Хабр Курсы для админов
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Поток Администрирование доступен 24/7 благодаря поддержке друзей Хабра
Комментарии 42
Такого рода пассивные мини-пк на n100 крайне плохо охлаждаются без активного обдува. У меня почти такой же миник и несмотря на то что мониторинг показывал что-то около 65 градусов на процессоре, через полгода круглосуточной работы случился отвал проца.
Понаблюдаю за температурой, у меня есть опасения на летний период, все-таки на антресоли жить будет. Если выше 60 стабильно будет держаться, закину 120 кулер и понаблюдаю
Ноутбуки работают без отвалов в постоянно циклическом нагреве 30-90 градусов, а циклический нагрев/охлаждение как раз боль для припоя. 65 градусов на процессоре даже 24/7 ниочем. Скорее всего вам попался просто плохой экземпляр, либо изначально используется плохой припой в вашей модели
Даже не смешно :) Тогда на всех серваках у меня должно отвалиться, работая в 24/7/365 на 75-80 градусах при эмбиенте в 21-22, но как то, видимо с божьей помощью, работают по 5-7-10 лет.
N150. Полный пассив также присутствует дома. Никаких проблем не наблюдаю. Выше 65 температур в целом не видел. А до термального тротлинга там, как попой до китая еще. И это пол нагрузкой. В среднем там и 35 обычно не набирается
Не пойму что вы хотите этим сказать, Я поделился своим опытом, таким как он он есть. Перечитайте мой коментарий, я ничего про тротлинг не писал и я тоже считаю что 65 градусов это не катастрофа.Но эти 65 градусов в режиме фактически простоя, под нагрузкой куда как больше. Не верю что у вас 35 градусов в пассиве, достаточно почитать коментарии на маркетплейсах где покупатели жалуются на высокие температуры и советуют сразу заказывать usb-вентилятор. Производитель кстати выпустил версию корпуса с более серьезным оребрением, наверно просто так.
Пока слишком маловато для интересного макета. Наверное хотелось бы, чтобы были лацп, вланы, кластеризация, впн, обход блокировок с обновляемыми префиксами (возможно удаленная виртуалка, ipsec, bgp), captitive pirtal, гостевая сеть, wifi, можно даже радиус + сертификаты 802.1x.
Для дома ок, не для дома - не ок, не масштабируется. Наверное плюсы экономия места и какая хочешь система для роутера. Но вообще если суть статьи показать, что виртуальный роутер это ок - то ок.
Готовый обход есть от @itdog, работает на openwrt. Либо v2raya от китайцев.
Можете попробовать CHR от Mikrotik. Легко получить лицензию на оф сайте.
Но только временную(по истечении которой отрубятся обновления). А если в учётке в ЛК микротиков ещё и Россия указана, то платную не получить никак...
Остаётся или сидеть на не обновлённой версии, либо с определённой периодичностью ставить CHR с нуля и накатывать конфиг. Правда не уверен сколько пробных активаций дадут попользовать на одной учётке.
Да,вы правы. Благо у микротиков существует полный бэкап,который легко накатит все настройки и не никаких ограничений на новые триальные лицензии. Три месяца лицензия позволяет обновить chr,далее можно зарегистрироваться на новую почту,если вам обновления важны именно через штатный механизм,либо банально накатить новый образ и развернуть бэкап. Для домашнего использования можно вообще обновляться раз в полгода,тем более у микротик до сих пор нет LT версии RoS7
Для домашнего использования можно вообще обновляться раз в полгода,тем более у микротик до сих пор нет LT версии RoS7
Для меня отсутствия LTS версии у семёрки это скорее аргумент к тому что возможность обновления тут весьма полезна - и фиксы, и добавление фич. Если бы CHR был на 6-ой ветке, то тогда да, там вроде кроме редких фиксов(подавляющую часть которых можно прикрыть файрволом) уже ничего не появляется.
