Mikrotik vs Старый ПК, проблема выбора в малом предприятии

    В малых предприятиях остро стоит вопрос экономии при закупке оборудования, зачастую этот вопрос решается отказом от закупки, если можно заставить работать имеющиеся. В этой статье я хочу поделится своим опытом в этом вопросе и осветить основные причины, почему многие делают именно так.



    История и причины


    Начнем с истории, для чего вернемся на 7-10 лет назад. В те времена выбор был не богат:

    • Домашние роутеры от уважаемых сейчас китайских производителей до 2500 р., функционал достаточный для микрокомпании на 5 человек в одной комнате. Программная составляющая подобных роутеров крайне скупая, хотя железо бывало и довольно резвым.
    • Роутеры для малых предприятий от именитых производителей, цена уже от 8000р., но вот функционал не намного богаче. Где-то поддержка dual-wan, где-то даже IPSec.
    • Старый ПК под спец. Linux или с самостоятельно настроенным дистрибутивом общего назначения (встречались и апологеты Windows, но это не мой выбор). Тут уже возможностей много, а железо, хоть и старое, для нужд шлюза было очень даже годным. А кроме шлюза он может быт и АТС, и почтовым сервером, а до кучи еще и файлопомойкой!

    В большинстве случаев (и я сам придерживался такой политики из-за отсутствия достойной альтернативы по деньгам) выбор падает на ПК. За такой выбор и низка цена (условно бесплатно, за старичком уже никто работать не хочет, а выкидывать: амфибиотропная асфиксия (Жаба душит)), и безграничные возможности по работе с напильником.



    Последствия выбора


    В случае домашних роутеров, проблема одна: он почти ничего умного не может, ни QoS (а VoIP то уже тогда начинал шагать по стране), ни туннели с приличным шифрованием (PPtP по сути не защищен никак), ни Dual-WAN failover. Тут уже, даже если сильно извращаться с альтернативными прошивками, но начинаешь смотреть в сторону Linux, особенно, когда за 8000 р. счастья большого тоже нет, и вот он, выбор многих.

    Старый ПК с Linux: мощь CPU (а он значительно мощнее того, что в домашних роутерах (да и в начальном уровне не домашних тоже)), много дискового пространства, можно замутить proxy и учет трафика и много всего, и ОЗУ вдоволь.

    Но проблемы приходят с другого фронта: старое железо склонно глючить, а самописные скрипты для Dual-WAN & Failover зачастую очень хрупкие (написать устойчивый скрипт — не простая задача). Доп. сервисы тоже не добавляют стабильности.

    И проблем особых конечно нет, пока компания все еще маленькая, и филиалов тоже мало, и нет большой зависимости сервисов одного филиала от сервисов в другом, особенно, если интернет не является важной частью бизнеса (ага, сейчас да и без интернета). Но чем дальше, тем ситуация становится хуже. Неожиданные отвалы связи из-за железа или софта (к примеру, у LXC есть нехорошая бага, после того как через интерфейс контейнера пробежит большой объем трафика, интерфейс впадает в deadlock, что выражается в частичной доступности контейнера, а при попытке перезапуска к deadlock lo интерфейса хоста контейнеризации, а затем необходимости полного перезапуска машины). И тут уже привет от недовольного начальства, сотрудников и клиентов: письма не ходят, АТС молчит, файлы недоступны, а админ грустит.

    Наши дни, что можно сделать?


    Маршрутизаторы Mikrotik и RoS привлекли меня первоначально своей ценой: за 3500 р. легко приобрести маршрутизатор, в котором будет:

    • Пакетный фильтр как и во взрослом Linux (ну почти, кой чего нет, а кое-что есть и своё: глобальная очередь, к примеру)
    • Хорошее железо, и оно действительно хорошее, не быстрее чем у старичка ПК, но зато вполне стабильное
    • Туннели разных видов, жаль немного, что OpenVPN старый, но и без него все хорошо получается
    • Отличная штука: winbox. Благодаря ему я стал понимать пакетный фильтр в Linux на порядок лучше. Хорошая визуализация настроек очень полезная вещь. Да и вообще визуализация ряда моментов (отслеживание соединений в реальном времени, к примеру) очень сильно помогают
    • Хороший CLI, в отличии от многих других (Zyxel и D-Link мне сильно не нравятся), я в нем освоился очень быстро
    • Контроллер WiFi сети (CAPsMAN): конечно, до уровня Cisco еще далеко, но уже умеет многое, даже сеть получается с весьма гладкими швами
    • По сравнению с ПК, выход на рабочий режим за 8-12 сек, в то же время ПК может еще только BIOS прогрузить. Это важно для ситуаций, если от интернета и доступа к другим филиалам зависит бизнес, тут каждая секунда запуска разрывает телефон звонками: ну когда-же! У нас тут клиент! Нам работать надо!
    • Без особых затруднений строится Multi-WAN с балансировкой и Failover
    • Очень хорошее WiFi железо. Разворачивал WiFi на выставке (для павильона компании с применением RB951U2nd), в итоге, при 600 WiFi клиентов в округе (к нашей точке подключено было около 20 сотрудников и 15-20 гостей) и 40 чужих точек в округе, удавалось прокачать около 2 Мбит/сек. Я считаю, что это хороший результат для точки, не предназначенной для таких условий, да при такой зашумлености эфира
    • Оперативно работающая тех. поддержка, несколько багов они исправили после моих обращений.
    • MetaROUTER (не на всех моделях работает): если что, можно запустить несколько виртуальных роутеров или OpenWRT.
    • Довольно продвинутый скриптинг
    • Большинство питается от источников питания с вольтажом от 7В до 30В и поддерживает Static POE с таким-же разбросом вольтажа. Это очень помогает, когда надо поменять БП, подходит почти любой :)

