Pull to refresh

Comments 261

Прошивки микротик можно поставить на стороннее железо? На netgear, например.
К сожалению нет, на стороннее нельзя, но можно ставить на х86 железо.
Ещё встроенный User Manager, HotSpot, Mesh-сети, VPN-сервер (причём несколькими разными способами), хороший шейпер. Кучу внешних биллингов или модулей. Наличие API позволяющего разрабатывать свой софт. Я специально не стал фиксироваться в этой статье на технологиях и решениях, больше обзорная статья. Хотя да, Dude хорош :)
OpenVPN там не нормальный. Не поддерживает udp и сжатие. Что клиент, что сервер.
Можно конечно, перейти на l2tp+ipsec, но openvpn роднее.
Можно конечно, поставить в микротике виртуалку и там поднять openwrt и там уже openvpn, но в продакшн такие буханки-троллейбусы ставить нельзя.
Как раз таки из-за глюков OpenVPN перешел на l2tp на микротике, пинги минимальные, проблем вообщем нет.
Не счёт виртуалки Вы поторопились — это опция не рекомендуется для промышленной эксплуатации (читай-не рекомендуют использовать). А хотспот, да — заводится за 3 минуты — если знаешь что делать.

Кучу внешних биллингов или модулей

Зачем тогда ставить mikrotik+PCна Linux, когда можно поставить только один системник на Linux?
Биллинг и бордер — это априори разные машины…
dude — это мониторинг для пионернетов, не более того
Во встроенном OpenVPN нет поддержки UDP и LZO. Саппорт говорит чтобы все кому не хватает openvpn udp пользовались убогим майкрософтовским sstp.
MetaRouter работает через задницу. Патч для openwrt metarouter не обновлялся уже черт знает сколько.
В большинстве routerboardов USB порт идет без питания. Просто так 3G модем не воткнешь.
Из того что вспомнил.
UFO just landed and posted this here
Пишут, что на быстрых каналах сжатие уже нах не нужно. Вам нужно было сжатие на медленном канале?
Канал может быть и быстрым, но дорогим.
UFO just landed and posted this here
«Конторы» платят не просто «за надежность», они платят за гарантированную поддержку, ну и еще потому, что когда вы покупаете всю (дорогую) сетевую инфраструктуру у одного партнера одного вендора, то цены в итоге вы получаете все ниже и ниже, и тогда какая-нибудь младшая Cisco уже становится сравнимой со старшими Microtik, что тоже стоит принять во внимание.
Такие конторы есть, как ни странно. Все дело в том, что рано или поздно, руководство приходит к простой калькуляции: «Простой инфраструктуры стоит весьма реальных тысяч рублей». После этого покупается нормальное железо, если до этого не.
Но у микротика, безусловно, всегда будет своя ниша
Отличное описание, я рад что заказал MikroTik, приедет через неделю, буду настраивать. Про марку я так и не услышал, если бы не комментарии на Хабре, привозят в наш город только под заказ — недостатки непопулярности.
Как раз думаю перейти с Netgear WNDR3400 на MikroTik RB751G, но смущает отсутствие поддержки WiFi 5GHz. Стоит ли для домашнего использования с 4 устройствами + NAS на FreeBSD покупать Mikrotik?
UFO just landed and posted this here
Если не надо балансировать роутером несколько каналов, то не стоит, wi-fi на 751g, мягко говоря, не впечатляет.
А чем именно не впечатляет? Читал только положительные отзывы.
А почему не MikroTik RB951G?
Местные реселлеры предложили именно эту модель, не знаю если есть указанная вами в наличии. Надо будет проверить. Она новее/лучше?
Смотрите RB951G-2HnD — это новая модель да. Рекомендую брать ее.

Разница в них

Проц 600 против 400
Память 128 против 64

Если вам надо и 2.4 и 5 то надо смотреть сборные модели с модулями miniPci.
Вот только ценник и размеры у дуалбандов получается негуманный совсем
Это к сожалению да. :/

Сейчас жду, когда у них будет стандарт AC.
а зачем мешать роутер и вай-фай, например? я сейчас думаю наоборот развести по разным устройствам. Роутер отдельно где-нибудь подальше, а вай-фай по ПоЕ куда-нибудь подвесить в центре :)
ну 802.11ac 1 gb. WiFi удобен когда у вас пользователи по кабинетом перемещаются периодически.

Я вообще хочу сделать в офисе и на даче бесшовный wifi. Просто по wds станлартно пропадает сразу 50% пропускной способности, а обычно к точке доступа все равно протягивается кабель.
Спасибо, поинтересовался у реселлера, буду брать именно новую модель. В ней правда нет разъема для подключения внешней антенны, но думаю что мне хватит и встроенных двух.
UFO just landed and posted this here
А с каким–нибудь специальным линуксом типа Vyatta на x86–железе сравните, пожалуйста?
А то я не в теме Микротиков, а пока по описанию ничего значительно отличного не нашёл. Вдруг я пропускаю мимо себя что-то важное в жизни?
Как вы правильно подметили, Vyatta — это специальный линукс на x86-железе. Mikrotik Тоже специальный линукс и тоже есть в виде x86 и тоже ставится на железо, но тогда необходимо покупать лицензию. Тем неменее, Mikrotik предпочтителен тем, что x86 pc можно заменить на маленькую железку размерами, как обычный роутер длинк. Если сравнивать по функциям, то если кроме маршрутизации трафика и базовых сетевых сервисов вам больше ничего не нужно — то и менять не стоит.
что мешает взять тот же openwrt, если критичны размеры? на том же tp-link wr741nd(который стоит 660руб) можно сделать полноценный l2 vpn(l2tpv3 pseudowire) через который спокойно проходит 100Мбит/с при 35-45% cpu usage. И на удалённом конце может стоят циска/линукс.

Да много причин:
1. Нельзя автоматически бекапить конфиги с отправкой админу.
2. Нельзя сделать mirror port или экспортировать netflow для разбора статистики.
3. Нет удобного API.
4. Нет встроенного скриптового языка.
5. Нет hotspot
6. Нет агрегации каналов с балансировкой
7. Да даже если всё (1-6) это есть «из коробки», то нет желания копаться в текстовых конфигах. Хочется чтобы включил в сеть, настроил за 15 минут и забыл.
1. Нельзя автоматически бекапить конфиги с отправкой админу.


читаем до просветления

2. Нельзя сделать mirror port или экспортировать netflow для разбора статистики.


port mirror — это фича свитча. там, где чип свитча умеет мирроринг, openwrt обычно умеет.
netflow как бы тоже есть в openwrt и заворачивать туда можно силами iptables(а не всё подряд).
3. Нет удобного API.


api для чего? и что является критерием удобства? вы еще про mac-telnet расскажите(который вполне успешно ставится внешним пакетом).
4. Нет встроенного скриптового языка.

lua? libuci-lua позволяет делать всё то же, что и из cli.

5. Нет hotspot


и это есть, и несколько captive portal.
6. Нет агрегации каналов с балансировкой


lacp? round-robin? что именно вам надо? или речь про l3 per-packet?

7. Да даже если всё (1-6) это есть «из коробки», то нет желания копаться в текстовых конфигах. Хочется чтобы включил в сеть, настроил за 15 минут и забыл.


читаем до просветления
Спасибо за развёрнутый ответ. В самом деле, за последнии 5 лет, OpenWRT много чему научился. Но можно ли это всё настроить из Web-интерфейса, не залезая в CLI?
в принципе, да. существует несколько вебморд.
но я не вижу в этом смысла.

Смысл в том — чтоб не тратить своё рабочее время на то, что можно сделать быстрее. Когда у меня было около 5 офисов в 2008 году, мне нужно было как-то объединить их в единую сеть. Обладая достаточными знаниями, я конечно же настроил OpenVPN тогда ещё на каком-то Debian'e в каждом офисе, но когда необходимо было уже начинать подключать клиентов к WiFi (ставив секторные антенны по 2-3 на базу), сделав HotSpot с учётом трафика и единым центром авторизации, показывать рекламу перед авторизацией, а также снимать статистику, плюс нужно было как-то реализовать доставку L2 сети до точек, располагающихся на горах (горнолыжка), то тратить несколько дней на настройку Debian на x86 в каждой точке — нет уж увольте. Плюс x86 машинки в 4-мя сетевыми картами для раздачи Wi-Fi частенько висли при понижении температуры до -30 градусов и летом при +40. В итоге тогда и встал выбор — что делать. Всё это на микротиках (за раз купили более 30 штук) настроили с помощником за 1 сутки. С тех пор и по сей день там всё работает на микротиках.
ваша ошибка в том, что вы взяли дистрибутив общего назначения и изначально не думали о средствах mass deploy.
кстати, что вы называете «единым центром авторизации»? radius? и зачем L2 тянуть до точек?

Конечно я не думал о mass deploy, т.к. был студентом и использовал только то, с чем хорошо знаком. На счёт авторизация — это когда у нас было около 6 базовых станций, которые покрывали обширную территорию WiFi сигналом, клиент должен был, перемещаясь м/у базовыми станциями не терять сеть, то есть при смене базовой станции, пользователь должен был автоматически авторизироваться. Ещё клиенту выдавалась proxy-карта, номер которой использовался для авторизации в этом HotSpot. Алгоритм такой: Один раз пользователь вводил номер карты, в базе записывался MAC-адрес=Номер-карты. И когда пользователь спустя несколько часов или при смене базовой станции подключался к HotSpot, то HotSpot в связке с FreeRADIUS + MySQL выяснял, была ли привязка карты к маку, а также есть ли деньги на счёте и если всё ок, то давал доступ в Интернет.