Так что пока на просрочке сижу, и наверное буду сидеть пока в используемых сервисах не появится дыра(или пока не появится возможность честно купить лицензию, хотя в это верится слабо). Ну или пока не выкатят фичи упрощающие операции парсинга логов(ну или хотя бы дадут возможность повесить скрипт/действие на событие ошибки входа) - а то после попытки реализовать fail2ban по ошибкам авторизации одного из сервисов, я узнал что там надо сначала реализовывать банальные вещи доступные в любом ЯП.
Понимаю, видимо у вас критическая инфраструктура и нет необходимости в wireguard или openvpn to udp. Я постепенно ушёл от микротиков всюду,где возможно,оставив их исключительно как свитчи для сегментирования сетей. Ядром сети же плсьавил Opensense
Да, в современных условиях критическая - пилюля из трёх букв(на протоколе из четырёх) для получение доступа туда куда прямого доступа нет(для личного использования, скачивать драйвера с сайта Интел). К сожалению мне не известен ни один другой роутерный дистрибутив с нормальной реализацией SSTP(если вообще где-то реализовано - такое впечатление что происхождение протокола вызывает идеологическое нежелание реализовывать его на линуксе), а в CHR и клиент, и сервер вполне пригодны для использования(мне скорости хватает). Linux+SoftEther не понравился своей стабильностью и настройкой - в микротике всё гораздо проще(наверное пообвыкся :)), нагляднее, и стабильнее(ИМХО), не говоря уже о системных требованиях.
Про нереализованное
Для сетей с постоянным IP всё просто, а для доступа с устройств с динамическим IP пришлось стук включать. Вот в дополнение к стуку и хотел навесить блокировку по ошибке авторизации, чтобы затруднить брутфорс при случайном обнаружении алгоритма "стука".
К сожалению, в логе микротика чтобы связать неудачную попытку авторизации с IP источника надо анализировать пачку сообщений и отловить(как один из вариантов) попытку открытия соединения на порт + последующую "user USERNAME authentication failed". Для малого числа пользователей и узком окне открытия порта, вероятно, это можно реализовать. Но при "промышленной" эксплуатации(большое число юзеров, большое число попыток авторизации) объём анализируемых событий будет расти сильно(возможны и другие трудности).
Правда для реализации нужно сначала в эвенте открытия соединения выделить IP адрес источника(в сообщении айпишников два) для дальнейших проверок и действий. И вот тут споткнулся на том, что простого пути решить задачу поиска айпишника в строке нет(хотя казалось бы типичная задачка для регулярок). Нагуглились какие-то самописные функции для реплейсов в строке, но времени разобраться с их работой так и не нашлось, а копипастить не проверив я не привык(тем более что в чистом виде эти функции мне не подходили).
Есть скрипт для микрота который ищет именно auth failed и блочит неугодных, в свое время юзал для ipsec, сейчас юзается для всего. Если очень нужно могу скинуть на ros7 норм бегает
Я не в курсе что микротик отдаёт в логи для IPSEC, а для SSTP это просто "user username authentication failed". Т.е. в сообщении нет данных об IP с которого произведена попытка. Т.е. надо поймать это событие, потом найти открытия подключения для сервисного порта за определённое время(*) до ошибки аутентификации, идентифицировать адрес который может быть как-то сопоставлен с "атакующим", и блочить его.
При этом есть вероятность что в конкретный момент времени среди таких айпишников окажется и атакующий, и легитимный пользователь. В моём случае это маловероятный вариант, но как его исключить я не знаю.
Но пока не разобрался как в скрипте получить айпишник из строки типа такой:
13:09:34 sstp_tmp input: in:ether1 out:(unknown 0), connection-state:new src-mac c0:c0:c0:c0:c0:c0, proto TCP (SYN), 18.13.14.18:41699->8.1.15.3:443, len 60
В обычных языках программирования это легко решается регуляркой(пожалуй даже можно поиском в строке с последующим вычленением подстрок), но данные операции, насколько я понял, язык скриптов микротика не предусматривает. А времени вникнуть в велосипеды реализующие поиск подстрок, чтобы позаимствовать оттуда идею, я пока так и не нашёл.