    К недостаткам можно отнести:

    • Отсутствие DNS proxy
    • Встроенный RADIUS сервер не умеет авторизовывать WiFi
    • IPv6 есть, но его поддержка довольно скупа, что пока еще не очень критично
    • IPSec, который не работает в ряде специфических случаев (вот один из таких: Mikrotik L2TP/IPSec за NAT: ipsec,error failed to pre-process ph2 packet)
    • CAPsMAN не умеет работать в качестве промежуточного контроллера, что не позволяет управлять всем WiFi компании по всем филиалам. Если связь с контролером пропадает, то WiFi отключается :(
    • Возможно еще что-то, но это я пока наверно не использую

    Эпилог


    Конечно, это сильно не техничеcкая статья, а больше сборник моих впечатлений от RoS и RouterBoard. В свою компанию я купил уже много роутеров Mikrotik, и пока мне не пришлось сожалеть об этом. Уход от старых ПК устранил львиную долю проблем с сетью.
    Если вы все еще используете старые ПК в качестве шлюзов, задумайтесь, возможно, стоит вынести роль шлюза на отдельное, предназначенное для этого решение. К вашему выбору и 5-ти портовые вариации, и 24-х портовые (с аппаратным VLAN) и много других, включая модели с аппаратным ускорением шифрования. Отдельного внимания, для небольшого офиса, заслуживает MIKROTIK CRS125-24G-1S-2HND-IN, тут вам и 24 порта и WiFi на боту, CPU способный прокачать до 50 Мбит/с с QoS как в этой статье: Mikrotik: Балансировка в КПСС и соблюдение скоростного режима или до 20 Мбит/с через VPN с шифрованием (к сожалению, нет аппаратного ускорения шифрования).

    Only registered users can participate in poll. Log in, please.

    Пользовались ли вы оборудованием Mikrotik или RoS?

    • 78.4%Да382
    • 21.6%Нет105

    Если пользовались, как вам понравилось железо?

    • 10.9%Не пользовался47
    • 3.9%Плохо, не стабильно17
    • 22.5%За свои деньги — хорошо97
    • 43.8%За свои деньги — отлично189
    • 18.8%Очень хорошо81

    Если пользовались, как вам понравилась RoS?

    • 31.4%Не пользовался117
    • 3.8%Плохо — глючит и не работает как надо14
    • 5.1%Плохо — нет нужного мне функционала19
    • 29.0%Хорошо — есть почти все, что мне надо108
    • 11.8%Хорошо — есть все, что мне надо44
    • 30.3%Отлично — есть даже то, что мне еще не надо113

    У вас шлюз сделанный из ПК

    • 40.4%Не буду переходить на Mikrotik, не убедили, меня все устраивает82
    • 11.3%Буду переходить на решение другого производителя23
    • 48.3%Буду переходить на Mikrotik98
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 132

      +2
      А почему не рассматривается вариант x86 ROS на ПК?
      Вроде и выкидывать ничего не нужно и настройка будет привычнее, для администратора знакомого с ROS (минусы решения останутся, но кажется что они не критичные, если мы говорим про бюджетное решение)
        +1
        x86 ROS

        CHR еще можно
          0
          Основное: нестабильность старого железа. В моей ситуации выгоднее железка от Mikrotik, которая занимается сетью, а старичек тянет остальные сервисы (все так-же глюча), но имеется тогда возможность переключить пользователей на другой сервер, главное, что сеть есть.
          RoS x86 хороший вариант для очень большого трафика и большого числа туннелей.
            0
            как ни странно из опыта — старое железо, особенно серверного уровня, работает существенно стабильней чем обычный микротик. например тот же hex. у меня по сети стоит порядка 100 железок на ros. и из них самые стабильные — это древние сервера работающие под ros. за 7 лет только на одном поменял жд. больше никаких претензий к ним не было
              0
              Такого богатства у меня не было. Старые, и не дорогие еще при покупке обычные ПК.
            0
            Причем под ESXi. В соседних виртуалках можно запустить сборщик логов, контроллер сетевого принтера, Linux, управляющий APC, и всякую подобную мелочь. Единственный, пожалуй, минус, это необходимость внешнего свитча. У меня дома подобная конструкция живет довольно долгое время без каких-либо проблем на i3-2100T и 8 Gb RAM.
            +4
            ыход на рабочий режим за 10-15 сек, в то же время ПК может еще только BIOS прогрузить. Это важно для ситуаций, если от интернета и доступа к другим филиалам зависит бизнес

