у меня есть беспроводные точки, то включаю контроллер WiFi сразу:
Еще один плюс в безопасности: крайне опасная функция по умолчанию выключена:
Повторно логинимся и тут же прилетает уведомление о новой прошивке.
Вот и всё! Ноутбук бороздит просторы мировой сети интернет! Правда, только через порт wan1.
Резервный канал
Лезем в конфиг с целью добавления USB модема и Андроидфона в группу портов WAN. В «Конфигурация → Интерфейсы» активным становится только Hi-link модем. Андроидфон так и остался не распознанным.
В свойствах соединения можно установить проверку канала по:
а также установить параметры лимитированного соединения, например, по объему трафика, если он у оператора ограничен.
Далее нам надо разрешить выпускать клиентов через этот модем. Я сделал его равнозначным каналу, который воткнул в wan1:
Жмём внизу «применить» и всё! Вся сеть будет ходить сразу по двум каналам.
Подключаем WiFi
Тут чуть-чуть сложнее.
Редактируем профиль безопасности.
Конфигурация → Объекты → Профили точек доступа → SSID → Список профилей безопасности. Выбираем профиль default и жмём «Редактировать»:
Указываем wpa2 и чуть ниже ключ от сети.
Сохраняем и переходим в соседнюю вкладку «Список SSID». Редактируем профиль «default», задав имя для своей точки.
Настройки для точек по «умолчанию» мы под себя отредактировали.
Теперь разрешаем автоматически регистрировать «пустые» точки.
Включаем точки в PoE свитч. Свитч включаем в lan порт (p4-p7). И… И всё. Точки автоматически обнаружены и на них загружен конфиг.
Выключаем автоматическое привязывание точек. Плюс в карму безопасности.
Жмём «применить» и радуемся новой сети.
Что дальше?
Углубляемся в безопасность. Да здравствует сеть, защищенная и снаружи, и изнутри! Непреложный закон хорошего офисного админа – из всех развлекушек оставить только пасьянс косынка в свободном доступе!
Мне сильно понравилась фишка «патруль приложений». Не надо заморачиваться написанием regex инструкций для фильтрации L7, как в Микротик. Оно уже есть. Надо только добавить в политику, и всё.
Блокировка мессенджеров, онлайн-игр или социальных сетей без пота, крови и слез молодых админов.
Дашборд такой, как любят большинство начальников: с картинками и графиками. Видно, куда чаще всего идут обращения, что и сколько заблокировано, и т.д.
У Zyxel есть система централизованного управления Nebula, которую поддерживают выданные мне Wi-Fi точки. С первого взгляда — это SDN, который активно внедряют в крупных датацентрах. Но это тема уже другой статьи
А дальше ноут на просторах глобальной сети уже нашел инструкцию в 800 с лишним страниц и примерно такого же объёма хэндбук.
Лицензии
Как ни грустно, но лицензия на обновляемые базы сигнатур не бесконечна, и после первой активации шлюза сигнатуры обновляются в течение года. Далее надо подписку продлевать.
Годовая подписка на Gold стоит 38 600 рублей, а на Silver — 29 000.
Тут вопрос выгоды в каждом конкретном случае. Например, с ATP200 держать слабого админа за 30к в месяц и покупать лицензию за 40к в год, либо пользоваться Mikrotik с доп. сервером (под Сурикату) и держать «бородатого» админа за 80к в месяц.
Заключение
Для меня плюсы железок Zyxel, которые мне попались:
- простота настройки;
- отсутствие «костылей» для типовых задач;
- функционал, необходимый для офиса в одной железке;
- простота настройки безопасности;
- требование установить ПАРОЛЬ.
Опять-таки базовый функционал разворачивается легко и за короткое время.
Разумеется, есть и свои недостатки. Нужно привыкать к логике настройки. ATP200 знает мало протоколов туннелирования, например, не подходит для проброса SSTP туннеля.
Любое оборудование надо подбирать под конкретные задачи.