L2 до точек нужен был, т.к. спец софтина, которая реализовывала прокат горнолыжного инвентаря, продажу еды, а также проход через турникеты, требовала L2 сеть м/у своими контроллерами.
Конечно я не думал о mass deploy, т.к. был студентом и использовал только то, с чем хорошо знаком.

т.е. на месте debian вполне могло оказаться железо cisco/juniper.
то есть при смене базовой станции, пользователь должен был автоматически авторизироваться.

роуминг в wifi — это достаточно давно известная и обкатанная технология.
Ещё клиенту выдавалась proxy-карта, номер которой использовался для авторизации в этом HotSpot.

что мешало использовать eap-tls и x.509? клиент 1 раз влепил себе сертификат и больше никаких лишних телодвижений. можно было бы взять что-то вроде uniwifi(где есть контроллер точек) или же совсем бюджетно на обычных AP.

1. У Cisco/Juniper на тот момент (да вроде и сейчас) нет вариантов по организации WiFi вне помещений c подключением трех и более независимых внешних антенн. Да и не факт, что даже если бы они были, мы бы уложились в бюджет ~15 000$ (включая секторные антенны).
2. Роуминг в Wi-Fi известная технология, но вы вспомните 2008 год, когда на рынке правили решения типа D-Link 2100AP или D-Link 3200AP и все пионеры Wi-Fi советовали именно их использование — особенно если прошить их прошивкой от BlueBox.
3. Сертификаты? Выдавать на каждого клиента? У нас за сезон проходило свыше 150 000 клиентов. В прошлом году, как мне сообщали, было уже более 350 000 клиентов. А на счёт UniFi (если вы это имеете ввиду), так эти точки офисного исполнения и их не было в 2008 году. А сейчас, у них только одна точка UniFi Outdoor имеет уличное исполнение и комплектуется всего лишь 1 радиоканалом с двумя омни-антеннами. Её прямое назначения — это установить на даче, закрепив на фасад здания.
Как я уже писал, если нужно поставить одну-две мыльницы — можно заморочиться с openwrt. Если же нужно тиражуемое (до нескольких сотен устройств) в течение нескольких лет решение — лучше микротик. Ибо модельный ряд известен, миграция с устройства на устройство происходит банальным копированием одного конфига (плюс сертификаты/html-страницы по желанию), максимум, что потребуется — поправить eth-интерфейсы. Не нужно судорожно искать, какая же модель, вместо снятой с производства, будет нормально дружить с wrt
Если же нужно тиражуемое (до нескольких сотен устройств) в течение нескольких лет решение — лучше микротик.


в чём нетиражирумость того же openwrt? дамп конфига в uci спокойно вливается в другое устройство.

Не нужно судорожно искать, какая же модель, вместо снятой с производства, будет нормально дружить с wrt


а в чём судорожность открытия openwrt wiki?

Да, в плане железа микротики может и интересны, но не в плане софта. Как бы одепты не пытались убедить в обратном, но ROS — это такой Linux. Ветка 5.х основана на очень древнем ядре, где нет RPS/XPS, где в ядре есть BKL и прочие неприятные вещи. Они обречены на вечные догонялки с mainline, на старые версии драйверов(отсюда проблемы с поддержкой новых ревизий чипов того же интела). На многоядерных системах это будет выглядеть как утилизация одного ядра и проблемы с производительностью.

У ROS вечные проблемы с ipsec, стабильностью(особенно у 6.x) и совместимостью(SSTP умеют единицы, документации нет, как и с микротиковским EoIP).
в чём нетиражирумость того же openwrt? дамп конфига в uci спокойно вливается в другое устройство.

В том, что за пару лет у вас появляется зоопарк оборудования от разных вендоров, с разными тех. характеристиками, разными БП, разной производительностью. В случае микротика все довольно унифицированно.

а в чём судорожность открытия openwrt wiki?

Понадобилось нам найти мыльницу под мониторинг упсов. Из тех, что «совместимы с wrt» завелась, кажется, третья. То питания не хватает, то wan-порт отваливается, то еще какая-нибудь пакость.

У ROS вечные проблемы с ipsec, стабильностью(особенно у 6.x) и совместимостью(SSTP умеют единицы, документации нет, как и с микротиковским EoIP).

С ipsec согласен, со стабильностью — 5.х работает годами, 6.х еще не щупал плотно, но дома роутер не чихал ни разу, не смотря на все издевательства. EoIP, даром что vendor-lock, но в некоторых случаях незаменимая вещь.

Не идеализирую микротик ни разу — проблем у него хватает. Просто это реально удобное, простое и мощное решение.
В том, что за пару лет у вас появляется зоопарк оборудования от разных вендоров, с разными тех. характеристиками, разными БП, разной производительностью.

ну так зачем покупать зоопарк? ;)

С ipsec согласен, со стабильностью — 5.х работает годами, 6.х еще не щупал плотно, но дома роутер не чихал ни разу, не смотря на все издевательства. EoIP, даром что vendor-lock, но в некоторых случаях незаменимая вещь.


их EoIP умирает на каналах с packet reordering. насчёт 6.х и CCR:

IPIP tunnel mikrotik<->linux after 20-30 minutes stops passing packets.
Pings with size 50bytes pass all the time.
Packets bigger than 1300bytes stops passing, after about 5 minutes later, they suddenly start to pass again.


L2TP VPN causes reboot. The CCR1036 acts here as a L2TP server and Win7 machine as a client.
My configuration is based on this article:
wiki.mikrotik.com/wiki/MikroTik_RouterOS_and_Windows_XP_IPSec/L2TP
The only message in the log after router reboot is «router was rebooted without proper shutdown»
Do you have any suggestions?


Having a major problem with a new CloudCoreRouter 36 we purchased and put into production. Running 6.0rc12 build
We run 250-350mbps continuously, we have a sfp1 LC fiber feed (600mbps service)
We have lost throughput on our network 3 times today, reboot of the router fixes the problem, or just waiting 5-10 minutes fixes the problem, bandwidth drops from 300mbps down to <100kbps. Router doesn't accept new connections in Winbox 8291 and doesn't respond to pings. If we have an 'existing WinBox' connection active it will continue to function during the outage! Trying to ping default gateway during outage fails even though existing Winbox connection is working over the internet. We have also noticed connectivity issues on our ether3 zhone connection which is a bridge between two locations using a separate T3. We lost connectivity earlier today on that circuit, could not ping between the two locations (Mikrotik router on each side), yet the T3 was up and functioning. Its like the Mikrotik decides to stop new traffic for a period of time.


how long it takes to get an Reply of: [Ticket#2013041366000268]? :-)
btw
hping3 --rand-source –S –L 0 –M 0 –p 179 MIKROTIK IP --flood will kill the CCR <3 Seconds. ONLY Basic Setup, no Conntrack ONLY ip firewal drop TCP to Port 179 @ IP.
ну так зачем покупать зоопарк? ;)

А зоопарк неизбежно возникнет, потому что домашние роутеры, на которые накатывают wrt, имеют свойство менять аппаратную ревизию, выходить из продажи, заканчиваться и т.д.

их EoIP умирает на каналах с packet reordering.

Ну как бы логично, потому как там gre. В особо запущенных случаях, типа скайлинковских или мегафоновских свистков, мы их поднимали через ovpn. Оверхед неслабый, но зато работает стабильно.

Касаемо 1036 можете не рассказывать, сам знаю :)
Не понимаю первого минуса. Почему микротик не гарантирует бесперебойную работу? Противоречит третьему пункту плюсов и личной 5-ти(!)-летней практике. Причем практика не SOHO, а провайдинг и немаленький гостиничный комплекс.
Согласен, тем более VRRP работает.
Единственное, с чем неприятным столкнулся, так это на первых партиях miniRouter (RB450) через 3.5 года безупречной работы заменил по два конденсатора на платах. Борды были куплены в одно время в количестве 8 штук одной партией. Вздулись на всех. Из новых 751 в количестве более 30 штук за год ничего подобного еще не было. Разбирал специально — кондёры уже стоят другой фирмы.
Покажите мне микротик с дублированием как у модульных коммутаторов/роутеров: два-три блока питания, два синхронизированных управляющих процессора (если выдернуть один, то аварии не произойдет), резервированная фабрика в шасси, резервированные блоки вентиляторов, несколько линейных карт с портами (все эти пункты без исключения меняются без остановки железки).

«У меня не глючило» ну вообще ни при каких обстоятельствах не является аргументом. Да и 5 лет вообще не впечатляет.
Более менее серьезные продажи на территории России как раз около 6-7 лет назад начались, когда в ходу были еще RB133 и ROS v2.xx.
Не будет такого. Микротик себя никогда не позиционировал, как замена цисок или джуниперов. Его удел — пионерия и SOHO, плюс мелко-средний провайдинг, выросший из этой самой пионерии. Сам микротики ставил пачками (сотни две наберется уж точно), но стараюсь трезво их оценивать.
Не будет такого.