            если бизнес не находит деньги на необходимое оборудование, значит не так уж он и зависит от связи
              0
              А вариант отключения питания (не смотря на наличие ИБП)? Это небольшой, но плюс.
                0
                Еще, недалекое в таких вопросах руководсто выкладки по надежности понимает исключительно не верно. Говоришь, что оно глючит, спрашивают как часто (к примеру раз в неделю). Тут-же спросят, а как долго исправлять последствие глюка (15 минут + дорога). Тут экономист пишет себе +1 в экономию и заявляет: все фигня, 15 минут мы потерпим. Потом, когда оно случается, про дорогу уж точно не помнят, а 15 минут воспринимают как вечность. И на указание о «плохом» решении тычат в тебя пальцем: ты же говорил, что оно глючит раз в неделю, почему оно заглючило сейчас, когда нам срочно надо!
                Дело двигается только тогда, когда главный в бизнесе понимает, что экономист наэкономил 3500р там, где компания потеряла 50000р из-за простоя, и вставляет экономисту указание, что вот тут больше не экономить (правда это решает проблему только в этой конкретной ситуации, в других все будет так-же до первых убытков, которые явно больше экономии).
                  +1
                  Дело двигается только тогда, когда главный в бизнесе понимает, что экономист наэкономил 3500р там, где компания потеряла 50000р из-за простоя


                  Это решать не мне и не вам — а конкретному руководителю конкретного предприятия.
                  С высоты своего полета он видет больше.
                  Закон экономики таков, что сейчас деньги дороже чем потом. И возможно сэкономленные сейчас 3500 принесут большую пользу чем те 50 000, которые еще непонятно будут или нет.

                  Когда то очень давно работал я сис. админом и закупил более производительные (и дорогие принтера), потому что рассчитанные на домашнюю нагрузку быстро выходили из строя.

                  Директор как то упустил этот момент и принтера я купил мимо его (ну или он не глядя подмахнул счет). Потом когда увидел их, удивился, посмотрел цену. И у нас с ним произошел разговор по поводу экономической адекватности этой покупки.

                  Оказалось, что дешевые принтера говно, да, но они стояли у каждого сотрудника. Да, они медленные, да иногда они выходили из строя, да катриджа хватало не надолго. Но это было экономически выгодно. Те простые принтера было проще (и не жаль) просто выкинуть по исчерпании ресурса.

                  А дорогие мною выбранные — да круче, да быстрее, да лучше, да картритж реже менять. Но они слишком дороги. Экономически не эффективны.

                  А простой… Это не Микротик решает, а квалифицированный спец и 2 устройства (основное и запасное), не важно чем будут эти 2 устройство (ПК или Микротик).
                    0
                    Это хорошо, когда руководство осознает, из чего будет выполнено то или иное решение. Хуже, когда ты прямым текстом говоришь, что это г@вно и палки, и экономия этого материала уже за гранью добра и зла. Но часто, я получаю указание экономить даже г@но, и когда остатки палок, слепленные остатком г@на работают именно так, как я и обещал (откровенно хреного), мне говорят, что г@но надо класть шпателем, а не лопатой, и палки не той кривизны.
                    Нецелесообразная экономия — хуже, иной раз, расточительства.
                      0

                      Меняйте работу в таком случае. Не спеша, плавно — но меняйте. Иначе превратитесь в крутого спеца по наложению г@вен шпателем особо тонким слоем. Как говаривал один старик: "побеждает тот волк, которого мы кормим" (с)

                        0
                        Виноват в этом ты.

                        Руководитель не специалист в этом вопросе, он потому и нанял тебя что специалист ты.

                        Умение разговаривать и отстаивать свою точку зрения в техничеких вопросах — это такой же профессиональный навык как и собственно знание этих технических вопросов. От того, что ты где-то спрятовшись в углу пишешь на Хабр про Микротики и других интересные вещи, но не можешь их внедрить у себя в конторе — пользы от тебя твоей конторе мало и как техническому специалисту тебе платить больше не целесообразно экономически.
                        Руководитель видет экономическую картину предприятия в целом, а не так кусочно как ты. И то, что с тобой не соглашаются и хотят говна, то подумай — возможно, действительно экономически целесообразнее тебе платить копейки за поддержку говна, чем покупать хорошие вещи.

                        Ведь известно, что квалифицированные специалисты дороги. Например, проще купить более мощный сервер, чем платить программисту за ускорение программы, работающей на сервере. Если в твоем случае полностью наоборот — проще платить тебе, чем купить нормальное железо, то мне за тебя грустно.

                        Чем больше я спорил, чем больше я аргументировано отстаивал свою профессиональную точку зрения — тем проще было впоследствие согласовать повышение зарплаты, так как с точки зрения руководства они получали от меня то, за что платили — высокопрофессиональные констультации.

                        Соглашатели — дешевые сотрудники, в глазах руководства.

