Mikrotik vs Старый ПК, проблема выбора в малом предприятии

В малых предприятиях остро стоит вопрос экономии при закупке оборудования, зачастую этот вопрос решается отказом от закупки, если можно заставить работать имеющиеся. В этой статье я хочу поделится своим опытом в этом вопросе и осветить основные причины, почему многие делают именно так.

История и причины

Начнем с истории, для чего вернемся на 7-10 лет назад. В те времена выбор был не богат:

• Домашние роутеры от уважаемых сейчас китайских производителей до 2500 р., функционал достаточный для микрокомпании на 5 человек в одной комнате. Программная составляющая подобных роутеров крайне скупая, хотя железо бывало и довольно резвым.
• Роутеры для малых предприятий от именитых производителей, цена уже от 8000р., но вот функционал не намного богаче. Где-то поддержка dual-wan, где-то даже IPSec.
• Старый ПК под спец. Linux или с самостоятельно настроенным дистрибутивом общего назначения (встречались и апологеты Windows, но это не мой выбор). Тут уже возможностей много, а железо, хоть и старое, для нужд шлюза было очень даже годным. А кроме шлюза он может быт и АТС, и почтовым сервером, а до кучи еще и файлопомойкой!

В большинстве случаев (и я сам придерживался такой политики из-за отсутствия достойной альтернативы по деньгам) выбор падает на ПК. За такой выбор и низка цена (условно бесплатно, за старичком уже никто работать не хочет, а выкидывать: амфибиотропная асфиксия (Жаба душит)), и безграничные возможности по работе с напильником.

Последствия выбора

В случае домашних роутеров, проблема одна: он почти ничего умного не может, ни QoS (а VoIP то уже тогда начинал шагать по стране), ни туннели с приличным шифрованием (PPtP по сути не защищен никак), ни Dual-WAN failover. Тут уже, даже если сильно извращаться с альтернативными прошивками, но начинаешь смотреть в сторону Linux, особенно, когда за 8000 р. счастья большого тоже нет, и вот он, выбор многих.

Старый ПК с Linux: мощь CPU (а он значительно мощнее того, что в домашних роутерах (да и в начальном уровне не домашних тоже)), много дискового пространства, можно замутить proxy и учет трафика и много всего, и ОЗУ вдоволь.

Но проблемы приходят с другого фронта: старое железо склонно глючить, а самописные скрипты для Dual-WAN & Failover зачастую очень хрупкие (написать устойчивый скрипт — не простая задача). Доп. сервисы тоже не добавляют стабильности.

И проблем особых конечно нет, пока компания все еще маленькая, и филиалов тоже мало, и нет большой зависимости сервисов одного филиала от сервисов в другом, особенно, если интернет не является важной частью бизнеса (ага, сейчас да и без интернета). Но чем дальше, тем ситуация становится хуже. Неожиданные отвалы связи из-за железа или софта (к примеру, у LXC есть нехорошая бага, после того как через интерфейс контейнера пробежит большой объем трафика, интерфейс впадает в deadlock, что выражается в частичной доступности контейнера, а при попытке перезапуска к deadlock lo интерфейса хоста контейнеризации, а затем необходимости полного перезапуска машины). И тут уже привет от недовольного начальства, сотрудников и клиентов: письма не ходят, АТС молчит, файлы недоступны, а админ грустит.

Наши дни, что можно сделать?

Маршрутизаторы Mikrotik и RoS привлекли меня первоначально своей ценой: за 3500 р. легко приобрести маршрутизатор, в котором будет:

• Пакетный фильтр как и во взрослом Linux (ну почти, кой чего нет, а кое-что есть и своё: глобальная очередь, к примеру)
• Хорошее железо, и оно действительно хорошее, не быстрее чем у старичка ПК, но зато вполне стабильное
• Туннели разных видов, жаль немного, что OpenVPN старый, но и без него все хорошо получается
• Отличная штука: winbox. Благодаря ему я стал понимать пакетный фильтр в Linux на порядок лучше. Хорошая визуализация настроек очень полезная вещь. Да и вообще визуализация ряда моментов (отслеживание соединений в реальном времени, к примеру) очень сильно помогают
• Хороший CLI, в отличии от многих других (Zyxel и D-Link мне сильно не нравятся), я в нем освоился очень быстро
• Контроллер WiFi сети (CAPsMAN): конечно, до уровня Cisco еще далеко, но уже умеет многое, даже сеть получается с весьма гладкими швами
• По сравнению с ПК, выход на рабочий режим за 8-12 сек, в то же время ПК может еще только BIOS прогрузить. Это важно для ситуаций, если от интернета и доступа к другим филиалам зависит бизнес, тут каждая секунда запуска разрывает телефон звонками: ну когда-же! У нас тут клиент! Нам работать надо!
• Без особых затруднений строится Multi-WAN с балансировкой и Failover
• Очень хорошее WiFi железо. Разворачивал WiFi на выставке (для павильона компании с применением RB951U2nd), в итоге, при 600 WiFi клиентов в округе (к нашей точке подключено было около 20 сотрудников и 15-20 гостей) и 40 чужих точек в округе, удавалось прокачать около 2 Мбит/сек. Я считаю, что это хороший результат для точки, не предназначенной для таких условий, да при такой зашумлености эфира
• Оперативно работающая тех. поддержка, несколько багов они исправили после моих обращений.
• MetaROUTER (не на всех моделях работает): если что, можно запустить несколько виртуальных роутеров или OpenWRT.
• Довольно продвинутый скриптинг
• Большинство питается от источников питания с вольтажом от 7В до 30В и поддерживает Static POE с таким-же разбросом вольтажа. Это очень помогает, когда надо поменять БП, подходит почти любой :)

К недостаткам можно отнести:

• Отсутствие DNS proxy
• Встроенный RADIUS сервер не умеет авторизовывать WiFi
• IPv6 есть, но его поддержка довольно скупа, что пока еще не очень критично
• IPSec, который не работает в ряде специфических случаев (вот один из таких: Mikrotik L2TP/IPSec за NAT: ipsec,error failed to pre-process ph2 packet)
• CAPsMAN не умеет работать в качестве промежуточного контроллера, что не позволяет управлять всем WiFi компании по всем филиалам. Если связь с контролером пропадает, то WiFi отключается :(
• Возможно еще что-то, но это я пока наверно не использую

Эпилог

Конечно, это сильно не техничеcкая статья, а больше сборник моих впечатлений от RoS и RouterBoard. В свою компанию я купил уже много роутеров Mikrotik, и пока мне не пришлось сожалеть об этом. Уход от старых ПК устранил львиную долю проблем с сетью.
Если вы все еще используете старые ПК в качестве шлюзов, задумайтесь, возможно, стоит вынести роль шлюза на отдельное, предназначенное для этого решение. К вашему выбору и 5-ти портовые вариации, и 24-х портовые (с аппаратным VLAN) и много других, включая модели с аппаратным ускорением шифрования. Отдельного внимания, для небольшого офиса, заслуживает MIKROTIK CRS125-24G-1S-2HND-IN, тут вам и 24 порта и WiFi на боту, CPU способный прокачать до 50 Мбит/с с QoS как в этой статье: Mikrotik: Балансировка в КПСС и соблюдение скоростного режима или до 20 Мбит/с через VPN с шифрованием (к сожалению, нет аппаратного ускорения шифрования).