Если есть пример реализации поиска, и получения айпишника из строки, то очень интересна реализация :).
(*) Читал в сети про приколы с датами сообщений логов в момент перехода через полночь, но может информация устарела(плюс вероятность проблемы с этим в моём случае практически никакая).
Лицензию хоть на Авито можно купить. Гигабита за глаза для дома многим.
Зачем это все дома перечисленное? С бубном плясать возле, когда отвалилось?
Лаже для крупного офиса половина кейсов не всегда нужна: капатив портал и дотХ.
Да и в офис такую шляпу ставить: проще уж купить форти за пару к, сунуть в HA и забыть о проблемах. Ну, впрочем, если цель сношаться и делать вид вселенской занятости, то да, опенсорс подойдет.
А коммутатора то на этих 3-х портах не будет - чисто роутер
@boingo-00 Про OPNSense в Proxmox пишут что необходимо пробрасывать сетевые карты напрямую. Вот статья https://habr.com/ru/companies/bercut/articles/952046/
А так, OPNSense очень интересный FW.
Вот таким образом мы получили идеальный, не побоюсь данного титула, сервер домашней сети.
Примерно так же думал я когда купил 2 года назад абсолютно такой же как у автора Мини ПК, с 4 портами 2,5 Гбит и 16 Гб оперативы. В конечном итоге я перепробывал на нем PfSense, OpenSense и OpenWRT и в итоге вернулся к тому же с чего начинал к Роутеру Keenetik(сейчас Netcraze) вот на днях взял Netcraze Ultra NC-1812 на замену Peakу. Вам я бы хотя бы попробовать рекомендовал.
С чем я столкнулся
1. пинг выше чем на специализированной железке. Накладные расходы proxmox +opnsense
2. Самое главное. Opensense не знает VMess, VLESS, XTLS
Openwrt знает, но сделано все через одно место
Opnsense это корпоративная тема, там 98% ненужнего система обнаружения и предотвращения вторжений или интеграция с LDAP и RADIUS или High Availability....
OpenWrt это комбайн, там есть всё а того что нет можно взять и дописать или прикрутить это же линукс ..НО все как будто сделано максимально через одно место, В итоге какая то каша в веб интерфейсе частью частью в конфиг файлах все из говна и палок, не пойми как работает.
Моя сеть
Около 30 wifi и ethernet клиентов
2 входящих канала 1 гбит и 100 мбит один основной второй в резерве
4 подсетки обьеденены между собой и есть маршрутизация мой кинетик как сервер у него выделенный ip (остальные по wireguard и IPsec-сеть—сеть )
Соединение до openconnect сервера
Соединение Vray до удаленного сервера
Есть выборочная маршуртизация для выбраных клиентов, т.е ресурсы из списка идут через прокси vray а все остальные сайты напрямую.
Причем на Kennetic поднят wireguard сервер ,я когда с мобилкой выхожу я соединяюсь по wireguard с домашней сеткой, а политики маршрутизации действуют и там, т.е ютюбчик работает.
При этом почти все настраивается в 2 клика ну кроме vray там opkg.
не знаю как бы я все это настраивал в OpnSense.
На мини ПК я в итоге поручил другие задачи, там теперь резервный сервер Home Asisstant, Adguard DNS, go2rtc, ngnixproxymanager и остальная мелочевка.