Но я вообще про другое. Бесперебойную работу железки может гарантировать только соответствующая аппаратная архитектура (да и программная до кучи), и то это не всегда помогает. Никакие «мамой клянусь» и «у меня годами не падает» тут никого не интересуют.
Ну, помнится, на MUM дядечка заливал про доступность 99,999 (как-то так). МИкроты у него работали чуть ли не на 3-ей версии, и за последние три-четыре года ребутались пару раз. Но то именно что SOHO.
Так что это просто средненькое железо. Чуть выше по качеству комбайнов с openwrt (которую так любят на НАГе), намного ниже по стабильности, чем циско. Как-то так
на MUM дядечка заливал про доступность 99,999

Заливать можно что угодно :)
намного ниже по стабильности, чем циско.

Так и циски разные бывают. Есть могучие аппаратные платформы. Есть программные, мало чем от того самого микротика отличающиеся. Из последних одни будут работать десятилетиями, а другие через год упадут из-за скончавшейся плашки памяти.
Так и циски разные бывают. Есть могучие аппаратные платформы. Есть программные, мало чем от того самого микротика отличающиеся.

Бывают программные. Но даже они, обычно, имеют слоты расширения/место для второго бп. Ну и IOS все же постабильней ROS будет, хотя у последнего возможностей гораздо больше.
хотя у последнего возможностей гораздо больше.

Думаю, если покопаться, окажется, что по связанным с непосредственными задачами роутера вещам микротик окажется далеко позади. Хотя прямое сравнение я провести не готов в связи со слабым пониманием возможностей микротика. Можно, скажем, открыть список связанных с OSPF фич в IOS и по пунктам проверять их наличие у микротика.
У ROS единый функционал, практически не зависящий от лицензий и железа. В IOS вроде нет, если хочется плюшку — заплати много денег.
У микротиков за функционал отвечает «level». Более высокий — за деньги.
У циски можно покупать тот функционал, который нужен.
Для 90% пользователей разница в уровнях Level не критична. Да и цена между уровнями смешная. Разрешите картинку:
image
Большинству пользователей цисок хватит базовой IP Base, а то и LAN Lite (у нас полно каталистов с данным софтом, ничего более порезанного не придумаешь, но нам хватает).
Остальное докупается. В бесплатной версии даже RIP отсутствует (в базовых вариантах IOS он есть). Так что ваш аргумент «надо докупать софт для цисок» бессмысленен, микротики тут ничем не отличаются кроме денег. Но если берем роутер за пару килобаксов, то вполне можно докупить софт за пару сотен долларов.
BGP, OSPF, MPLS… Плюс бонусы в виде OVPN/PPTP/SSTP/L2TP сервера. Плюс EOIP/GRE/IPIP… Все это — в рамках одной железки. Плюс NAT почти на iptables (некоторые штуки по дороге потеряли).
По возможностям микротик практически соответствует линуксу с небольшой обвязкой (плюс MPLS-стек, плюс EOIP). Так что возможности шире. С другой стороны — все это гораздо менее стабильно.
Неа. Есть вики, но это все же докуменация, а не фича-лист.
Плюс к тому — у RouterOS разделение в level — на 99% количественное, а не качественно (по фичам). У циски же разница между иосами/лицензиями гораздо больше…
это все же докуменация, а не фича-лист.

Вот за документацию циску и любят :)
у RouterOS разделение в level — на 99% количественное, а не качественно (по фичам). У циски же разница между иосами/лицензиями гораздо больше…

У циски в основном другая политика. В случае простых роутеров есть базовая версия (умеет мало), у ней можно докупить лицензии Security (IPSec, файрвол и т.д.), UC (голос-видео), Data (обычно всякие операторские загогулины). Обычно одной железки хватит одной из трех указанных фич, ее редко будут под всё задействовать. Это дает некоторую гибкость.
Но и порядок цен там совсем другой. А тут — железка за писят баксов умеет все и сразу…
Дык можно на древнюю рухлядь поставить обычный линукс, какого-нибудь квагу, и она тоже будет знать слова вроде BGP, OSPF и т.д., почти бесплатно и совсем без искусственных ограничений :)
Только старая рухлядь будет шуметь, занимать место и кушать много электричества. А тут — маленькая аккуратная коробочка. Тут скорее уместно сравнить с WRT, но я про это уже писал немного ниже.
А вот за эту ссылку — отдельный респект. Век живи — век учись
Offtopic: Дима, Скажи честно, тебе Cisco платит?

Ontopic: Покажи мне Cisco за $200 и с теми фичами что ты написал?
1) Если бы… Да и причем тут циска? Модульные железки у всех есть.
2) Включающуюся — не покажу :) Только причем тут деньги? Речь шла про гарантии бесперебойной работы. Ты не согласен с тем, что софтверная платформа, аналогичная младшим цискиным роутерам, микротикам и прочему, априори не может дать такую гарантию?
Аналогичные младшие цискины роутеры дают гарантию бесперебойной работы — там есть резервация по питанию?
Аналогичные младшие цискины роутеры дают гарантию бесперебойной работы

«Cisco 890 Series Routers enable customers to deliver high-performance, high-availability, mission-critical business applications»
Ну да, стандартный маркетинговый буллшит. Одинокая софтовая коробка без всякого внутреннего резервирования не имеет ничего общего со словами «high availability». Вот если таких несколько поставить — другой разговор.
Ок. Если их поставить несколько и настроить VRRP, сколько я должен буду (примерно) заплатить за оба роутера плюс, за лицензию, которая позволит сделать VRRP?
У циски вообще-то все FHRP, если мне память не изменяет, имеется в ip base…
890-е стоят в районе $1,5k по GPL.

Вы сейчас к чему ведете?
Я рассуждаю со стороны заказчика, к которому подойдёт админ и скажет — для реализации вашей задачи (обеспечить резервирование маршрутизатора, который выпускает сотрудников в Интернет) необходимо купить две Cisco 890 за 3000$ или два RB951 за 150$. Собственно выбор очевиден, либо есть какая-то магия, чтобы убедить меня потратить 3000$?
Магия заключается в словах «cisco» и «поддержка». Последняя, разумеется, за деньги.
И, если магия не действует, или нет денег — покупают микротик :)
Встречные вопросы.
1) Перед вами две шоколадки — одна за 10р., другая за 30р. Обе съедобны. Нужно выбрать одну из них. Ваше решение?
2) Вам нужно выбрать оборудование в количестве нескольких сотен единиц для организации сети диаметром в целую страну. Будем считать, что трафик там ходит редко, но метко, так что производительность в плане мегабитов особо не важна, зато важна доступность. Ваше решение?

Скажем, свитч, на который заведены все сидящие на моем этаже сотрудники, стоит в полной набивке около $100k. Технически, его можно было бы заменить на стопку более простых свитчей с PoE общей стоимостью, скажем, $5k. Как думаете, какая магия позволила нам убедить руководство подписать закупку данного свитча (а у нас много таких этажей с аналогичными железками)?
>Как думаете, какая магия позволила нам убедить руководство подписать закупку данного свитча

откат? ;)
>Перед вами две шоколадки — одна за 10р., другая за 30р. Обе съедобны. Нужно выбрать одну из них. Ваше решение?

Если они одинаковые, зачем платить больше? Пусть вторая стоит 100р, не вижу смысла.
Если они одинаковые

С чего вы взяли? Они разные. Итак — что вы выберете? Иначе говоря — при выборе между двумя разными шоколадками за ничтожную сумму денег, вы будете в первую очередь ориентироваться на цену?
С чего вы взяли что они разные ;)?

>вы будете в первую очередь ориентироваться на цену?

нет.
Я с вами полностью согласен. Я веду к мысли, что оборудование подбирается под задачу. Само собой я никогда б на микротиках не сделал стекуемый свитч на сотни клиентов, а также не реализовал бы маршрутизацию 10гбит сети — это не тот уровень. Но если в офисе на 30 человек нужно обеспечить бесперебойную работу Интернет (2 провайдера и 2 маршрутизатора), то зачем мне покупать Cisco?
Но если в офисе на 30 человек нужно обеспечить бесперебойную работу Интернет (2 провайдера и 2 маршрутизатора), то зачем мне покупать Cisco?

Скорее всего — не за чем. Но допустим, что по железу резервировать нельзя, и надо свести к минимуму риски даунтайма из-за глюков или вылетания железа… При этом килобакс — не проблема.
Если ограничиться килобаксом и только для того чтобы выпустить единственный офис в Интернет, то я бы купил Cisco в надежде на то, что его тоже можно раз настроить, замонтировать в стойку и забыть года на три. Как бонус, ген.дир. бы знал, что у него стоит на службе сама Cisco, а не какой-то Mikrotik ;)
А есть еще и другие бренда, не только cisco и juniper.
Мы активно использует l2/l3 от netgear. Прекрасное соотношение цены и качество.
Можно все настроить как по CLI так и через web. Web почти в 95% повторяет cli.
Это упрощает погружение для новых сотрудников очень сильно.