                          0
                          Согласен, но не во всем. Реальный пример:
                          Заметил плохую тенденцию (за пару месяцев до реальных проблем). Сделал анализ, написал подробный отчет с прогнозом (в данном случае рост числа пользователей 1С, сервер уперся в ОЗУ), начались проблемы с умиранием процессов из-за нехватки памяти. Проблема ясна, предложено три варианта решения: с перспективой на рост, без перспективы и костылинг для снижения последствий сбоев (тупо выгонять «не важных» при достижении порога в 90%). Первые два варианта: расширение ОЗУ (все слоты были уже заняты, пришлось бы менять всю память) или дополнительный сервер (по цене, на 40% выше чем замена всей памяти). Но ответ был убийственным: но как-же так, раньше то мы работали, почему так? Объясняешь, добавились сотрудники (это отдельная песня, сообщить о новом человеке в день его выхода на работу, повезет если вспомнят за неделю), серверу не хватает ресурсов на всех. Нет, говорят, сейчас покупать ничего не будем, у нас отчеты, нет времени. Тут уже на отчетах все начинает валится по памяти, все начинают бегать на ушах. Говорю, давайте память хоть купим, её быстро поставить можно, простой минимальный. Нет, тут не до этого, отчеты!!! Ясень пень, после сдачи отчетов проблем стало чуть меньше (запросы чуток похудели), вместо падения каждый час, стали падать каждые три (пользователей то не стало меньше). В конце, когда самый главный узнал, что проблема в экономии, деньги на новый сервер (с конфой «в потолок») нашлись тут-же, и счет оплатили в тот-же день.
                  0
                  IPv6 есть, но его поддержка довольно скупа

                  А можете чуть подробнее раскрыть тему? Чего-то не хватает?
                  Собираюсь купить RB3011 и хочу быть уверен, что смогу перенести на него существующую IPv6-сеть (довольно развесистую).

                    0
                    Мне крайне не хватает Layer7. Без него QoS для VoIP (rtp) сделать очень сложно. DCSP можно доверять только внутри сети, а из вне уже низя (и от туда он уже сброшенный приходит). SNI тоже не применить.
                    Остальные моменты я даже пока не рассматривал, в IPv6 я пока не до конца поверил :)
                      0
                      Не совсем по теме, конечно, но ведь просто Linux тут тоже рассматривается… А если для «вычленения» RTP использовать helper? Типа iptables -A… -m conntrack --ctstate RELATED -m helper --helper sip… --set-dscp или --set-mark.
                        0
                        Как минимум по тому, что есть TLS (SIPs) и SRTP. Conntrack и в большом Linux не самым лучшим образом работает с SIP (благо Asterisk и другие клиенты/сервера уже давно умеют обходиться без помощи). Плюс, как давать приоритет всяким youtube, если на данный момент SNI matcher в ipv4 есть, и тот работает по сути на layer7 (для нас сделали удобнее)?
                          0
                          Я могу и ошибаться, так что поправляйте. Но QoS должен работать на всем маршруте. То есть по факту, если вы настроите его на своем роутере, то только там и произойдет обработка приоритета трафика, что, в принципе, можно разрулить и на втором уровне, завернув весь voip-трафик в отдельный vlan.
                          Хотя, конечно, с QoS покошерней будет.
                            0
                            На всем пути: это очень хорошо, но в большинстве случаев, хватает пограничной обработки. Хотя явление микрошторма или перегруженность uplink порта никто не отменял и именно для этого проставляются приоритеты пакетов на layer2 (на оснавании DCSP к примеру) и коммутаторы тогда могут принимать решение о пропускании в нужном порядке пакетов (это если они с мозгами).
                            Решение с VLAN покрывает не все аспекты. Примеры: VoIP в отдельном VLAN для стационарных телефонов, а VoIP софтфон может быть на мобилке, ПК или ноуте. Это уже как минимум не гуд.
                            Размечать как VoIP весь udp трафик с пакетами 50-210 байт (специально выбирал несколько разных кодеков) конечно вариант, но не очень точный. Тут проблема в наличии протоколов, у которых нет фиксированного с одного конца порта, и с таким работать без Layer7 крайне трудно (не на всех клиентских устройствах можно политику DCSP выставить, да и только половина маркированного трафика никак не поможет).
                            0
                            Не заглядывал в исходники, но у меня он работает с RTP при
                            iptables -t raw -A PREROUTING -s XXXXXXX -i ethX -p tcp -m tcp --dport 5061:5062 -j CT --helper sip (Ядра 3.1Х и 4.ХХ)
                              0
                              У вас SIP с TLS так работает?
                                0
                                Забыл сказать. Упомянутые 2 правила стоят на маршрутизаторе (в -t raw для «подключения» хелперов, и в FORWARD для разрешения UDP в сторону SIP сервера).
                                Насчет TLS… по крайней мере до нужного порта пишет [ASSURED] mark=0 helper=sip use=1
                                  0
                                  … А можно использовать -m recent для тех кто ломится на порты 5060-6062. Можно вообще записывать временно в ipset тех кто успешно зарегался на sip сервере. Костыли, конечно, деревянные, зато работают железно…
                                    0
                                    Conntrack никак не поможет с SIPs, если ему не расшифровывать сессию. Не комеоческих решений подобного плана мне не известно.
                        0
                        «Старое железо» понятие очень растяжимое.
                        Ноут с Сore 2 duo 2.2GHz, 4Gb RAM, 1Tb HDD. Аптайм 20-60 дней, перегружается за 20-25сек. Старый аккумулятор держал заряд по 10-15 минут до недавнего времени, сейчас новый ~2 часа. Всё это в форм факторе ноута 14". Мне пока сложно придумать этому замену.
                          0
                          Безусловно. Вот около полугода назад, на засоуженный отдых отправил машину на AMD Athlon X2, с 1Гб ОЗУ в одном дальнем филиале. Его место занял RB270Gr3
                            +1
                            А как решили вопрос с сетевыми интерфейсами? С их весьма скудным количеством. USB сетёвки особого доверия не внушают.
                              0
                              Карта расширения медью на роутер.
                              image
                              USB сетевки (из наличия) не смогли удерживать максимальную нагрузку во время тестирования.

