Comments 70
А WireGuard да, думаю, еще придется подождать.
Что все так носятся с этим WireGuard
А на мобильных устройствах и в Windows IPsec явно будет производительней и менее требовательней к ресурсам и батарее, т.к. реализован в ядре, а не использует TUN/TAP.
Wireguard — удобная замена GRE или IPIP со встроенным шифрованием, для связи между серверами, например, но на-фи-га он нужен на телефонах и десктопах — в упор не понимаю.
> /system routerboard print
routerboard: yes
board-name: hAP ac
model: RouterBOARD 962UiGS-5HacT2HnT
serial-number: 673705F37570
firmware-type: qca9550L
factory-firmware: 3.30
current-firmware: 6.42.6
upgrade-firmware: 6.42.6
Неа, на hap ac нет.
На AC Lite что-то обновлялось, но к нему идти далековато сейчас.
Вы не там смотрите, там где вы смотрите будет обновление firmware после установки пакетов, проверить обновление можно так
/system package update check-for-updates
Далее после перезагрузки нужно выполнить обновлений аппаратной прошивки:
/system routerboard upgrade
Кстати, можешь объяснить, что внутри прошивки? Просто в моем понимании прошивка это что-то очень редко изменяющееся. А версии ОС обновляются часто пакетами. А тут каждый раз в двух местах обновлять.
Packages — пакеты(грубо говоря приложения), которые (не критические) можно удалить/отключить или добавить функционал через Extra packages (скачиваются на сайте mikrotik.com)
Routerboard — содержит ядро и bootloader, так же некоторые новые фишки Packages включаются только после обновления routerboard.
Можно включить автоапгрейд выполнив команду
/system routerboard settings auto-upgrade=yes
далее после после установки Packages выполнить дополнительно перезагрузку.
далее после после установки Packages выполнить дополнительно перезагрузку.
Вас слово дополнительно не смущает?
Я все написал по-русски, установка Packages подразумевает перезагрузку, и слово дополнительно указывает что нужна еще одна перезагрузка итого 2 перезагрузки
/system script
add name=update-routerboot policy=reboot,read source=":log info \"Checking firmware...\";\r\
\n/system routerboard\r\
\n:if ([get current-firmware] != [get upgrade-firmware]) do={\r\
\n :log info \"Updating firmware\";\r\
\n upgrade;\r\
\n # Automatic restart\r\
\n :delay 2s\r\
\n /system reboot\r\
\n } else={\r\
\n :log info \"No update.\"\r\
\n }"
/system scheduler
add name=one_day_check on-event="/system script run update-routerboot" interval=1d policy=reboot,read start-time=01:00:00
add name=startup_check on-event="/system script run update-routerboot" policy=reboot,read start-time=startup
DoT тоже будет
Я понимаю, что годы для MikroTik — не срок, но всё же:
https://forum.mikrotik.com/viewtopic.php?p=791461#p791461
Разве было официальное заявление о том, что DoT будет? ;)
А цитированию ответа техподдержки нет смысла не доверять: опровергли бы, если бы надо было.
Дождались получается :)
Я любил микротик, но сбежал. Хотя бы потому в keenetik сто лет как можно было сказать opkg install sockd и получить сокс сервер…
И openvpn там стопицот лет полноценный
И sane, и cups (домашние мфу hp спокойно шарятся по сети)
И openconnect для cisco vpn
И это железки домашнего класса… В общем как я понимаю, разработчиков routeros реально просто мало, а взять сторонний пакет невозможно из-за проприетарщины, хотя железо действительно прекрасное за эти деньги.
А с точки зрения инструмента… Где резервный блок питания, скажем? Понимаете? Очень странная ниша у него, хотя повторю: он мне нравится в целом, а вот с применением есть проблемы.
Ну либо брать модели дороже, в которых второй БП есть по умолчанию.
Да, я понимаю, что это вечные костыли с Микротиком (чего стоит обход отсутствия поддержки RFC3021), но зато это работает и работает стабильно.
iirc, на вход он поддерживает и 802.3af и 802.3at, а на выход — ну что есть, для создания цепочки таких же вполне хватит, а вообще это задача RB750UP (aka PowerBox) или взрослых PoE-свичей.
на вход он поддерживает и 802.3af и 802.3at
Увы но оказалось что нет. Удивлению моему не было предела.
Так сильно не поверил что полез удостовериться.
mikrotik.com/product/RB952Ui-5ac2nD
PoE in Passive PoE
А вы говорили про hAP ac, на котором лично проверял работоспособность обоих стандартов.
mikrotik.com/product/RB962UiGS-5HacT2HnT
PoE in Passive PoE
Эйсы все вроде с пэссив.