Обучение работе на оборудовании Zyxel (ZCNA) стоит дешевле конкурентов — 15000 рублей! Официальный MTCNA — от 22000 рублей. Cisco, безусловно вне конкуренции – как по разнообразию курсов, так и по их стоимости, приближающейся к деталям самолета.
Ввиду того, что не все на Хабре могут комментировать, и я не нашёл действующего чата Zyxel в Telegram, то создал @zyxelru. Приглашаю обсудить кейсы, настройки и прочие хитрости применения оборудования Zyxel, а также идеи для новых статей на Хабр для серии «В поисках кнопки «Сделать хорошо»».
Записки странника-технаря
Недавно мой провайдер решил перейти на 5 ггц и увеличил скорость до 50 мбит. До этого WI-FI у меня раздавали 2 роутера — Acorp WR-G и Asus WL520GC (друг подарил). Раньше маршрутизация и фильтрация была настроена на радиомодеме, а при выдаче нового комплекта оборудования провайдер сделал козью морду и не выдал мне пароль для настройки. Пришлось в спешном порядке приспосабливать для этих целей древний ASUS. Вначале вроде всё шло неплохо, но очень вскоре я обнаружил, что едва ли он мог прожевать NAT — скорость в лучшем случае составляла 45 мбит, чаще же были провалы до 15. Потом появились странные глюки и подвисания. Было принято решение — взять 2 роутера, так как одним покрыть дом сигналом не удавалось. Также хотелось взять роутеры на вырос — с USB портами, мощным железом и гигабитными портами.
Проблемы выбора — свои 2 роутера я покупал в далёком 2008 году — это был Acorp WR-G и D-Link DIR-615 rev.B2. D-Link до сих пор стоит и работает у родителей, несмотря на некоторую нестабильность работы с VPN, которая вылечилась перепрошивкой, роутер меня более чем устраивал — торренты и другой трафик гонял под соточку без напрягов, сигнал был довольно мощный и покрывал всю квартиру. Аналогами такого устройства я видел в NETGEAR в частности модель WNR612 и WNR2200. Последняя не уступала моему D-Link-у. Оба этих роутера без проблем работают у 2 друзей в аналогичных условиях — VPN|L2TP и NAT. Но хотелось чего-то большего, брать D-Link 655 я не стал — уж больной древняя модель, хотя мнение у меня о ней такое же хорошее, как и о своём 615, но в ней уже были и гигабитные порты и USB.
Глядя на современный рынок роутеров и одновременно упавший рубль, мне стало немного грустно. Старые бюджетки, устаревшие интернет-центры, причём выбор на мой взгляд скудный. Во многих магазинах выбор в лучшем случае и 2-3 фирм. Как я понял — нынешний рынок представлен всевозможными моделями Asus, Zyxel и TP-Link. Netgear и D-Link стало поменьше и выбор скудный. КрЫзЫс, однако! Я люблю пробовать новое — потому, решил, что не буду брать роутеры тех фирм, что у меня были и тех, которые я плотно изучал у друзей. TP-Link мне не понравился и я решил взять Zyxel, повыбирав, я остановился на линейке GIGA, 3 модель мне была избыточна своим 5 ггц и мне не понравилось, что антенны несъёмные. По объёму флешки и памяти 2 и 3 одинаковые, а мощность процессора для меня не была уж столь значимой — я не планировал использовать роутер, как торренто-качалку или DLNA-сервер. А вот 2 роутер я выбрал почти спонтанно, мой провайдер решил строить свою сеть на Mikrotik-ах, уйдя от Ubiquilti. Ну, а так как я был наслышан о Mikrotik на форумах, то подумал, ну, а почему бы и нет? Вначале я хотел взять hAP Lite, но уж слишком бюджетно выглядела моделька — 100 мбитные порты, 32 мб ОЗУ и не было USB порта. Выбор пал на RB951G-2HnD — дорого, но зато всё устраивало. Решено-куплено.
2 роутера именитых и уважаемых фирм, что они могут нам предложить? Поехали!