Спасибо за советы, сохранил, на очереди канал наружу. Сейчас у меня в качестве точки доступа роутер на OpenWRT, но мощности там достаточно для роутинга и "канала наружу". Пока хочу потестировать текущую связку, а там возможно перекрою
Я прям сильно заморачивался одно время искал решение. Сначала у меня был микротик ох и намучался я с его настройкой, там очень много неочевидных вещей, купил кинетик все вроде было ОК, но потом начались блокировки и перестал работать wireguard зарубеж, на тот момент решения у Кинетик с маршрутизацией не было, был скрпит KVAS который худо бедно работал. И я начал искть альтернативу, вообьще, тогда и увидел это Мини ПК на 4 порта, ну и понесласть, чуть позже в кинетик завезли Xkeen это реализация для кинетика xray ну и всё стало не нужно. Ктсати не знаю как у вас но у меня миник сильно греется я небольшой моддинг провел, по наклеиванию медного радиатора для охлада.
А умеет ли Keenetic балансировку WAN? Впрочем, сам уже загуглил, и насколько вижу - уже умеет. Я несколько лет назад выбрал pfsense именно ради балансировки. На тот момент у Microtic в ROS6 это хрен знает как работало, инфы про кинетик мне тогда не попалось. Вероятно, у них тоже нормально ещё не работало. В моей деревне есть несколько провайдеров с оптикой, но всех их отличает падение каналов когда угодно и насколько угодно времени. А жаба душила платить 1тр/м просто за резервный канал. Раз уж плачу двум провайдером, то и эксплуатировать хотелось обоих в хвост и гриву. В pfsense это делается из вебморды с полпинка. В итоге на хороших торрентах и спидтесте(пока он был) я имею вполне наглядные 150+170=320мбит/с. В работе провайдеров есть нюансы и определённый трафик наруливаю приоритетом в один из каналов, но при его падении ничего ручками делать не надо, всё идёт через второй. Опять же - легко и непринуждённо через веб-морду. А не через кинетиковский CLI. Wireguard по данным гугла в pfsense работает, но мне пока не пригодился, работает старый добрый openvpn на забугорный шлюз. Опять же, через вебморду, в т.ч. проброс входящего трафика оттуда с белого IP сюда в DMZ за NATом и возврат его назад. Когда-то на железном роутере с Openwrt это было не так тривиально. Маршрутизация каких угодно клиентов куда угодно - тоже легко. В итоге за несколько лет эксплуатации мне не пришлось ничего делать в командной строке. С некоторыми вещами пришлось выкурить много форумов, например, с маршрутизацией WOL пакетов между VLAN, но и это удалось сделать тоже через веб.
Железка у меня сейчас похожая N100 4 порта. Когда у одного из провайдеров слетел шейпер, несколько месяцев имел пропускную способность до гбита, железка с ней вроде бы легко справлялась. Но не стал на неё городить виртуалки, всё-таки это брандмауэр. HA у меня крутится в виртуалке на NASе. А вот идея с резервным заинтересовала. Насколько это там легко и полноценно делается?
Кинетики тоже есть. Даже не просто есть, вся остальная сеть на них - пара управляемых свитчей и точки доступа с роумингом. Вот там на них нареканий нет. Почти. Пришлось включать через CLI AP isolation, хотя в каком-нибудь Асусе это делается флажком на морде.
1. пинг выше чем на специализированной железке. Накладные расходы proxmox +opnsense
Vt-d был включен? По идее с этой фичей все адаптеры должны пробрасывать я как есть в ВМ
А вот у меня есть необходимость трафик с LAN роутить через wireguard интерфейс.
Но кинетик умеет только в маскарад. Для него всё, что не lan - внешка, что не всегда удобно.
Или я плохо искал?
Сам же себе и отвечу. Плохо искал.