                              Кстати, возможно меня не правильно поняли — не противопоставляю сборки на старом железе спец.железу. Сравнивать напрямую такой компактный комбайн(файрволл, прокси, файлообмен+антивирус, ибп) на базе ноута при его цене — не имеет смысла. Они выполняют разные задачи.
                            +5
                            После Микротика других роутеров не существует, потому что лучше только настояйщий энтерпрайз за настоящие энтерпрайзные деньги.
                              –1
                              Есть еще роутеры Ubiquiti c Debian + Vyatta на борту. Правда, на вид монтаж smd чуть хуже, но зато есть полноценная ось.
                              0
                              Старый ПК под спец. Linux или с самостоятельно настроенным дистрибутивом общего назначения

                              Мне действительно интересно (не глумлюсь) — в подобных случаях жесткой экономии, при выборе mikrotik vs <конструкция выше> в рассчет берется только текущая стоимость нового железа (т.е. mikrotik)? И дальше «можем/не можем позволить себе купить»?

                              Ведь если рассматривать полную стоимость владения, то выбор в пользу нового специализированного оборудования становится очевиден. Например, пусть зарплата админа 22т.р. (по 1т.р. за рабочий день). Пусть на первоначальное приведение в порядок «старого компа», настройку linux и т.д. он потратит 1-2 дня — это уже 2т.р. из 2,5тр за mirotik для «микрокомпании на 5 человек в одной комнате». Для больших сетей цифры будут другими, но принцип не изменится. Тем более, если учесть потери от «привет от недовольного начальства, сотрудников и клиентов».

