VRyabchevsky Mar 31 at 16:21

Микросеть: настройка роутера для ИТшной семьи

Medium

8 min

32K

System administration*Network technologies*Network hardware

Case

+18

Comments 32

DoMoVoY Mar 31 at 17:07

Казалось, что мануалы mikrotik уже все написаны лет 10 назад. А оно так и есть!

В этом случае обработка будет происходить быстрее, так как устройству не придется искать адрес, на который перенаправить пакет ().

masquerade и src-nat работают с одинаковой скоростью. И дело не в "перенаправить", а каким адресом делать трансляцию.

VRyabchevsky Mar 31 at 17:52

Спасибо за комментарий, действительно ошибся, в следующий раз буду точнее проверять факты и терминологию

Казалось, что мануалы mikrotik уже все написаны лет 10 назад. А оно так и есть!

Да, есть. На какие то привел ссылки. Но благодаря статье кому-то может бвть чуть проще или дадут дельный комментарий как улучшить конфигурацию.

VecH Apr 2 at 19:15

Вот тут можете чуть чуть поподробнее про NAT и маскарадинг ?
На сколько помню, еще со времен Mandriva Linux и его насадки на iptables по имени shorewall начал использовать маскарадинг, так и использую до сих пор, а на пальцах в подробности не вдавался

DoMoVoY Apr 3 at 19:55

маскарад делает трансляция primary адресом исходящего интерфейса, а src-nat делает статичную трансляцию тем адресом, который будет указан. Если внешний адрес статичен или хочется полного контроля, то можно делать src-nat, для динамического внешнего адреса нужно делать маскарад

flowwolf Apr 3 at 19:29

Не все, ROS 7 относительно недавно вышла же.

chemtech Mar 31 at 17:31

Спасибо за пост. Можно ли использовать один маршрутизатор и отказаться от коммутатора?

avacha Mar 31 at 17:38

Можно, если портов хватает. Мне не хватает, пришлось поставить старенький CRS125 в качестве коммутатора. Ну и lolipop, сиречь router-on-stick в чистом виде не реализовать. Правда, зачем он нужен в данной конкретно ситуации, если портов хватает - непонятно.

Также и выбор 2011 в 2024 году вызывает большие сомнения. Он давно морально и физически устарел, и на современных тарифах показывает себя не очень, даже с Fasttrack. Я бы взял хотя бы hAP ac2 + коммутатор. А в идеале - 5009 или 4011, у последнего железо от операторского Rb1100 ahX4, а 5009 на Ozon по 18.000 продается новым. Хватит на несколько лет вперед.

VRyabchevsky Mar 31 at 17:55

Да, в этой статье он не нужен, в будущем понадобиться с учетом всех устройств.

Также и выбор 2011 в 2024 году вызывает большие сомнения.

Работал с тем, что сейчас есть под рукой. Из плюсов микротика - всю конфу могу перенести на новую железку, когда куплю :)

Blogoslov Mar 31 at 19:25

Это вряд-ли. На новой железе уже ROS 7.X стоит и её не так просто накидывать из 6.х ветки - там ещё немного подшаманить нужно будет

VRyabchevsky Mar 31 at 20:51

На 2011 уже поставил 7.14, так что проблемы пока не вижу:)

DaemonGloom Mar 31 at 22:16

Учитывая, что 2011 - с двумя чипами свичей, конфигурация чисто не перенесётся, порядочно придётся вручную переделывать.

ErshoFF Mar 31 at 19:43

Из личного опыта:

mikrotik (rb2011) - отличная железка
на тарифе 60мбит (домашнее использование) - загрузка процессора иногда достигала 100% и сыпалось ip ТВ
на тарифе 100мбит - более 60 не прокачивала по причине загруженности процессора на 100 %
пришлось заменить на другой mikrotik.

VRyabchevsky Mar 31 at 20:53

Интересная информация. Ранее (год назад) через эту же железку крутил тариф 100мбит, подключался к квартире через ipsec по сертификатам и домашние проблем не наблюдали

dimsoft Apr 1 at 06:13

И какая скорость была в VPN по сертификатам, учитывая, что 2011 не умеет аппаратно ускорять шифрование ?