https://help.keenetic.com/hc/ru/articles/115000045869-%D0%9A%D0%B0%D0%BA-%D0%BD%D0%B0%D1%81%D1%82%D1%80%D0%BE%D0%B8%D1%82%D1%8C-%D0%B8%D0%BD%D1%82%D0%B5%D1%80%D0%BD%D0%B5%D1%82-%D1%86%D0%B5%D0%BD%D1%82%D1%80-%D0%B4%D0%BB%D1%8F-%D0%BE%D1%80%D0%B3%D0%B0%D0%BD%D0%B8%D0%B7%D0%B0%D1%86%D0%B8%D0%B8-%D0%B4%D0%BE%D1%81%D1%82%D1%83%D0%BF%D0%B0-%D0%B2-%D0%98%D0%BD%D1%82%D0%B5%D1%80%D0%BD%D0%B5%D1%82-%D1%81-%D0%B2%D0%BA%D0%BB%D1%8E%D1%87%D0%B5%D0%BD%D0%BD%D1%8B%D0%BC-NAT-%D0%B0-%D0%B2-%D0%BA%D0%BE%D1%80%D0%BF%D0%BE%D1%80%D0%B0%D1%82%D0%B8%D0%B2%D0%BD%D1%83%D1%8E-%D1%81%D0%B5%D1%82%D1%8C-%D0%B4%D0%BE%D1%81%D1%82%D1%83%D0%BF-%D0%B1%D0%B5%D0%B7-NAT-%D1%81-IP-%D0%B0%D0%B4%D1%80%D0%B5%D1%81%D0%B0%D0%BC%D0%B8-%D0%B8%D0%B7-%D1%81%D0%B2%D0%BE%D0%B5%D0%B9-%D0%BB%D0%BE%D0%BA%D0%B0%D0%BB%D1%8C%D0%BD%D0%BE%D0%B9-%D1%81%D0%B5%D1%82%D0%B8
Не легче было поставить микротик x86?
Тема интересная даже с учётом того, что подобный девайс может работать хуже, чем специализированная железка. Ибо нынче почти любой устройство в продаже, будь то роутер, сигнализация, IP-камера и т.п. имеют «отечественную локализованную прошивку», декларируемую как необходимость соблюдения законов о связи. На практике же оказывается, что накатить оригинальную прошивку на устройство невозможно, т.к. оно неожиданно имеет ещё и аппаратные особенности. При этом оригинальную версию невозможно приобрести, в т.ч. и на маркетплейсах у иностранных продавцов. Всё это заставляет относиться к доступному в продаже локализованному девайсу как к потенциальному мессенджеру Max.
Для меня главный минус в том, что а случае (когда) миник накроется восстанавливать и настраивать все по новой будет куда сложнее, чем воткнуть новый кинетик и накотить туда старый конфиг.
А вы распиновку rs232 для этого R1 не знаете?
Виртуализировать opnSense - нет никаких проблем. Больше проблема, что ips/ipd не работает с виртуальными/софт портами (особенности реализации nmap в freebsd вроде, или что-то такое). Т.е. ловить подозрительный трафик на pppoe не получится.
Приходится городить внешний GW с pppoe-клиентом, и оттуда уже пробрасывать на opnSense. Т.е. уже как минимум 2 железки.
И тут уже встает вопрос - не проще GW/роутер сразу ставить на openwrt (со всеми остальными полезняшками), и использовать миник под мини-серверы уже. Пробовал и балансировку-отказ в виртуалке на opnSense поднимать - отдельный неудачный опыт, это в разы проще сделать на openwrt (может без изысков, но работает, в т.ч. с линками с wifi).
Пару лет живет кластер из 3-х NUC10. Все сетевое хозяйство на три сотни устройств завязано на него.
Proxmox 7-8. GlusterFS. CHR. Win для удаленного управления разным оборудованием офиса и старым WinBox. UniFi.
Пережило смерть SSD и смерть блока питания. Офис даже не узнал об этом.
Жаль в Proxmox 9 выпилили поддержку GlusterFS. Т.к. Ceph очень тяжел для NUC10.
Важна сетевка которая будет раздавать интернет, особенно если нужен WiFi ,я так же взял мини ПК в качестве роутера с фильтрацией всех пакетов для ВПН, но мой WiFi от мини ПК в режиме точки доступа очень плохо работал,либо выпаивать либо usb подбирать, так что изначально нужно выбирать то что хорошо работает в режиме точки доступа,ну или повторителями обзавестись или mesh.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Виртуализируем роутер в Proxmox