                              Есть стойкое ощущение (в т.ч. и от своего опыта), что в подобных ситуациях руководство просто идет на поводу неполной информации от админа, которому в т.ч. интересно занять себя сборкой подобных конструкторов. С другой стороны, донося полную информацию о переспективах покупки нового железа, надо быть более адекватным и не брать топовые решения там, где можно обойтись более простым выбором. И люди к вам потянутся :)
                                0
                                К сожалению, не всегда удается это донести тем, кто сидит на деньгах и меряет все текущим моментом: сейчас «бесплатно» слелают то, что стоит денег, а при проблемах накажем админа, что он плохо делает свою работу. И таких ситуаций вагон :(
                                  0
                                  Да хоть и не «накажем». Это сильно влияет на психику. Когда для wi-fi моста между двумя зданиями купили, не направленные антенны и аксес поинты, про это разговор свернули через минуту, а бытовые роутеры нонейм за 800р. Вот тут я прям ругался, кричал-хотя-б асусы за 1.5(тогда).
                                  Нет, за зависание этого не наказывали, и даже не ругали. И даже посылали кого-то с телефоном перезагрузить их(как вы понимаете, админ там не может быть на полный день).
                                  Но как-же это доставало, во первых «Опять!», а во вторых безысходностью, ибо в ближайшее время это не исправить.
                                  Это был принципиальный подход, соответственно, и проблема была не только описанная. Задолбали, ушёл.
                                    0
                                    Да, это очень серьезный повод для снижения мотивации работать. Когда заранее знаешь, что будет работать плохо, а сделать просто нормально не дают. И другим сотрудникам часто бесполезно объяснять, что ты сделал все, что мог, тебя все равно будут тыкать: вот я работал в другой компании, там все работало, а у вас тут все плохо.
                                  0
                                  В микрокомпании на 5 человек не будет отдельного админа. Его роль выполняет кто-то из сотрудников (и почти наверняка в микротике не разберётся) — и они купят домашний роутер.
                                  Если же компания побольше, не имеет критичных сервисов, а админа держит для помощи пользователям, замены картриджей и первоначальной установки нового оборудования — то нельзя приписывать 2 дня работы админа как цену нового роутера просто потому, что эти дня ему и так оплатят (и понимая квалификацию админов в таких компаниях — на микротик у него уйдёт те же 2 дня).
                                  Возможно, когда у вас десяток админов, 100 филиалов и тысячи единиц только сетевого оборудования, то и таймменеджентом айти-отдела надо управлять жёстко, считая часы работы по задачам. Но это редкость, и там не стоит вопрос «микротик или РС».
                                    0
                                    Уж незнаю, в микротиках из коробки уже давно идет вполне адекватная настройка основных служб. На уровне тех самых домашних роутеров. Вот соорудить что-то серьезное, типа Multi-WAN или QoS уже не так и легко (если не разбираться с нуля), но хороших статей по подобным задачам полно, и если админ имеет достаточно квалификации для аутсорса или поддержки многофилиальной сети, то он должен с этим справится за несколько часов, но никак не дней.
                                    0
                                    Вот смотрите, на фирме есть админ. (раз вы про ЗП, а не про оплату спец конторе). Загружен процентов на 50-80 в норме, на 150 в пике. Соответственно, старый ПК он настраивает в свободные 50-20% времени, совершенно бесплатно для фирмы.
                                    0
                                    У меня используется pfSense в виртуальной машине VMWare ESXi, и после 5-6 используемых до этого роутеров проблем вообще нет — все работает, перезагрузки только при обновлениях, работают любые сервисы и службы, очень гибкая настройка всего, не тормозящий OpenVPN (и клиент и сервер одновременно).
                                    Работает в режиме 24/7 уже года 3 и менять на «железный» роутер в ближайшем времени не собираюсь.
                                      0
                                      Могу только порадоваться за вас. У меня проблемы всплыли при существенном росте нагрузки. Плюс, сам подобный сервер тянул еше АТС, почту и шару. В итоге дешевле было вынести шлюз в «железо».
                                        –1
                                        pfSense умеет и свое железо, не намного дороже. А если роутер еще тянет паразитные задачи, то это офис на два стола, три телефона. Хотя, в определенных случаях замены микротику нет.
                                        0
                                        То же самое, но на HyperV. Да и перезагрузки только при обновлении ядра, в остальном случае обновляется с перезапуском зависимых служб.
                                        0
                                        За обратные слеши в тексте надо четвертовать. «Новые правила подъехали...» ©
                                          0
                                          Про старое нестабильное железо и Mikrotik.
                                          drive.google.com/file/d/11aNpo5nqrc28AoTuGoSwPRbvLaH-waFR/view?usp=sharing
                                          Если я правильно трактую свой скриншот, то на это железо Mikrotik я поставил в 2007 году. Это какой-то брендовый Dell или вроде того, на нем аж Pentium на 500 Мгц, 64 мегабайта памяти и какой-то древний hdd. С тех пор он раздает интернет по проводу и wifi, включен без бесперебойника, при проблемах с электропитанием жестко вырубается и потом включается, загружается и продолжает выполнять свои функции дальше.
                                          Я вот прямо через него в интернет хожу. Есть в хозяйстве и нормальное железо на Mikrotik.
                                          Пост ради забавы больше :)
                                            0

                                            MetaROUTER с OpenWRT перестал вешать/перезагружать железо?
                                            Да и сборки OpenWRT оставляли желать лучшего
                                            А так при стабильной работе могли бы покрыть недостатки, такие как кривой openvpn, плохая поддержка ipv6 которые можно было запустить в виртуалке openwrt

                                              0
                                              А производительность?
                                                0
                                                Не тестировал. Там работа как в контейнере, должно быть достаточно быстро.
                                                  0
                                                  С производительностью точно все в порядке, но зависания привели меня к сносу MetaROUTER, как сейчас обстоят дела, не знаю.

                                                  MetaROUTER садится во строенную Flash роутера, я же хотел что бы она находилась на внешней флэшке, этого разработчики не делают, доступа к USB порту из виртуалки MetaROUTER нет
                                                  приходится использовать smb протокол из виртуалки и цеплять шару с хоста (микротика)

                                                  были еще какие то мелкие придирки, но они есть и на обычных роутерах

                                                  Патчи от Mikrotik для OpenWRT Barrier Breaker для поддержки MetaROUTER были древние и не обновлялись, потом появился fork LEDE для которого вообще поддержки не было (сейчас вроде бы есть что то на github-е)
                                                  а тут они опять сливаются
                                                    0
                                                    Сейчас погуглил — продвинулось, нашел LEDE v17.01.4 под метароутер — будем смотреть
                                                      0
                                                        0
                                                        да. хорошее решение?
                                                          0
                                                          не пробовал, пока микротика под рукой нет

                                                          а вообще немного сомневаюсь, в описании к патчу упоминание про версию ядра 3.18
                                                          и из github в исходники Lede подкачивают чего то (надо будет посмотреть на днях)
                                                          в итоге думаю что собретеся, но вот эти изменения в ядрах смущают

