How to become an author
Search
Write a publication
Pull to refresh

Comments 70

Осталось дождаться openvpn по udp, ну и wireguard до кучи и счастье станет полным.
Total votes 3: ↑3 and ↓0+3
UDP в OVPN был обещан в ROS 7, а ее мы уже дождались :) Так что еще немного.
А WireGuard да, думаю, еще придется подождать.
This comment wasn’t rated yet0

Что все так носятся с этим WireGuard

Total votes 3: ↑1 and ↓2-1
Ну я бы лично хотел использовать Mullvad VPN, а с текущей прошивкой это невозможно, потому приходится использовать ProtonVPN с IKEv2.
Total votes 1: ↑1 and ↓0+1
Тоже не понимаю. Это просто туннель. Современный, быстрый, шифрованный, но просто туннель, без автонастройки, без передачи параметров, подходящий только для серверного использования. Казалось бы, IPsec существует не первый десяток лет, безопасный, скоростной, по функциям опережает WireGuard без вопросов, но нет, будем адаптировать неподходящий инструмент под неподходящие нужды.

А на мобильных устройствах и в Windows IPsec явно будет производительней и менее требовательней к ресурсам и батарее, т.к. реализован в ядре, а не использует TUN/TAP.

Wireguard — удобная замена GRE или IPIP со встроенным шифрованием, для связи между серверами, например, но на-фи-га он нужен на телефонах и десктопах — в упор не понимаю.
Total votes 4: ↑4 and ↓0+4
Поправьте, если не прав, но WireGuard хорош для мобильных устройств как раз тем, что не требует постоянного соединения с сервером и клиент может менять IP без «разрыва» подключения.
This comment wasn’t rated yet0
Ну вот DoH же появился :) DoT тоже будет, в любом случае микротик радует своими сюрпризами (как, например, VXLAN, хоть и бета пока).
This comment wasn’t rated yet0
А где он появился-то? v6.42.6 и новее не предлагают (hap ac).
This comment wasn’t rated yet0
В той же 6.47 (beta), о которой идет речь в этой статье :) в самом начале скрин из changelog, где это сказано.
Total votes 2: ↑2 and ↓0+2
> /system routerboard print
routerboard: yes
board-name: hAP ac
model: RouterBOARD 962UiGS-5HacT2HnT
serial-number: 673705F37570
firmware-type: qca9550L
factory-firmware: 3.30
current-firmware: 6.42.6
upgrade-firmware: 6.42.6

Неа, на hap ac нет.
На AC Lite что-то обновлялось, но к нему идти далековато сейчас.
This comment wasn’t rated yet0

Вы не там смотрите, там где вы смотрите будет обновление firmware после установки пакетов, проверить обновление можно так
/system package update check-for-updates
Далее после перезагрузки нужно выполнить обновлений аппаратной прошивки:
/system routerboard upgrade

This comment wasn’t rated yet0

Кстати, можешь объяснить, что внутри прошивки? Просто в моем понимании прошивка это что-то очень редко изменяющееся. А версии ОС обновляются часто пакетами. А тут каждый раз в двух местах обновлять.

Total votes 1: ↑1 and ↓0+1

Packages — пакеты(грубо говоря приложения), которые (не критические) можно удалить/отключить или добавить функционал через Extra packages (скачиваются на сайте mikrotik.com)
Routerboard — содержит ядро и bootloader, так же некоторые новые фишки Packages включаются только после обновления routerboard.
Можно включить автоапгрейд выполнив команду
/system routerboard settings auto-upgrade=yes  
далее после после установки Packages выполнить дополнительно перезагрузку.

Total votes 2: ↑1 and ↓10
UFO just landed and posted this here
далее после после установки Packages выполнить дополнительно перезагрузку.