P.S. Но на магистраль конечно juniper!
Вы про маршрутизаторы или коммутаторы? Если про маршрутизаторы, то если L3 потолок для маршрутизатора, то это низко.
коммутаторы. Зачем раутеры ставит на этажах? L3 или L2+(обычно до 16 маршрутов) могут заниматься роутингом между сетками, если оно надо.
У нас эта ветка комментариев шла в разрезе выбора маршрутизатора.
Я к тому, что многие вещи сейчас на себя берут коммутаторы. роутинг, dhcp сервер, dns cache итд.
Кстати часто встречал это оборудование именно в гостиничных комплексах в разных частях света.
Люблю эти невзрачные роутеры за то, что в них есть всё, что может понадобится обычным смертным людям по цене красивого, но глупого D-Link.
Я не говорю, что Mikrotik- это наше всё, каждому инструменту- своё применение.
Просто приведу примеры где использовал mikrotik:
1) Резервирование нескольких интернет каналов.
2) VPN между центральным офисом и филиалами.
3) Обычный домашний/офисный. Для офисов «фича» queues- это лучший инструмент в борьбе с торрентами и прочими качальщиками.

Раньше пользовался DD-WRT, Mikrotik- вне конкуренции, если не сравнивать в ключе «Он торренты качать не умеет».
Вы лучше напишите, для каких целей вы выбираете роутер.
Для дома, раздавать интернет на 5-10 устройств.
Мне интересно просто стало из-за этой фразы:
Функциональность — По сравнению с Dlink, TP-Link, Zyxell и прочими «домашними» роутерами функционал огромен.
Для таких задач Вам железо любое подойдёт и в данном случае стоит сравнивать не конкретные устройства, а ОС.
Я советую посмотреть в интернете любой мануал по настройке интернета в mikrotik и сравните с настройкой на dd-wrt/open-wrt, если не отпугнёт- тогда думайте дальше. Только смотрите мануал по настройке в графическом интерфейсе, а то нынче консоль в моде.
UFO just landed and posted this here
Боюсь ни один TP-Link не выдержит 40Mbit L2TP+100Mbit локалки в маскарадинге (Домашний интернет Билайн). А вот 951-ый тик прожует.
У меня dir-320 с перепаянной ОЗУ на 64мб и DD-WRT на борту стоял на L2TP билайна. Если не изменяет память- то 40 мегабит- это было пределом, что он мог, или даже меньше.
Сейчас у родителей живёт на PPOE, вполне не плохо справляется и торренты качает на ExtHDD и фильмы показывает на телевизор по WIFI.
На dir-320 (c dd-wrt) с поднятым VPN бывают проблемы — частые обрывы, что интересно не у всех, но ставя массово в провайдинге как WiFi клиент (клиентская точка, вайфай как WAN, и бридж с локалки через VPN), примерно на каждом пятом-шестом наблюдалась такая хрень. Конфигурация типовая подготавливалась и заливалась одним perl скриптом, прошивка одна и та же, так что грешить на dd-wrt не могу, а вот на д-линк…
Проблема рутеров в врт — большой зоопарк железа. тот же дир-320 имеет кучу аппаратных ревизий и совершенно различное по качеству и производительности железо. отсюда и непредсказуемый результат.
У Микротика же линейка довольно стабильная.
Ну в данном случае была одна аппаратная ревизия (тупо закупалось коробками единовременно).

В целом-то согласен.
А у него даже из одной партии качество может быть разным на порядок. Длинк…
Длинки никогда особой надёжностью не отличались. У меня было 3 роутера от делинка и у всех 3-х сгорали блоки питания в течении полутора лет после покупки. В остальном с DD-WRT на борту работали стабильно.
UFO just landed and posted this here
А из бюджетного с WiFi кроме 951 и предложить нечего. Его плюс по сравнению с 751 — 600 МГц проц, против 400, хотя и MIPS оставили.
>А вот 951-ый тик прожует.

Atheros AR9331, 300МГц, MIPS-BE. Такого железа — навалом. В обоих случаях там линукс и надо смотреть что там за pptp-клиент, т.к. одно время pptp был чисто юзерспейсовым со всеми «бонусами» по производительности.

Имелась ввиду модель RB951G-2HnD Процессор: Atheros AR9344, 600MHz Память ОЗУ: 128MB
Вы забыли добавить, что mikrotik можно купить для интереса. Некоторым людям нравится разбираться во всяких крутых и сложных штуках.
Железо как железо, с линуксом.
Разве что у mikrotik'a корпус выглядит более брутально.
UFO just landed and posted this here
линукс и есть ядро :)

на самом деле для роутера там особо и не надо больше: ядро, libc + немного демонов.
Согласен с m0Ray, вся фишка в обёртке над ядром. Я больше нигде(про всякие джуниперы мы сейчас не говорим) не видел такого крутого интерфейса «Всё в одном месте».
А корпус на самом деле брутален, пластик жёсткий, ни единого болта, и маленькие силиконовые ножки. Но это всё круто смотрится.
Я говорил про микротик, но с Vyatta я тоже столкнулся, когда искал решение для одного из офисов, приятная вещь, но на сколько мне известно- только под x86, а хороших решений под x86 очень много.
Ну вам же нужно «все в одном месте». Вот я и предложил.
Из эмбеддед я больше таких решений не знаю
TP-link имеется ввиду на openwrt, мне кажется там это все тоже есть, тот же линукс, даже более гибкий в настройке, разве нет?
UFO just landed and posted this here
ИМХО В общем если вы хотите делать из роутера комбайн- то openwrt, но такому комбайну нужен «комбайнер», корый будет постоянно там подкручивать что-либо. Мне было это интересно, а когда наигрался- поставил необходимый минимум и поставил родителям.
Щас вспомнил одного любителя поиздеваться над железом с openwrt, вот его блог dipcore
Если нужен комбайн, то проще будет поставить уже полноценный linux. Брать напильник и затачивать как душе угодно.
Тут же все просто, конкретная задача, один интерфейс и все хорошо. Особено когда таких роутеров, точек доступа переваливает за 50.
В последней версии RouterOS очень сильно доработали Web UI и теперь там есть всё в стиле «сделать чтоб интернет был».
называется она quick set.
Что самое интересное, провайдеры могут первоначальную настройка затачивать под себя.
Если речь идет об роутере, прошитом в openwrt, то плюсы микротика только в более простой настройке (если настраивать openwrt как обычный линукс) или чуть большей гибкости (если сравнивать настройку обоих через веб-интерфейс).

Если с «родной» прошивкой tp-link'а, то тут разница настолько же велика как и с OpenWRT.
D-Link и прочая хрень рано или поздно виснет. MikroTik — никогда. Аптайм 99.9%, годами.
Аптайм 99.9%, годами.

Лежит по 8 часов в год и по 10 минут в неделю? Слабовато.
Такой тролль… Необязательный ребут для апгрейда версии.
Пару раз в неделю? Или он часами поднимается после апгрейда?
Последние 2 МикроТик железки не перезагружал по 1.5-2 года. Причём это не в стиле «настроил и забыл», а с изменениями конфигурации.
Вынужденные ребуты были только по моей инициативе или из-за долгого отключения электричества.
D-Link, Asus, Tp-link и т. п. стабильно виснут раз в 3-6 месяцев при скромной домашней нагрузке. В офисах вообще швах. С Яблочными роутерами, кстати, те же постоянные зависоны
Ну если железка способна повиснуть из-за софтовых проблем — по моему мнению, роутером она зваться недостойна. Без аппаратного watchdog'а никуда.
D-Link, Asus, Tp-link и т. п. стабильно виснут раз в 3-6 месяцев при скромной домашней нагрузке.
На openwrt виснут?
На родных прошивках, прошивках от Олега и DD-WRT. OpenWRT не ставил.
Раз в месяц, на слабых бордах в течение минуты
Учитывая копеечную стоимость железок, их можно купить две-три, и пункт 9 выглядит слабеньким аргументом. Особенно если две настроить в VRRP, а третью держать отдельно как cold backup на случай физ.повреждения (пожар, перегрузка по напряжению, etc).

Ну и про сложность администрирования / поиска админа — WinBox да и CLI у тиков такие, что человек, хотя бы знающий что такое IP и default route сможет сделать простую настройку (soho-уровня), вечер покопавшись в форумах и мануалах. Попробуйте ту же самую задачу решить на Vyatta или хотя бы чистом линуксе, если к нему раньше не имели отношения!

Конечно, железо не внушает доверия — как-то всё очень бюджетно в руках чувствуется. Но компенсируется смешной ценой. А вот пункт 8 — чистая правда.
Из относительных минусов то что нету вариантов железок с поддержкой IEEE 802.3af (не пассивное POE).
Кажется вы не понимаете, я говорю про POE пл стандарту IEEE 802.3af когда питание передается по линиям данных, в RB750UP используется пассивное POE когда питание передается по незадействованной паре, при это скорость на таком порту 100mb.
Простите, не въехал.
Ну гигабитное ПОЕ микротик разумеет, но только как клиент и только 24В…
Что-то про гигабитное я не видел, физически если по линии передается питание по одной паре, то по стандартам гигабит там не может быть, так для гигабит ethernet должны быть задействованы все 4 пары проводников витой пары!
RB951G, RB751GL, не говоря уже об 433, 711 и 800 сериях — все умеют пое на гигабитных интерфейсах. При этом это не 802.3af в чистом виде, бо там 24 вольта, а не 48, как по стандарту.
Еще раз объясняю, об этом написано в документации, порт может быть гигабитный, но если через него принимается\передается пассивное питание он автоматически работает только на 100mb.
Для POE-out это логично. А для POE-in ссылочкой на документацию не поделитесь? Что-то с наскоку не нашлось.
Если у вас со стороны POE-out 100mb, то и на принимающей стороне POE-in будет 100mb.
Я про питание микротиков через пое от гигабитных пое-нижекторов
Вообще, внизу этот адптер уже привели, и у него реально написано что должен работать на 1gb, но мне как-то не верится, хотелось бы увидеть тест скорости при таком подключение!
Вот вам график.