Zyxel Keenetic Giga II — чёрный, корпус, съёмные антенны 5 дб, цп с частотой 700 мгц, озу 256 мб, флешка 16 мб, БП 12 в 1.5 А, инструкция на русском, модная коробка и патчкорд в комплекте. Смотрится строго, классический дизайн, индикация не слишком яркая. Интерфейс WEB на русском и английском. Перевод адекватный. Несколько замудрили с меню настройкой ISP. Управлять роутером можно также через TELNET. Тут у меня честно говоря ступор — на дворе 2016 год, пусть модель и 2013, но почему TELNET? Незащищенный протокол, в отличии от того SSH, не поддерживает аутентификацию по ключам. Также не понравилось, ужасно убогие настройки WI-FI — нельзя выставить преамбулы, жёстко закрепить 20/40 мгц, выставить фиксированные значения скорости, даже выбор режимов и то был невменяемым — B|BG|BGN. В старом добром D-Link я мог настроить всё и выставить жёстко, что спасало в условиях замусоренного эфира квартиры. Планшет при подключении к Zyxel всё время норовит свалиться в G режим. Ну и автовыбор 20/40 мгц априоре валится в 20. Хотя тот же D-Link прекрасно себя ощущает. Эти косяки можно исправить в консольном режиме, но тут у меня возникает вопрос — Zyxel по уровню настраиваемости через WEB уступает бюджетному D-Link-у? Получается, что так. отдельно речь о портах в Zyxel их 5 штук и все гигабитные. Подписаны — домашняя сеть 4 шт. и интернет 1 шт. Фишка в том, что роутер может менять назначение портов и комбинировать и как угодно, а это значит, что можно подключить 2 провайдера (2 WAN порта) и резервировать каналы, Wi-FI сеть можно вынести в отдельный сегмент. Также я проверил, как работает расшаривание файлов на жёстком диске через SMB и FTP- всё работает. Удобно, что безопасное извлечение можно сделать не только через WEB, а просто нажав кнопку на корпусе. Кнопок 2 — значение можно менять. О мощности и скорости WI-FI планшет в условиях города показал, приём/передачу порядка 41-43 мб при 20 мгц ширине канала. Уровень покрытия чуть лучше, чем у старого D-Link DIR-615. В частном доме покрыл всю площадь, кроме одной комнаты сигнал не падает ниже -70 дбм. Скорость отдачи планшета возросла до 51 мбит, при скорости соединения 72 мбита, считаю хорошим результатом. Через 1 бетонное перекрытие приём/передача 38-41 мбит. Фото роутера (с Яндекс-Маркет):
Почему я отказался от Mikrotik — 5 причин, которые могут коснуться каждого
Роутеры Mikrotik покупают когда вам нужно добиться от сетевой инфраструктуры чего-то большего, например — настроить два десятка правил Firewall, включить DPI, разделить несколько интернет-провайдеров между клиентами, ну и в том же роде. Я использовал модель Mirkotik RB2011UIAS-2HND-IN больше 4 лет, и в один момент он меня так достал, что я спрятал его, как говорится, «с глаз долой — из сердца вон!».
В этой статье я приведу вам 5 пунктов, с которыми я лично столкнулся, и о которых вам следует знать перед покупкой Mikrotik.
1. Обновления RouterOS могут быть несовместимы между собой
Первое, с чем я столкнулся — это с невозможностью обновления RouterOS с версии 6.34.6 на версию 6.42. Проблема проявлялась в том, что после апдейта не работал NAT, ни в каком виде, ни при каких условиях. Пляски с бубном, апдейты и откаты привели к тому, что роутер пришлось полностью сбросить к заводским настройкам и накатить версию 6.42 с нуля, тогда NAT заработал. А что делать с 40+ правилами фильтрации, которые так и остались в прошлом? Восстановить конфигурацию из бэкапа без отката прошивки невозможно, поэтому приходилось вспоминать, где что прописано и заносить в конфигурацию вручную.
Для модели SmB-класса я считаю такие выходки недопустимыми.