Вас слово дополнительно не смущает?
Я все написал по-русски, установка Packages подразумевает перезагрузку, и слово дополнительно указывает что нужна еще одна перезагрузка итого 2 перезагрузки
Скрипт для авто-проверки и перезагрузки mikrotik 
/system script
add name=update-routerboot policy=reboot,read source=":log info \"Checking firmware...\";\r\
    \n/system routerboard\r\
    \n:if ([get current-firmware] != [get upgrade-firmware]) do={\r\
    \n     :log info \"Updating firmware\";\r\
    \n     upgrade;\r\
    \n     #  Automatic restart\r\
    \n     :delay 2s\r\
    \n     /system reboot\r\
    \n     } else={\r\
    \n     :log info \"No update.\"\r\
    \n     }"
/system scheduler
add name=one_day_check on-event="/system script run update-routerboot" interval=1d policy=reboot,read start-time=01:00:00
add name=startup_check on-event="/system script run update-routerboot" policy=reboot,read start-time=startup


Total votes 1: ↑1 and ↓0+1
печально, но все же есть доля надежды (это аккаунты форумчан а не официальное заявление микротика))
This comment wasn’t rated yet0

Разве было официальное заявление о том, что DoT будет? ;)
А цитированию ответа техподдержки нет смысла не доверять: опровергли бы, если бы надо было.

This comment wasn’t rated yet0
Ой, вы знаете, спорить с фанатом микротиков бесполезно))))
Мы вечно во что-то верим)

А если убрать утопичный настрой, то да, спасибо за инфо, видимо не судьба.
This comment wasn’t rated yet0

Дождались получается :)

This comment wasn’t rated yet0

Я любил микротик, но сбежал. Хотя бы потому в keenetik сто лет как можно было сказать opkg install sockd и получить сокс сервер…
И openvpn там стопицот лет полноценный
И sane, и cups (домашние мфу hp спокойно шарятся по сети)
И openconnect для cisco vpn
И это железки домашнего класса… В общем как я понимаю, разработчиков routeros реально просто мало, а взять сторонний пакет невозможно из-за проприетарщины, хотя железо действительно прекрасное за эти деньги.

Total votes 5: ↑3 and ↓2+1
Ну вы сейчас с точки зрения SOHO девайса рассуждаете, тут у всех есть свои плюсы и минусы, кмк, полемику начинать не будем :) я же к микротикам отношусь скорее как к инструменту, с помощью которого можно решить ту или иную задачу.
This comment wasn’t rated yet0

А с точки зрения инструмента… Где резервный блок питания, скажем? Понимаете? Очень странная ниша у него, хотя повторю: он мне нравится в целом, а вот с применением есть проблемы.

Total votes 1: ↑0 and ↓1-1
На дешевых моделях резервного внешнего БП нет, факт, однако есть давно проверенный лайфхак, если его запитать одновременно через блок питания и PoE «рогатку» инжектор, то получится полноценное резервирование N+1.

Ну либо брать модели дороже, в которых второй БП есть по умолчанию.

Да, я понимаю, что это вечные костыли с Микротиком (чего стоит обход отсутствия поддержки RFC3021), но зато это работает и работает стабильно.
Total votes 3: ↑3 and ↓0+3
Но важно при этом питать устройство разными наряжениями, иначе резервирования может не получиться.
This comment wasn’t rated yet0
На hap ac меня несказанно удивило отсутствие нормального POE. Это просто за гранью разумного на мой взгляд.
This comment wasn’t rated yet0
Извините, а что значит «нормальный POE»?
iirc, на вход он поддерживает и 802.3af и 802.3at, а на выход — ну что есть, для создания цепочки таких же вполне хватит, а вообще это задача RB750UP (aka PowerBox) или взрослых PoE-свичей.
This comment wasn’t rated yet0
на вход он поддерживает и 802.3af и 802.3at

Увы но оказалось что нет. Удивлению моему не было предела.
Так сильно не поверил что полез удостовериться.
mikrotik.com/product/RB952Ui-5ac2nD
PoE in Passive PoE
This comment wasn’t rated yet0
Но это hAP ac lite…
А вы говорили про hAP ac, на котором лично проверял работоспособность обоих стандартов.
This comment wasn’t rated yet0
Спека не отличается от той что на сайте :)
Вопрос в практике — он спокойно питался от Juniper EX4200-24T (802.3af aka PoE), так и от Juniper EX4200-48P (802.3at aka PoE+), посему и считаю аргументы в сторону PoE на данной модели необоснованные.