Два устрйоство по POE



с обычного eternet на poe.

Графики снимались в общей сети, то есть не премое соединение. Ну и нагрузка разная.
Хм… похоже сделали какой-то Хак, надо будет заказать такой инжектор и посмотреть!
Ну точно такой же инжектор есть у planet, ubiquiti и других.

Вот тут обсуждается, внизу есть схемы от техаса в pdf. Сам еще не смотрел.

forum.mikrotik.com/viewtopic.php?t=56299
Есть Poe Over Giga. Линк поднимается именно на гигабит и работает как гигабит.
Стандартный POE — который 802.3af работает только на 100 это да.
Еще раз привожу ссылку. Посмотрите внимательно табличку(если не охота читать текст) 802.3af стандарт изначально может работать как на 100mb, так и на Gigabit ethernet, далее производитель оборудования уже выбирает какой режим использовать! Passive PoE использует 2 пары для подачи питания, соответственно максимальная скорость по витой паре при использовании 2-х пар для передачи данных 100mb!
это я видел.

Далее у меня стоит не один микротик, который работает poe gigabit.

вот вам брошюрка от микратика

i.mt.lv/routerboard/files/GBPOE_s.pdf
Насколько я знаю в IEEE 802.3ab предусматривается задействование всех 8-и жил витой пары! Если с этим адаптером работает на 1 гигабит значит применяются какие-то хаки, вообще сам бы хотел замерить скорость с этим адаптером!
Ну и

Standards-based power over Ethernet is implemented following the specifications in IEEE 802.3af-2003 (which was later incorporated as clause 33 into IEEE 802.3-2005) or the 2009 update, IEEE 802.3at. A phantom power technique is used to allow the powered pairs to also carry data. This permits its use not only with 10BASE-T and 100BASE-TX, which use only two of the four pairs in the cable, but also with 1000BASE-T (gigabit Ethernet), which uses all four pairs for data transmission.

Если все правильно понял, то гигабит идет уже по стандарту 802.3at. + увеличение мощности.

Можно поковырять rfc, но честно говоря лень.
IEEE 802.3at это всего лишь расширения стандарта 802.3af, которое добавляет возможность подачи мощности в два раза больше чем в 802.3af и также как 802.3af может применяться при фантомном питании на скоростях 100 и 1000 Мб/сек. Об этом и написано!
У меня вопрос. Потребительские роутеры, при всёй своей убогости конфигурирования, зачастую предоставляют, как бы это выразиться, высокоуровневые настройки. Например они позволяют настроить QoS (балансировку канала между различными видами трафика), легко и интуитивно потыкав мышкой в настройки в веб-интерфейсе:
«онлайн игры» — высокий приоритет
«онлайн видео» — средний
«HTTP» — низкий

А что-то мне подсказывает, что в профессиональных и полупрофессиональных железках это тоже всё возможно, но только низкоуровнево. Вот тебе, дескать, консоль, сам гугли, на каких уровнях модели OSI работают твои игры/любимые видеосервисы — и сам вручную создавай правила.

То же касается, например, dyndns. В интерфейсе какого-нибудь D-Link или Asus я просто выбираю нужный dyndns сервис из выпадающего списка, вписываю в поля логин и пароль — и всё работает.

Подозреваю, что в «профессиональных» цисках, и в «wanna be professional» микротиках вся настройка только низкоуровневая и ручная.

Вопрос: прав ли я вообще и относительно микротика в частности? Или в нём тоже присутствуют высокоуровневые средства настройки?
В общем вы правы, в доказательство, одна из самых длинных статей которую я видел на хабре Mikrotik-Qos
Mikrotik-Qos

Это какой-то лютый ужас…
Подозреваю, что в «профессиональных» цисках, и в «wanna be professional» микротиках вся настройка только низкоуровневая и ручная.

Как бы это сказать… Можно в цисках высокоуровнево классифицировать:
Скрытый текст
router(config-cmap)#match protocol ?
  appleqtc          Apple Quick Time
  arp               IP ARP
  bgp               Border Gateway Protocol
  bittorrent        bittorrent
  bridge            Bridging
  bstun             Block Serial Tunnel
  cdp               Cisco Discovery Protocol
  chargen           Character Generator
  citrix            Citrix Systems Metaframe 3.0
  clearcase         Clearcase Server
  clns              ISO CLNS
  clns_es           ISO CLNS End System
  clns_is           ISO CLNS Intermediate System
  cmns              ISO CMNS
  compressedtcp     Compressed TCP (VJ)
  corba-iiop        CORBA Internet Inter-ORB Protocol
  cuseeme           CU-SeeMe desktop video conference
  custom-01         Custom protocol custom-01
  daytime           Daytime Service
  decnet            DECnet
  decnet_node       DECnet Node
  decnet_router-l1  DECnet Router L1
  decnet_router-l2  DECnet Router L2
  dhcp              Dynamic Host Configuration
  directconnect     Direct Connect Version 2.0
  dlsw              Data Link Switching (Direct encapsulation only)
  dns               Domain Name Server lookup
  doom              Doom Id Software
  echo              ICMP ECHO Server
  edonkey           eDonkey
  egp               Exterior Gateway Protocol
  eigrp             Enhanced Interior Gateway Routing Protocol
  exchange          MS-RPC for Exchange
  fasttrack         FastTrack Traffic - KaZaA, Morpheus, Grokster...
  finger            Finger
  fix               Fix Protocol
  ftp               File Transfer Protocol
  gnutella          Gnutella Version2 Traffic - BearShare, Shareeza, Morpheus
                    ...
  gopher            Gopher
  gre               Generic Routing Encapsulation
  h323              H323 Protocol
  hl7               hl7 Protocol
  http              World Wide Web traffic
  ibm-db2           IBM DB2
  icmp              Internet Control Message
  imap              Internet Message Access Protocol
  ip                IP
  ipinip            IP in IP (encapsulation)
  ipsec             IP Security Protocol (ESP/AH)
  ipv6              IPV6
  ipx               Internetwork Packet Exchange Protocol
  ipx               Novell IPX
  irc               Internet Relay Chat
  isakmp            Internet Security Association & Key Management Protocol
  isi-gl            ISI Graphics Language
  kazaa2            Kazaa Version 2
  kerberos          Kerberos
  klogin            Kerberos Authenticated rlogin
  kshell            Kerberos Authenticated Shell
  l2tp              L2F/L2TP tunnel
  ldap              Lightweight Directory Access Protocol
  llc2              llc2
  lockd             NFS Lock Daemon Manager
  mgcp              Media Gateway Control Protocol
  netbios           NetBIOS
  netshow           Microsoft Netshow
  nfs               Network File System
  nicname           Nicname Protocol
  nntp              Network News Transfer Protocol
  notes             Lotus Notes(R)
  novadigm          Novadigm EDM
  npp               Network Printing Protocol
  ntp               Network Time Protocol
  ora-srv           Oracle TCP/IP Listener
  ospf              Open Shortest Path First
  pad               PAD links
  pcanywhere        Symantec pcANYWHERE
  pop3              Post Office Protocol
  pppoe             PPP over Ethernet
  pptp              Point-to-Point Tunneling Protocol
  printer           print spooler/lpd
  qllc              qllc protocol
  rcmd              BSD r-commands (rsh, rlogin, rexec)
  rcp               Radio Control Protocol
  rip               Routing Information Protocol
  rsrb              Remote Source-Route Bridging
  rsvp              Resource Reservation Protocol
  rtcp              Real Time Control Protocol
  rtelnet           Remote Telnet
  rtp               Real Time Protocol
  rtsp              Real Time Streaming Protocol
  sap               SAP Systems Applications Product in Data processing
  secure-ftp        FTP over TLS/SSL
  secure-http       Secured HTTP
  secure-imap       Internet Message Access Protocol over TLS/SSL
  secure-irc        Internet Relay Chat over TLS/SSL
  secure-ldap       Lightweight Directory Access Protocol over TLS/SSL
  secure-nntp       Network News Transfer Protocol over TLS/SSL
  secure-pop3       Post Office Protocol over TLS/SSL
  secure-telnet     Telnet over TLS/SSL
  sip               Session Initiation Protocol
  skinny            Skinny Protocol
  skype             Skype Peer-to-Peer Internet Telephony Protocol
  smtp              Simple Mail Transfer Protocol
  snapshot          Snapshot routing support
  snmp              Simple Network Management Protocol
  socks             SOCKS
  sqlexec           SQL Informix
  sqlnet            SQL*NET for Oracle
  sqlserver         MS SQL Server
  ssh               Secured Shell
  streamwork        Xing Technology StreamWorks player
  stun              Serial Tunnel
  sunrpc            Sun RPC
  syslog            System Logging Utility
  systat            List Active Users
  tacacs            Login Host Protocol
  telnet            Telnet
  tftp              Trivial File Transfer Protocol
  time              Time Service
  vdolive           VDOLive streaming video
  vnc               Virtual Network Computing Connection
  vofr              voice over Frame Relay packets
  whois++           Whois++ Service
  winmx             WinMx file-sharing application
  xdmcp             X Display Manager Control Protocol
  xwindows          X-Windows remote access

Но стрёмно это, NBAR много процессорных ресурсов жрет, а на многих аппаратных платформах его вообще нет.
Можно на уровне портов работать.