2. Нестабильность встроенного коммутатора
Я решил обновить RouterOS не потому, что боялся хакеров, взломавших Mirkotik-и по всему миру, а потому что периодически скорость копирования с NAS-а падала с 1 Гбит/c до 200 Мбит/с. Попытка увеличить размер Jumbo Frame приводила к зависанию коммутатора с перезагрузкой устройства. К слову, на версии 6.42 зависания исчезли, но провалы скорости остались, даже несмотря на то, что там прикрутили полностью аппаратную коммутацию.
3. Неполная совместимость со стандартом 1GBase-T
Мы привыкли к тому, что если два сетевых устройства поддерживают 1-гигабитное сетевое подключение, то они будут работать на скорости 1 Gbps, но роутер Mikrotik сломал эту парадигму. Как-то осенним вечером мне пришлось подключить в RB2011UIAS компьютер с 10-гигабитной сетевой картой Intel X540-T2 — и роутер её не увидел, как будто сетевой кабель болтался в воздухе. Меня эта ситуация заинтересовала, и я подключил другой 10-гигабитный компьютер с сетевой картой Intel X557-T2 — ситуация повторилась.
Движимый идеей докопаться до истины, я подключил третью 10-гигабитную сетевую карту Intel X550-T2 — она заработала, как и полагается. Тогда я подключил 4-ю 10-гигабитную сетевую карту Aquantia AQC107 (читайте сравнение AQC107 против Intel X550-T2) — и она заработала на скорости 100 Мбит/с.
Все четыре 10-гигабитных сетевых карты поддерживают скорость 1 Гбит/с, но заработала из них только одна. Продолжая эксперименты, я подключил эти сетевые карты к следующим коммутаторам и роутерам:
- NetGear GS-105
Во всех случаях, даже когда коммутаторы подключались к Mikrotik-у, все 10-гигабитные сетевые карты работали со скоростью 1 Гбит/с. Тут без лишних движений стало ясно, что проблема — в Mikrotik-е.
Так сложилось, что мне очень нужно подключить 2-портовую сетевую карту X557-T2 одним портом к Mikrotik-у, а вторым — к хосту, а ставить перед Mikrotik-ом сторонний коммутатор очень нехотелось, и я обратился в техподдержку. Вообще, если у тебя не работают 4 устройства от разных компаний на стандарте 1GBase-T — это проблема уровня «свистать всех наверх», и я рассчитывал на быстрый багфикс. Ага, разбежался.
4. Никакущая техподдержка
Я максимально подробно описал ситуацию и создал обращение в техподдержку Mikrotik-а (номер обращения 2018112022003151). На сайте нам обещают ответ в течение 3 дней, но никто не ответил ни через 4, ни через 5. Я начал напоминаться, и где-то через недельку, меня попросили выслать логи и техрепорт (support.rif) с роутера.
Собрав все данные, я выслал их и… часы ожидания складывались в дни, дни в недели, а недели в месяцы. В общем, ответа нет и по сей день.
5. Тормозной DNS-кэш
Пока я разбирался с перетыканием сетевых портов, сбросом и восстановлением Mikrotik-а, ответственным за интернет я назначил Keenetic Giga, и первое, на что я обратил внимание — это на скорость работы с DNS-запросами. Keenetic открывал сайты быстрее, чем Mikrotik, и складывалось ощущение, что у «бизнес-модели» тормозит именно DNS-кэш. Конечно, Keenetic новее и мощнее, но чтобы подтвердить опасения, я подключил древний NetGear WNDR4000 — та же история: я уже забыл, что сайты могут открываться так быстро, я вообще не знал, что DNS умеет тормозить. Я вернул Mikrotik и перепроверил свои ощущения: на нём интернет-серфинг работал медленнее, чем на стареньком Netgear-е и новеньком Keenetic-е.
Что дальше?
Я читал много отзывов по форумам, где обычные люди покупали Mikrotik-и по рекомендациям специалистов, отчаивались настроить их и сдавали обратно. Мой Mikrotik худо-бедно проработал более 4 лет, и закончил свой путь на минорной ноте. Честно сказать, я не ожидал ни таких диких глюков, ни такой реакции техподдержки.
Сегодняшний мир — это прежде всего софт, бесплатный софт, развивающийся независимо от железа. В качестве замены Mikrotik-ам я выбрал PFsense.