P.S. Речь именно про практическое использование hAP AC, тот же RB951 с указанными свичами не совместим, если не заморачиваться с хитрой схемой обжимки, и работает только через инжектор.
This comment wasn’t rated yet0
У меня hAP ac lite TC. От 802.3af практически не завелся. Я удивился, заглянул в спеку, заглянул в соседнюю, сделал вывод про все семейство hAP ac.
На мой взгляд отсутствие POE совсем не конец света, но наличие оного без 802.3af это за гранью разумного. И допустимо только безродному ноунэм который просто если запустился то уже хорошо.
То что фактическое состояние противоречит спекам просто дополнительно подчеркивает творящийся бардак. Как предлагается выбирать оборудование? Купить и пробовать?

ЗЫ Хитрая схема это городить обманку с резистором и конденсатором?
This comment wasn’t rated yet0
Наоборот следует читать внимательно спеку и не надеяться на то, что не заявлено производителем. В моем случае (hAP ac) просто повезло что MikroTik оказался на такое способен, хотя согласно спеке не должен был :)

По поводу схемы — имеено — но я тут надеюсь на благоразумность, ибо всегда можно сжечь железку и надо это понимать, потому если нет уверенности в своих силах и знаниях, то лучше и не начинать, а уж тем более не злиться на меня, который подсказал эту идею (это не в ваш адрес, а всем кто прочитает мои комменты).

Во время экспериментов с PoE удалось даже вогнать hAP ac в состояниие кирпича, когда собрал следующую схему:
J-EX4200-48P -> MT-hAP ac (1) -> MT-hAP ac (2) -> SPA504G

Все устройства (кроме Juniper) питались по только PoE, цепочкой, даже все завелось, однако когда начал пробовать совершать звонки на этот телефон — сеть упала, и hAP AC (1) ушел в себя :)
Воскресить его получилось с помощью netinstall и радует, что не сгорел, тут конечно мой косяк, что перегрузил, но это были эксперименты, как раз чтобы понимать чего ожидать от девайса.
This comment wasn’t rated yet0
Вопрос немного не в тему. У вас домашний Juniper J-EX4200-48P?
Или наоборот, на работе используете soho mikrotik?
This comment wasn’t rated yet0
На работе использую) Но не в качестве SoHo-девайса (ибо нет потребности в оном), а скорее в виде медиаконвертера, ну и для упомянутых в самом начале статьи всевозможных инструментов (будучи владельцем MacBook, у меня отсутствую USB-A разъемы, потому «десктопный» микротик также используется как терминальная станция для usb2com переходника и настройки оборудования, ну и все в этом духе).
This comment wasn’t rated yet0
Географическая привязанность :)
В плане того, что можно подключить железку консольником к микротику и не надо находиться рядом с ними, можно подключиться к микротику по wifi и настраивать.

P.S. На моделях микрота с встроенным консольным портом (RS232/8P8C) можно вообще исключить usb2com и включать консольынй кабель напрямую.

P.P.S. И да, он не заменит полноценный консольный терминальник (хотя можно использовать USB-хаб и пробрасывать внешние порты на консольные сессии), это исключительно в рамках дискуса для чего он используется.
Total votes 2: ↑2 and ↓0+2
UFO just landed and posted this here
UFO just landed and posted this here

На rb951? Могу, но не буду. Возьму более подходящее железо, о том и речь.

This comment wasn’t rated yet0
UFO just landed and posted this here

Смотря что. WiFi получить — раздать — можно. 5-10 МГц ширина канала нет, но вы точно этого хотите? Я давно живу в цифрах 40-80… 4 сети на 4 интерфейсах тоже несложно. Да и cli у него мощный стал. Заметьте, я ещё не вышел за пределы возможностей из коробки и не подошёл к пакетному менеджеру. Acl тоже есть, остальное не читал, но подозреваю что чего-то конкретного не смогу. Зато dns over tls завезли одновременно с dns over https, и тоже в варианте "из коробки". Вы извините, но создаётся впечатление, что к микротику вы слишком привыкли, и вам трудно оценить остальной мир вокруг.

Total votes 2: ↑1 and ↓10
Насчет «5-10MHz ширина канала поддерживается» не скажу, но многое из описанного вами умеет любая современная «мыльница», перешитая в Openwrt. У меня прекрасно трудятся такие, раздавая нес-ко изолированных ви-фи сетей. Плюс некое подобие ви-фи роуминга задействовано.
This comment wasn’t rated yet0
UFO just landed and posted this here
Некий аналог Сейф-моде есть. Реализован в виде кнопок Save и Save Aplly.
OSPF, SNMP (и сотни других) есть в виде доп. пакета — ставьте и настраивайте.