Распределение по очередям, разумеется, исключительно ручное. Предполагается, что человек, конфигурящий QoS, знает, что ему нужно лучше, чем любая автоматика.

Меня вот в ступор вводят всякие одногалочные веб-интерфейсы. Я не понимаю, что конкретно стоит за этими галками, в документации это разжевано слабо, в результате я нервничаю :)
Но стрёмно это, NBAR много процессорных ресурсов жрет, а на многих аппаратных платформах его вообще нет.
Можно на уровне портов работать.

NBAR2 поговаривают меньше ресурсов потребляет) Да и на аппаратных платформах не нужен «такой» QoS. Там раскраска по DSCP.
и на аппаратных платформах не нужен «такой» QoS. Там раскраска по DSCP.

Ну вообще говоря NBAR и есть та «раскраска» :) Классификация и собственно приоритезация — разные вещи, одно без другого бесполезно.
Все верно. DDNS сервисы скриптами, виды трафика сначала в форвардинге (или где вам нужно) ручками каждый пометить, потом создать дерево очередей, где так же ручками укажите приоритет/скорость/пр. для каждого вида помеченного трафика. Ну и во всем остальном примерно также. Вот, например, даже галочки NAT нету, всё сами, кто, откуда, куда, когда, через кого…
Ну так это же прекрасно!
Ни разу не видел работающий QoS на домашних роутерах. Торрент без ограничения всегда забивает весь канал и никакой QoS никогда не спасает.
В микротике он есть. Правда софтовый, так что на l7 фильтрации железка умрет очень быстро. но он там есть!
Удивительно, но оно там работает. Да же можно выловить торренты. Правда как ниже заметели, больше различных правил — больше забирают памяти и процессорной мощности.
Кстати, есть для firewall есть заготовки p2p :)

UFO just landed and posted this here
Я не настраивал iptv, поэтому могу глупый вопрос задать, для чего там udptotcp? Я всегда думал, что multicast достаточно.
UFO just landed and posted this here
Этого функционала и не будет, т.к. есть igmp proxy
Да, к сожалению приходится делать подобные костыли ввиду отсутствия полноценного igmp snooping
>7. Если вы Ричард Столман или трепетно относитесь к GPL. Потому что да. Нарушают. RouterOS основана на Linux, но что было изменено и как никто не знает.

Как-то далеко этот пункт расположен, сразу и не заметишь. Каждый решает сам для себя, но я стараюсь не покупать продукцию неэтично поступающей компании вне зависимости от её качества.*

*Кроме, признаюсь, клавиатур одной известной компании, которые совсем не имеют достойной альтернативы
Люди, а скажите, если сравнивать RB2011UAS-IN и например DFL860E? Насколько у Microtik больше преимуществ, и вообще?
Намного больше, учитывая неадекватную цену D-Link'а.
А если сравнивать безотносительно цены? Насколько эти железки лежат в одной области? Просто 860 у меня есть, а вот RB2011UAS-IN было бы интересно пощупать.
У меня как-то была пара DFL-810, которые с большим удовольствием заменил на RB1100-AH2, когда филиалов стало больше одного. Маршрутизация у длинка не такая гибкая, свитч там неуправляемый, туннели только pptp(ipsec не в счет). Это навскидку
Опа классно, спасибо, надо будет как-нибудь заиметь железку потестить, посравнивать.
У меня дома по сей день стоит 800-й. А чего там не так гибко с маршрутизацией, простите? Тунели там вполне нормальные, есть PPTP, L2TP, чистый IPSec и GRE. Да, OpenVPN-а нет (и слава богу). Вот то что коммутатор в нем не управляемый — это да, для этого надо лезть выше, но VLAN-ы на всех интерфейсах понимает прекрасно и отлично работает (можно ему транком просто отдать от нормального коммутатора). Кстати аптайма тоже по полтора-два года эта железка держит, но конечно не дома, т.к. с электричеством проблемы.

Есть минусы куда более реальные, например QoS через жопу. И производительность не то чтобы очень крутая, но от железки 2007-ого года грех ждать чудес. Да и на ранних версиях ПО SIP-ALG (типа инспектор) зависал иногда при большой активности по SIP-у, и приходилось килять руками коннекции, в 2.26 такого не видел.
Надуманные минусы: Нет BGP и MPLS. Почему надуманные, да потому, что ни то ни другое даже приблизительно не нужно целевой аудитории этого устройства.

P.S. Раз уж влез. На сколько просто настроить Policy Based Routing и SLA для каждого протокола отдельно на MikroTik-е? Например чтобы при падении основного канала SIP и HTTP на некоторые ресурсы прыгал на VSAT, остальной HTTP и прочий мусор типа VPN-ов на 3G, а торрент вообще отрезался. И желательно все это еще и с совместить с балансировкой по двум интерфейсам из трех. И можно ли на микротике как-нибудь относительно просто воткнуть VPN-клиента в LAN, т.е. чтобы он получал IP прямо из той же подсети? Я не ерничаю кстати, мне правда интерессно, т.к. DFL-800 уже поднадоел, хоть всем и устраивает, а циску домой ставить дороговато.
>И можно ли на микротике как-нибудь относительно просто воткнуть VPN-клиента в LAN, т.е. чтобы он получал IP прямо из той же подсети?

Можно. Не особо трудно.

По поводу балансировки, так же можно реализовать (сам не делал). Но не думаю, что это будет просто. Как минимум надо будет ставить метки на пакеты и уже дальше составлять правила.
Все это будет есть ресурсы машины, надо будет смотреть на кол-во людей в офисе.
В данный момент я интересуюсь для дома. Клиентских устройств не много (от силы полтора десятка) и нагрузка соотвествующая, но у меня дома большая печаль с интернетом, посему три провайдера, ADSL, VSAT и 3G. Пока работает ADSL все хорошо, но РТК — те еще жопорукие ублюдки, поэтому не редко оно валится в даун. Сейчас все это нормально реализованно на DFL-е, хоть на конфиг и смотреть страшно, но делается не очень сложно и понятно, даже с балансировкой, хотя ею там тонко не поуправляешь, но хоть какая-то, чтобы 3G не простаивал.
Про РТК, сам в печали. В загородном доме телефонные провода это ужас. Кое как своими силами, сделал стабильную связь.
с 1 нестабильного мегабита получил кое как 5. Правда в дожди соотношение сигнала/шума падает. Надо будет искать скрутки, ящики и максимально их изолировать. VSAT для меня дорог, нормальные цены на web трафик анлим только со спутника газпрома ямал 300. 3G нет. Можно попробовать пробить йоту, но она в 17 километрах от сигнала :) Времени собирать антенну нет, а готовая с усилением на 30dbi стоит от 12к.

В вашем случаии точно можно сделать балансировку, и точно я видел статью по приоритетам трафика на разные провайдеры.
Как вариант можете взять самый простой микротик и попробовать.
Просто учтите, что такие вещи обычно кушают память и процессор и брать микротик меньше 128 mb я бы не стал.
Определится нужен ли будет гигабит.
Ну скорее всего так и придется. Стоят они совсем смешных денег в общем-то, купить чисто на поиграться вполне можно, а потом, если что либо продать/подарить кому, либо вообще пускай просто лежит. Судя по ответам и отсылкам, пока сам не попробую — не пойму, «оно» или «не оно».

P.S. За VSAT я слава богу не плачу, компания платит.
Ну тогда RB951G-2HnD за глаза и за уши :)
Странно я как-то мимо этих штук раньше проходил, нужны особенно не были. Компания на цисках, дома DFL. А так их можно спокойно, даже за свой счет, ставить клиентам (коих пока не много и в основном крупняк со своими цисками), т.к. от ценника даже на ISR881 некоторые в обморок падают. Думаю класический GRE+IPSec на нем вполне с Циской заведется. А то я думал, что они как DFL-ы стоят, посему не рассматривал, т.к. NetDefend давно известная и хорошо изученная платформа.
Мы уже три года используем для клиентов и удаленных точек.
Я тут давно тут пишу многом, что перепробовали много вариантов. Как вы правильно заметили, от ценника на soho решение серьезных фирм — приходит большая жаба!

Пробовали использовать прошивки ddwrt,openwrt,tomato итд и собирать свои. На базе mini-itx делали свои небольшие пк с linux. Плюнули.

Все это отнимает много сил и времени. Где то, чего то обязательно не хватает. Многие не знаю и не хатят знать linux и тем более, что то править в консоли. (в web интерфейсе например этой функции нет)

В общем microtik занял свои нишу и я считаю успешно.
Еще можно посмотреть фирму ubiquiti ;)
Подобное направление открылось недавно, это не основной бизнес для компании, поддержкой занимались только совсем мажорных заказчиков, и тех кто сам просил. Вот с мажорными проблем не было, у них инфраструктура вполне на уровне и сидят они либо на цисках, либо имеют своего человека, который организовывал VPN до нашего оборудования, и дальше это был исключительно его головняк.
А теперь начали появляться мелкие и средние заказчики. Всякие там xx-WRT и прочие кастомные прошивки для китайского ширпотреба не рассматривались вовсе, варианты x86 с линуксом тоже. Думали DFL-ы ставить, вот надо будет глянуть и на MikroTik, при такой цене легче заморочится и обучить народ.
с ipsec с циской могут возникнуть проблемы…
Теряется связность, хотя sa проде есть. Либо не устанавливается sa вообще. причем, поведение меняется от версии к версии
То есть при поднятом SA пакеты внезапно перестают инкапсулироваться? Забавно… Тогда это вопрос не к взаимодействию циски с микротиком, а к багам самого микротика.
Нас как то проблемы cisco и microtik миновали.
В любом случаи попробуйте.