Не покажете спеку от вашего?
Вопрос в практике — он спокойно питался от Juniper EX4200-24T (802.3af aka PoE), так и от Juniper EX4200-48P (802.3at aka PoE+), посему и считаю аргументы в сторону PoE на данной модели необоснованные.
P.S. Речь именно про практическое использование hAP AC, тот же RB951 с указанными свичами не совместим, если не заморачиваться с хитрой схемой обжимки, и работает только через инжектор.
На мой взгляд отсутствие POE совсем не конец света, но наличие оного без 802.3af это за гранью разумного. И допустимо только безродному ноунэм который просто если запустился то уже хорошо.
То что фактическое состояние противоречит спекам просто дополнительно подчеркивает творящийся бардак. Как предлагается выбирать оборудование? Купить и пробовать?
ЗЫ Хитрая схема это городить обманку с резистором и конденсатором?
По поводу схемы — имеено — но я тут надеюсь на благоразумность, ибо всегда можно сжечь железку и надо это понимать, потому если нет уверенности в своих силах и знаниях, то лучше и не начинать, а уж тем более не злиться на меня, который подсказал эту идею (это не в ваш адрес, а всем кто прочитает мои комменты).
Во время экспериментов с PoE удалось даже вогнать hAP ac в состояниие кирпича, когда собрал следующую схему:
J-EX4200-48P -> MT-hAP ac (1) -> MT-hAP ac (2) -> SPA504G
Все устройства (кроме Juniper) питались по только PoE, цепочкой, даже все завелось, однако когда начал пробовать совершать звонки на этот телефон — сеть упала, и hAP AC (1) ушел в себя :)
Воскресить его получилось с помощью netinstall и радует, что не сгорел, тут конечно мой косяк, что перегрузил, но это были эксперименты, как раз чтобы понимать чего ожидать от девайса.
Или наоборот, на работе используете soho mikrotik?
Работает вполне бодро, индикация есть.
В плане того, что можно подключить железку консольником к микротику и не надо находиться рядом с ними, можно подключиться к микротику по wifi и настраивать.
P.S. На моделях микрота с встроенным консольным портом (RS232/8P8C) можно вообще исключить usb2com и включать консольынй кабель напрямую.
P.P.S. И да, он не заменит полноценный консольный терминальник (хотя можно использовать USB-хаб и пробрасывать внешние порты на консольные сессии), это исключительно в рамках дискуса для чего он используется.
На rb951? Могу, но не буду. Возьму более подходящее железо, о том и речь.
Смотря что. WiFi получить — раздать — можно. 5-10 МГц ширина канала нет, но вы точно этого хотите? Я давно живу в цифрах 40-80… 4 сети на 4 интерфейсах тоже несложно. Да и cli у него мощный стал. Заметьте, я ещё не вышел за пределы возможностей из коробки и не подошёл к пакетному менеджеру. Acl тоже есть, остальное не читал, но подозреваю что чего-то конкретного не смогу. Зато dns over tls завезли одновременно с dns over https, и тоже в варианте "из коробки". Вы извините, но создаётся впечатление, что к микротику вы слишком привыкли, и вам трудно оценить остальной мир вокруг.
OSPF, SNMP (и сотни других) есть в виде доп. пакета — ставьте и настраивайте.
Вам проще развернуть опенврт в вирт. среде и посмотреть самому.
[admin@MikroTik] > ip socks access set
Change properties of one or several items.
<numbers> -- List of item numbers
action -- Rule action
comment -- Short description of the item
disabled -- Defines whether item is ignored or used
dst-address -- Server's IP address
dst-port -- Destination port
src-address -- Client's IP address
src-port -- Source port
Или же на уровне обычного фаервола.
>нет поддержки протоколов 10летней давности
>>March 1996
© tools.ietf.org/html/rfc1928
во-вторых, есть довольно таки много других полезных функций, которыми просто надо уметь пользоваться :)
ну и в-третьих, оспаривать сказанное в рамках ремарки «IMHO» — моветон, как мне кажется :)
Заметьте: оба модуля — из коробки. Без opkg. Если вы понимаете, о чем я :)
Спасибо за статью и комменты!
что железка за 50$ столько всего умеет, будоражит воображение
Уточню, что порог вхождения дешевле и колеблется в районе ~20$.
Опять про «MikroTik» или долгожданный SOCKS5