Вам проще развернуть опенврт в вирт. среде и посмотреть самому.
This comment wasn’t rated yet0
Опенврт и на микротик залить можно) причем раньше можно было еще и в виде виртуалки, сейчас только полностью затирая router-os.
This comment wasn’t rated yet0
И аппаратная начинка у keenetik куда интереснее чем у хоум версий микротиков где принято экономить на мелочах, которые роутинг с шифрованием просто не тянут.
This comment wasn’t rated yet0

Это точно. Экономят на спичках. Хитрецы.

This comment wasn’t rated yet0
Древний RB951G до сих пор имеет актуальные ПО и прошивку. Пережил KRACK. Как вам такой аргумент в сторону выбора Микротиков?
Total votes 2: ↑2 and ↓0+2
И с включением фасттрека тащит 100Мбит/с торрентов с загрузкой ЦПУ 8%.
А я уже подумывал, не пора ли обновиться и заодно поддержать Микротик.
This comment wasn’t rated yet0
UFO just landed and posted this here
Это риторический вопрос или нет? :)
Не уловил суть.
This comment wasn’t rated yet0
UFO just landed and posted this here
Прокси и не создан для шифрования :) Вижу, что вы — MTCRE, посему не хуже меня знаете, что для шифрования все же лучше использовать VPN.
This comment wasn’t rated yet0
форвардить сокс на нужный гетевей не завезли? (
This comment wasn’t rated yet0
На самом деле есть довольно таки неплохой ACL, позволяющий запретить все и выставить только нужные направления:
[admin@MikroTik] > ip socks access set 
Change properties of one or several items.

<numbers> -- List of item numbers
action -- Rule action
comment -- Short description of the item
disabled -- Defines whether item is ignored or used
dst-address -- Server's IP address
dst-port -- Destination port
src-address -- Client's IP address
src-port -- Source port

Или же на уровне обычного фаервола.
This comment wasn’t rated yet0
>должен быть в хозяйстве любого сетевого инженера
>нет поддержки протоколов 10летней давности
Total votes 3: ↑0 and ↓3-3
ну, во-первых — 24хлетней давности, все же:
>>March 1996

© tools.ietf.org/html/rfc1928

во-вторых, есть довольно таки много других полезных функций, которыми просто надо уметь пользоваться :)

ну и в-третьих, оспаривать сказанное в рамках ремарки «IMHO» — моветон, как мне кажется :)
Total votes 1: ↑1 and ↓0+1
Мне не нравится закрытость их экосистемы. Есть интересные девайсы, но дома я выбираю то, что могу починить/пропатчить. И выше про openvpn/wireguard — яркие примеры, на микротиках их ждут и не надеются, а с открытым ядром их или уже втащили, или это дело одного вечера.
This comment wasn’t rated yet0

Заметьте: оба модуля — из коробки. Без opkg. Если вы понимаете, о чем я :)

This comment wasn’t rated yet0
А вы не поделитесь моделью своего keenetic? :) Вот ради эксперимента хочу приобрести и сравнить встроенный функционал оного и микротика (из той же ценовой категории и набора характеристик), если будет что интересное — то отпишу отдельной статьей.
This comment wasn’t rated yet0
hAP ac^2 имеет смысл сравнивать со Speedster (у более дешёвых 100М)
а hAP ac с Viva/Giga (по цене примерно между ними, по железу больше похож на Viva, но у Giga есть SFP)
This comment wasn’t rated yet0
SOCKS4 — да, даже больше 5ти лет реализован, мы же ждали SOCKS5 :)
This comment wasn’t rated yet0
что железка за 50$ столько всего умеет, будоражит воображение


Уточню, что порог вхождения дешевле и колеблется в районе ~20$.
Total votes 1: ↑1 and ↓0+1
Справедливо.

Я указал с учетом инфляции, чтобы статья была актуальна на долгие времена :)
(на самом деле, забыл про линейку мелких hAP, которые действительно стоят по 19$).
This comment wasn’t rated yet0
Sign up to leave a comment.

Articles

Your account

Sections

Information

Services

Support
© 2006–2024, Habr