Статей, как настроить microtik и cisco вогон и тележка.

Да же тут она есть
habrahabr.ru/post/151951/

и на wiki microtik
JDima Дык я и не отрицаю ;)
icCE читал, да. И в интернетах, и на хабре. После двух дней танцев поставил cs1760. настроил минут за 5 и забыл :)
Как-то давно дружили циску и racoon, сталкнулись с подобным поведение. Долго колупались, решилось обновлением последнего.
Ну вот здесь тоже, думаю, могла бы какая-то определенная версия прошивки, но копаться ни времени, ни желания не было
с PBR там все достаточно просто . Любой тип трафика заворачиваете куда вам нужно. Все остальное будет не столь тривиально, но реализуемо. Будет интересно — пишите в личку, мне самому будет интересно это реализовать.
PBR и SLA вполне не сложно, главное конкретно понимать, чего хочется. По второй хотелке — не особо красиво, но вполне реализуемо. По поводу VPN-клиента в LAN — вот именно так не пробовал, но никто не мешает либо ему руками статичный адрес задать, либо разрулить маршрутизацией.
не надо руками, он все получит от dhcp pool.

Мне тут пример vpn сервера написать?
Для меня самым главным достоинством в этой железяке стала цена/возможности. Так что первое место в «плюсах» заслуженно.
Много лет знаком с Микротиком и даже обидно за контору, что она никак не выпрыгнет на enterprise уровень. Система отличная, железо тоже неплохое. Функционал весь есть. Цена копеечная по сравнению с Цисками.
А им не нужен Enterprise. У них чудесная ниша.
Думаете, она их хорошо кормит? На Хабре было много статей о том, что малый бизнес даёт какие-то крохи.
Извините, но в энтерпрайзе им делать нечего. Это совсем другой уровень — софта, железа, поддержки. При этом — никаких гарантий, что оно «взлетит». А тут — любовь весьма узкого, но постоянного круга поклонников.
Пионеров всё меньше. Крупняк всё скупает и ставит свой энтерпрайз. Имхо, перспектив в нынешнем состоянии у них, увы, нет.
Ну остаются еще развивающиеся страны и полудикие рынки (Если посмотреть географию MUM — это Восточная Европа, Южная Америка, Африка, даже США), где проникновение крупняка пока не столь угрожающе. А в РФ у них сверху — крупняк с цисками, снизу — юбиквити, не к ночи будь помянут. Ну и СОХО, конечно. Так что выплывут, куда денутся.
Их за нарушения GPL съедят же. А если они откроют исходники, то китайцы наклепают клонов по $29/штука. Ребята встали на скользкую дорогу изначально.
UFO just landed and posted this here
UFO just landed and posted this here
не выпрыгнут. tilera — очень своеобразная архитектура, которую относительно недавно добавили в ядро.
чтобы получить с неё хорошие цифры — почти всё должно параллелиться. На переписывание всего и вся у них ресурсов нет. Им хотя бы за мейнстримом успевать бэкпортить, да баги фиксить.
А Вы бы взяли в настоящий Enterprise-секторе себе неизвестный бренд из Восточной Европы?
В нынешнем состоянии бренда — нет. Но ведь о том и речь, что состояние бренда никак не меняется, а хотелось бы
А может кто подскажет, 802.11 ac взлетит на микротике? Т.е. будет ли в планах?
Ждем новых чипов и плат от atheros и думаю все будет.
Я уже где-то писал. Но все-таки повторюсь — главный недостаток Mikrotik это моментальная запись конфига при любом малейшем изменении. В циске напортачил что-нибудь — попросил ее перегрузить и все вернулось к последнему записанному конфигу. С Микротиком приходится работать как саперу.
UFO just landed and posted this here
Кнопка «Safe mode» в WinBOX. Комбинация Ctrl-x в терминале. Так же reload реализуется спокойно скриптами (при запуске скрипта делается бэкап, потом если не остановили скрипт, через определённое время он разворачивается).
Как уже сказали выше — кнопка SafeMode позволяет вам откатить изменения в случае, если вы отвалились от роутера в момент конфигурирования.
Опишу, чтобы осталось в истории =)

Схема работы:
T1 — нажали кнопку SafeMode
dT — конфигурячим
T2 — отжали кнопку SafeMode

В случае, если между T1 и T2 произошел обрыв связи с роутером (неважно кто косякнул — админ или провайдер), изменения, произведенные в период времени dT, теряются, и роутер возвращается в состояние, которое было на момент времени T1.

Самое главное — не забывать нажимать эту волшебную кнопку )))

Ну и конечно, это не то же самое, что в DFL, например, но учитывая стоимость, с этим можно смириться.
чего мне не хватает (или не нашел как сделать) в RouterOS
— форвард-зоны в днс-сервере
— обновления днс-зоны при выдаче IP-адреса по DHCP
— аналога mtr (ping / traceroute есть, но mtr в некоторых случаях удобнее)
Форвард делается через level7 (да вот такой вот костыль :D )

обновление какой днс зоны? тут подробнее, может подскажу.
Вам это надо реализовать локально или глобально?

Если локально, то все dhcp работает в microtik как dnsmasq или как предлагаете вы связка isc dhcpd и isc bind.
Ну или еще круче и как bind 10 версии, в котором модульно забили dhcpd.

Если у вас динамический прямой ip (ну и фраза), и вам надо по имени myroute.domain.com заходить на устройство, то да есть скрипты.
Сейчас я дописываю скрипт для интеграции с dns.he.net, что бы при смени внешнего ip адреса он обновлял записи об ip в моей доменной части.
Расскажу о своей практики применения Mikrotik. Началось это ещё когда их железок не было то и в России, не ошибусь если скажу что лет 5 назад.
В организации где я работаю руководителем отдела IT (а тогда ещё просто сис.админом) 15 филиалов по России, компьютерный штат в филиалах достигал максимум 10 компьютеров (в среднем 5), и хотелось как-то контролировать расходы филиала или же удаленно ограничивать их блуждения в интернете. Все филиалы у меня имеют статический адрес.

Для контроля трафика я решил использовать Traffic Flow (он прекрасно работает в Mikrotik'e), статистику перекидывал на свой айпишник где уже в последствии обрабатывал и в случае больших растрат уже точно понимал в какое время кто куда лез.

Чуть позже, стал использовать хоть и не по прямому назначению — HotSpot в локальной сети :) так же создал логины с привязкой по айпишнику (можно кстати и по маку) — директорам, офисникам, операторам с каким-то количеством трафика на каждого сотрудника, через Walled Garden прописал айпишники на которых разрешен «бесплатный» трафик (наши сервера, сайты закупок), а затем скриптом просто раз в месяц данный траф обнулялся и пользователи снова могли повалять балду.

Всем этим управлял микротик установленный попросту на старом системнике (~300 МГц/128 mb оператативы максимум, простенький винт, пару сетевух), притом дабы не тратиться на постоянные командировки я старательно пытался учесть все факты и сразу же настроить всё и сразу, чтобы в филиалах наёмным администраторам достаточно было подключить к сети данное чудо и сразу всё бы заработало. Случались казусы, но, если честно крайне редко, всего 2 случая когда общаясь с администратором говорил куда тыкнуть чтобы что-то донастроить, как правило ошибки заключались лишь в неверном логине/пароле в инет или ограничением по мак адресу со стороны провайдера (микротик кстати легко может его подменить).

Чуть позже, мы стали менять данные машинки на более новые роутерборды, совершенно исполняющие те же функции что и пыле сборник вв иде системника с микротиком. Дошел до того, что сеть из 200 компьютеров подсадил так же с cisco (старенькая 2600 cерия) на Mikrotik rb1200, правда на резерв взял ещё 1 такой же :) ну так… на всякий случай. Итог, если бы не отключение электричества был бы больше — 92d 20:45:34 аптайм, всё прекрасно работает в умелых руках. Не стоит говорить что будет что-то тормозить/лагать, всё посути зависит от Вас. Честно признаюсь, так же были сомнения относительно того как эта железка покажет себя в офисе и одно время держал включенным циску, чтобы если чего… тут же переткнуть провода :) но, слава богу не пригодилось.
Интересное решение с hotspot для разграничения трафика по пользователям.

Это потому что трафик ограничен/платен?

От себя добавлю, для блокировки разных vk.com и одноклассников хорошо показывается себя web-proxy, который работает «прозрачно», но фильтрует по URL с масками.
на тот момент да — трафик был платен :) да думаю даже сейчас актуально, чтобы особо не лазили, в валлед гарден добавить все что нужно для работы — остальное «платно»
8. Минус от пользователя с хабры, высказанным им в одном из постов —
«DrDiza: ставлю клиентам в офис. для небольшой нагрузки — самое то. поствил и забыл. минус в том, что эти клиенты больше не звонят, потому что у них все работает. и платных вызовов у меня все меньше.»