                                                          p.s. в Lede сейчас актуальное ядро уже 4.4.хх
                                                            0
                                                            Mikrotik давно анонсировал, что RoS 7.x будет с 4-ым ядром. Но разработка идет уже давно. Mikrotik стараются делать все максимально стабильным (это получается не всегда, особенно под давлением пользователей, которые требуют нового и побольше).
                                                            В 7-ке обещается много вкусного…
                                                              0
                                                              Да читал и жду этого события
                                                              но MetaROUTER они сделали, а вот про его поддержку забыли
                                                              может надеялись что сообщество подхватит, а оно не подхватило
                                                              вот таки и висит MetaROUTER отдельным пунктом в меню настроек WinBox
                                                0
                                                pfsense более стабильное и надежнее работает)
                                                С кучей плюшек и возможностей.
                                                для канала 21-100 Mbps We recommend a modern 1.0 GHz Intel or AMD CPU.
                                                Для ноутов/нетов отдельно сетевая или умный свич с vlan.
                                                  0

                                                  Более стабильно чем что? Чем железное устройство с asic?)

                                                    +1
                                                    Более стабильно чем что? Чем железное устройство с asic?)


                                                    Asic не стабильнее, а производительнее всего лишь.
                                                    Причем производительнее не в абсолютных величинах, а в относительных. Производительнее на 1 единицу потребляемой мощности. Всего лишь.

                                                    Asic это то же программное решение, но захардкоженное в железо и по мере обраружения косяков в проектировании/производстве его нельзя так элементарно пофиксить как чисто программное решение.

                                                    Если имеет значение вес, размеры, потребляемая мощность, шум — то да, у asic есть преимущество огромное. Иначе — только недостатки.

                                                    ПК — и ремонтируется просто заменой компонентов. И обновляется/фиксится элементарно. Никакой asic по степени ремонтопригодности тут и рядом не валялся.
                                                      0
                                                      Все эти железные элементы в сетевом оборудовании нужны не только для производительности, но и для выполнения примитивной операций за гарантированное время. Дайте полезную нагрузку в те же 100М, повесьте пяток цепочек с conntrack (или как там это называется) на свою фряху и наблюдайте за просадкой своей полосы с каждым дополнительным правилом. А я еще даже не предложил принимать хотя бы сотню префиксов через ospf и маршрутизить на них через разные интерфейсы.
                                                        0
                                                        но и для выполнения примитивной операций за гарантированное время. Дайте полезную нагрузку в те же 100М


                                                        В году 2008, возможно.
                                                        Сейчас б/у ПК под роутер — это довольно мощная машинка.

                                                        Что до Микротика — добавьте шифрование — и вы увидете как он проседает на фоне «большого» ПК.
                                                          0
                                                          Не любой. Тут надо правильно выбирать. И это к ПК относится точно так-же.
                                                  +1
                                                  При выборе готовое решение vs ПК, на который нужно еще что-то установить, многие выбирают готовое решение, потому что надеются, что там будет все из коробки.

                                                  Даже небольшое дополнительное телодвижение, как установка pfSense, уже отворачивает многих от ПК.

                                                  Это тем более удивительно, что число теледвижений при настройке даже готового решения все равно не нулевое.

                                                  С другой стороны, если нет каких то принципиальных моментов использования старого ПК — не нужен нормальный процессор для нагруженного шифрованного канала, не жаль дополнительно по сравнинею с уже имеющимся старым ПК потратить денег на Микротик, не устраивает занимаемое ПК место и его шум, волнует потенциальный выход из строя жесткого диска, — то можно и перейти.

                                                  Но за ПК — мощность при шифровании и проксирование с кэшированием. Большая гибкость (мало кому нужная).
                                                    +1

                                                    Раньше я тоже такой ерундой маялся, как сборка роутера из компьютера на Linux. Но! Самое первое, под это дело не дадут нормальное железо. Лично у меня всё это успешно и регулярно висло наглухо. Для небольшого и среднего офиса нужно брать только железку и не мучиться. Во-вторых, следующий админ при этом не будет ломать голову если ему что-то перенастроить придётся. В-третьих, надежность и стабильность работы готового решений гораздо выше.
                                                    И самое приятное, что в случае если железка всё же накроется при нынешних ценах можно либо вторую держать либо смотаться в магазин и восстановить конфигурацию в один клик. Минимальный простой.

                                                      0
                                                      pfSense умеет восстанавливать конфигурацию в 1 клик.
                                                      То же самое можно сказать про «новый админ разберется» — с pfSense все как на ладони.

                                                      Другое дело если вы вручную ставите ОС и вручную там вкорячивайте все настройки.
                                                      Мало того, что новому админу непонятно где что искать (только приблизительно очевидно где), так еще и нет уверенности, что вы/новый админ достаточно глубоко знаете сеть, чтобы корректно настроить сложную обработку тех же пакетов на файрволе. В этом смысле готовое решение (что Микротик, что pfSense на ПК) — предпочтительнее.

                                                      Смотаться в магазин — это вы сильно. У нас в городе в 0,8 млн. жителей в магазинах в наличии только ненужные мне домашние модели Микротик. Чуть более серьезная модель — под заказ 5-10 дней. Врочем, первый экземпляр который я купил на предприятие — был в наличии, совершенно случайно, серьезная модель с кучей портов, явно не домашняя.