Konstantinus Mar 31 at 23:02

У меня 2011 и тариф 1Гбит. Загрузка 20-30%. Канал на работу держит 200 Мбит. Изначально тоже под 100% нагружался, пока не отключил DNS "allow-remote-requests".

qenoamej Apr 1 at 06:31

Это сколько же нужно дома устройств, что б перегрузить роутер через dns запросы?

DaemonGloom Apr 1 at 09:18

Это, скорее, неверная настройка файрволла и открытый наружу dns сервер. Внутренние устройства его настолько не загрузят.

qenoamej Apr 1 at 12:00

Или отсутствие файрволла в принципе. Видел такие статьи про настройку микротиков, где вместо простейшего файрволла доблестно сражаются со злобными хакерами отключением неиспользуемых протоколов в ip->services, на нужных ставят available from и меняют порты, ну и вот про dns remote requests тоже.

say_TT_plz Apr 1 at 10:43

дело не в них, а в запросах снаружи.

swshoo Apr 2 at 16:41

очень похоже, что последнее правило in drop all просто отключили, ибо мешало нормальной работе sip или tv -)... И понеслась душа в рай -).

mehonator Apr 1 at 06:31

Кажется на ris v7.10 у меня были проблемы с нагрузкой процессора до 100% вне зависимости от количества трафика. Решилось простым обновлением.

ErshoFF Apr 2 at 18:04

Проблема с загрузкой портов повторялась на разных версиях (longterm/stable/development/...) 6 и 7 веток.

turbidit Apr 1 at 12:11

Теперь свяжем физические интерфейсы и vlan's:

Не знаете что на RB2011 порты разведены на разные чипы? Фатальная ошибка!

VRyabchevsky Apr 1 at 12:49

Спасибо за комментарий, добавлю в будущую статью. В конкретно этой ситуации использовал порты только одного чипа (гигабитного).

resetsa Apr 1 at 21:06

2011 в 2024 году уже безнадежно устарел, ну и я до сих пор не рискнул на него 7.х ставить.

Также как выше уже отметили, там 2 чипа коммутации и между ними связь через CPU.

Судя по всему вы софтовый мост собрали, а значит все полетит через CPU, что быстро положит проц.

Делать 1 VLAN на провод и WIFI - так себе занятие. Лучше делить на IP уровне.

Ну и я у себя сегменты в отдельные VRF поместил. На 6.x работает, с 7.x - есть проблемы с route leaking (костыли с передачей через туннельный интерфейс - божественен)

DaemonGloom Apr 1 at 21:37

7.x на них работает вполне неплохо, кстати.

He_caxap Apr 2 at 08:55

Зачем вообще все эти сложности с настройками Mikrotic, если можно взять например, Keenetic Giga (там уже всё за вас настроено) + любой коммутатор с PoE на 8-16-24 портов.

0HenrY0 Apr 2 at 10:44

Чтобы на Keenetic Giga получить хоть немного похожий функционал, его надо перепрошить под OpenWRT. Для новичка это не намного проще, чем настроить MikroTik.

gorodskih Apr 3 at 22:55

Не надо ничего перепрошивать. Если не хватает настроек из GUI (что довольно редко), то можно обратиться к мануалу по CLI, где настроек еще больше. А если надо уж совсем что-то кастомное поставить, то втыкается флешка, на которую ставится Entware, что дает целую подсистему Linux, куда можно ставить любые программы из большого списка.

Я себе, к примеру, поставил LetsEncrypt скрипт Dehydrated + реверс прокси nginx для домашних ресурсов.

ThingCrimson Apr 2 at 11:38

Можно и так, наверное (я не работал с Keenetic Giga, но охотно Вам верю). С другой стороны, если человек знает, что он хочет, и умеет настраивать MikroTik — результат будет не хуже (а может и лучше).

b1ora Apr 2 at 16:17

Не знаю как делаются Vlan'ы на кинетиках, но микротик позволяет делать с ними абсолютно всё, что угодно. В том числе и firewall, wifi, маршрутизацию.

swshoo Apr 2 at 16:36

RB2011 , канал 300 Мбит , отключение фасттрека для настройки QoS -

ros 6 - 300 Мбит ; + QoS - ~200 Мбит
ros 7 - 230-250 Мбит ;+ QoS - ~ 130 Мбит
откатился на 6, включил фасттрек. Позже поменял роутер на RB5009 , вот где можно развернуться -).