Как соавтор данного изречения не согласен, что это прямо минус.
Можно же клиенту впарить платную ежемесячную поддержку, а работать не придется. потому что надежно.
У меня довольно большой опыт использования микротиков в операторской сети — я не так давно «подсадил» на микротики одного из крупных питерских операторов.
Так вот, что я могу сказать?
По сравнению с длинками/юбиками и прочим low-end дерьмом, железка выглядит просто замечательно. И даже по сравнению с комбайнами на WRT. Есть удобная виндовая конфигурилка (для сервисдеска), есть API. Есть поддержка вендора (какая-никакая, а есть). Есть стабильный модельный ряд (очень больная тема для wrt). Есть однообразный софт (не без багов). Так что если вам нужно легко масштабируемое и максимально унифицированное решение — то это как раз микротик. Да, у него есть свои «багофичи». Да, у него нет гибкости wrt и стабильности циски.
Но, имхо, этим ребятам удалось нащупать разумный компромисс между всем этим, за то и любим.

Хотя нужно понимать — на сколько-нибудь ответственные задачи и большой (сотни мегабит) трафик его ставить нельзя.
>Хотя нужно понимать — на сколько-нибудь ответственные задачи и большой (сотни мегабит) трафик его ставить нельзя.

Ну на магистраль надо ставить серьезные вещи да.
UFO just landed and posted this here
rb751 — как wifi ap и cpe-роутеры под разные странные схемы
rb2011 — как cpe-роутеры для офисов, при этом роутеры админим полностью мы, клиент только заказывает нужную услугу (вайфай, интернет в такой-то порт и тыды)
rb1100ahx2 в центре, как агрегатор eoip-туннелей, ovpn-соединений
ccr1016 только-только начали, я к тому времени уже ушел.
Там много всякого есть, разные схемы — 3г модемы, чужой интернет, резервирование л3 и л2… Если интересно — пишите в личку
Брал MikroTik RB751G домой (сеть — 2 компа + NAS с торрентом Synology + сетевой медиа-проигрыватель Dune HD Smart D1). Настолько стал доволен, что и в офис взял. Но уже модельку по мощнее: RB951G. Ибо в офисе техники побольше + хренова туча виртуалок.

Наконец-то стал представлять что у меня происходит в сети. Очень нравится отображение в режиме реального времени подключенных по Wi-Fi устройств и отображение есть ли эти устройства в Access List. До этого в офисе был Linksys WRT160N V3. Та ещё глючная железка. Приходилось перезагружать раз в несколько дней — Wi-Fi сеть пропадала до перезагрузки. И в сети была анархия. Непонятно какое оборудование работает и является ли оно легитимным, или кто-то несанкционированно к сети подключился.

По безопасности:
Публично известных уязвимостей на текущий момент у этого оборудования не так много. И при правильной настройке эти уязвимости не страшны:

Из того что не понравилось:
доступ к настройкам по WEB по-умолчанию доступен только по HTTP. Для включения HTTPS нужно заморачиваться с созданием сертификата.

P.S. техподдержка в Питере не рекомендует ставить версию RouterOS 6 т.к., по их словам, компания слишком торопилась с выпуском этой версии и рекомендует пока оставаться на ветке 5.х Хотя у меня стоит 6.1. Полёт нормальный
Торопились да. Просто если у вас что то не работает, а должно. Лучше проверить на 5.

Сам сижу с беты на 6.x Переползать не собираюсь.
Давно хочу заменить свой старый домашний TP-Link, которого уже не хватает на 5 устройств по Wi-Fi, на микротик. Даже присмотрел модель MikroTik RB751U-2HnD. Только одна беда: я не нашёл где можно купить это чудо в Казани. Может кто-нибудь подскажет, где? Или только заказывать из Москвы?
Спасибо за совет. Но что-то не могу найти полные технические характеристики устройства. Например, количество антенн. Хотя MIMO как бы намекает, что их там 2 или более.
Ну не только у вас это больной вопрос.

Вот схема

От себя еще добавлю, что имеет смысл ставить внешнюю антенну на прием. Чаще случается, что устройства видят точку доступа, но точка доступа уже не видит устройства.
Случается, наверно, в больших помещениях с кучей стен. Если я не собираюсь отдаляться от устройства более чем на 10 метров, то, может, всё будет хорошо? До микротика я рассматривал варианты с 3-мя внешними антеннами по цене до 3 000 руб.
Но теперь хочу взять микротик потому, что хочется покрутить, попробовать, повозиться с ним =) В общем сейчас мной движит не столько необходимость, сколько дикий интерес.
На ваш взгляд, в таких условиях, микротик справится с основной задачей хорошо?

P.S.: И спасибо на счёт разъяснения про антенны, очень наглядно =)
>На ваш взгляд, в таких условиях, микротик справится с основной задачей хорошо?

а задача то какая? :) Для домашнего использования? Вполне. На 5 устройств? за глаза.

Да, дополнительно антенна нужна если вы очень далеко. В пределах 10 метров хватит внутренних.
Я бы да же сказал, что неплохо бы было снизить уровень сигнала (по умолчанию вроде бы 18, можно попробовать 8-10 или меньше, при включение mimo сигнал увеличивается на 3 )

Именно такая задача и стоит. Бесперебойная и стабильная работа на максимальной скорости в маленькой квартирке, там даже 10 метров не наберётся, если честно. Спасибо за совет, на днях попробую заказать RB951G-2HnD. Буду удовлетворять своё любопытство =)
Ну вот вам еще для затравки анализатор спектра



P.S. Видимо я сегодня по комментариям сделал свой день :)
mikrotik.ru Попробуйте здесь. Заказывал у них в регионы, нареканий нет.
Про RB951G-2HnD поддерживаю.
Что-то с трудом могу себе представить задачу, в которой трафик превышает 100 Мбит/с и при этом устройство должно питаться от PoE. Если только радиомосты типа Siklu, но там очевидно всё.

P.S.: Простите все! Ответил не туда.
Ну только радиомосты, да. Главная ниша микротика.
p.s. простите, невнимательно комментарий прочитал
Честно говоря, радиомосты у микротика не очень впечатлили. На ubnt всё гораздо стабильнее работает — пинги меньше, CCQ выше, процент потерь значительно ниже. Хотя, возможно, я просто не умею их готовить.
Сильно зависит от модели. Линки на 433 бордах живут годами и не чихают. А последние Metal/Groove совсем не впечатляют. опять же, микротик позволяет добиться меньшего шума и бОльших скоростей более тонкой настройкой. У убнт такого нет — включил, навел, работает.
Так что да, возможно просто не сумели «приготовить». Возможно, не повезло с моделькой. Убнт при этом остается «рабочей лошадкой», простой как валенок, и которую, при случае, и пристрелить не жалко.
Два Метала + Две китайские сетки по 29дБ + 5ГГц (естественно) = 19 км на канальной скорости Tx/Rx 121/121 Мбит/с, реальная скорость при прокачке с одной стороны на другую копированием большого файла с компа на комп ну где-то мегабит около 50-70. Живут уже почти год, запитаны по PoE, без нареканий.
Судя по темам на НАГе, сильно плавает качество — кому-то везет, кому-то не очень…
Качество плавало, когда вместо Металов стояли RB800 с R52Hn, да и уровень сигнала на них оставлял желать лучшего на таком расстоянии…
RB800 это вообще франкенштейн)) Греется, дорогой, горит часто…
Ну в железном корпусе в стойке еще ничего. Но на улице да, согласен с Вами полностью.
Очень жаль, что у Микротика настройки применяются на лету. Было бы хорошо, если бы проведенные изменения в конфигурации откатывались бы в случаях, если они не были подтверждены в течение какого-то времени.
Вы не упомянули среди плюсов очень полезную особенность: RouterOS почти не позволяет «выстрелить себе в колено» (хотя при определенном таланте это удается).

Если есть ethernet до любого интерфейса микротика, можно подключиться WinBox'ом или MAC telnet'ом (если вы не отключали данные фичи) к девайсу и восстановить его практически из любого состояния.

Ну и возможности бэкапа: во-первых, при выполнении сброса по умолчанию создается бэкап на состояние «до сброса», а во-вторых, если не полениться и настроить ежедневную отсылку бэкапа на почту, то вы, можно сказать, обеспечили себе спасенные нервы.

Только что я удаленно восстановил работоспособность случайно уроненного RB1100AH, находясь за 15 км от него, но имея ethernet-доступ по оптике.
насчет выстрелов в ногу достаточно одну единственную кнопку нажать, я сам люблю микротики, но часто бывает что-то натроешь потом забудешься или кто-то из коллег нажимает кнопочку сейв в квик сетет, и все потом проще восстановить настройки с последнего бекапа чем ловить изменения, половина настроек слетает, например один из ip шникоов вдруг переселяется с нужного бриджа на вафлю, добавляются левые правила в nat, опускаются все pppoe соединения и тд.
по поводу микротик vs альтернативные прошивки на линупсе для устройств класса дир300 все просто: если у конторы/частника есть дир 300 и нет желения что-то покакупать но «тыжпрограммист сделай чтоб у нас был гостевой файфай и вот соседям ещё интернет надо и сайтик за натом» это работа как раз для таких поршивок. Если контора говорит не хотим переплачивать за выделенный шлюз или профессиональную железку но хотим пару вп-нов, шейпинг и возможно захотим что-то ещё через годик то это однозначно работа для микротика.
Sign up to leave a comment.

Articles