                                                      У меня прекрасно работал офис из 4 филиалов и 150 рабочих мест на ПК.
                                                        0
                                                        Когда доросли до 9 филиалов и 450 компов/серверов начал «разносить» роли на разные машины. И тогда я принял решение, что интернет вынесу на Mikrotik с их же железом. Предварительно купил себе в качестве домашнего RB951U2nd, так как по программной части он полностью соответствует другим редакциям RoS (кроме колличественных ограничений) и тренировался на кошках. Впоследствии в «центральный» филиал купили RB1100AHx4, которого по производительности хватает в пару концов (пока я не грузил его маркировкой трафика внутренней сети, по расчетам он более 550 Мбит/сек в качестве классификатора не вытянет).
                                                          0
                                                          которого по производительности хватает в пару концов

                                                          C шифрованием на 9 филиалов?
                                                          Или без шифрования?
                                                            0
                                                            Там аппаратное шифрование, в него вообще не упереться. Основная проблема в сложных правилах для QoS (проблемы я расписывал в другой статье). Имено они нехило грузят проц и маркировка DCSP не бесплатна. На данный момент, работает в пограничном режиме, и трафик в 100 Мбит/сек не грузит его более чем на 10% (и это GRE/IPSec трафик).
                                                              0
                                                              Видимо, у вас невысокие требования к пропускной способности.
                                                              RB1100AHx4 захлебнется на 9 филиалах именно на шифровании, если его нагрузить как следует.
                                                                0
                                                                Он полностью покрывает теоретический придел в 550 Мбит/сек (ограничения вызванные нагрузкой QoS). Судя по офф. тестам от самих Mikrotik, на средней нагрузке он как раз вытянет примерно 500 (микс из мелких, средних и крупных пакетов). В моей ситуации его вполне достаточно (трафик филиалов локализовали по максимуму).
                                                                  0
                                                                  Я и говорю, не вытягивает.
                                                                  Ведь 9 x 100 мегабит — это далеко не 550 Мбит/секунду.
                                                                  И это только на 9 филиалах…
                                                                  А с учетом сколько у него портов… если филиалов было бы больше, он бы еще меньше выдавал на каждый.

                                                                  Насчет того, что в вашем случае хватает — не спорю, вам тут виднее.

                                                                    +1
                                                                    Спасибо за комплимент, но самый быстрый канал у нас в 45 Мбит/сек :) и тот в «центральном», так что, 1100 справится без проблем.
                                                          0
                                                          У нас в городе в 0,8 млн. жителей в магазинах в наличии только ненужные мне домашние модели Микротик. Чуть более серьезная модель — под заказ 5-10 дней.

                                                          Когда у нас гавкнулся CCR1009 (по нашей вине, но тем не менее) — закинули его конфиг на hAP Lite и он благополучно работал, пока CCR был в ремонте. Да, порой загрузка cpu подскакивала. Но тем не менее — жужжал и ничего. CCR работал как центральный для связки четырех офисов, GRE, ospf, l2tp+ipsec удаленные клиенты, vlan'ы, очереди. Кстати, тогда же и перешли с queue tree на simple queue ;)
                                                            0
                                                            А чем вам так нравятся simple queue? Там и управляемость ниже, разве что настроить проще…
                                                              0
                                                              Да не сказать, что прямо больше нравится, чем queue tree. Просто пока CCR1009 был в ремонте, hAP lite откровенно не справлялся, пришлось перенести работу с очередями на simple queue. Ну и сейчас simple хорошо работают на многопроцессорных железках.
                                                        0
                                                        dns на микротиках работает откровенно плохо, особенно — под нагрузкой. Соответственно, в dual-wan конфигурации надо либо отдельную железку/виртуалку под dns держать, либо облачными dns-ами пользоваться (что добавляет задержки). Так что спец. дистриб на виртуалке — наше всё.
                                                          0
                                                          Согласен только в области переключения на другого провайдера. Это связанно с правилами работы DNS клиента. Он не знает, что первый сервер в списке уже недоступен (канал упал) и пытается получить от него ответ. Конечно это не получается и он спрашивает у второго. Тут сложности будут в любой «обычной» конфигурации любого DNS клиента. Нужен такой, который понимает, что после нескольких таймаутов, нужно дать передышку первому серверу, и проверять его доступность с некоторой периодичеостью.
                                                            0
                                                            А чо вы скажете про новую функцию — Detect Internet?
                                                              0

                                                              Она есть ;) Не разбирался детально с ней, потому пока не знаю как применить.
                                                              Работает она довольно просто, с каждого интерфейса (на которые настроили) пытается связаться с облаком Mikrotik. Если удалось, значит на интерфейсе есть интернет.

                                                        • UFO just landed and posted this here
                                                            0
                                                            Вы сделали не совсем корректное сравнение. На микротике вряд ли удобно будет поддерживать почту и телефонию. Но, если он должен только гонять трафик, то выбор будет в его пользу очевиден.
                                                              0
                                                              Все верно. Сравнение комбайна — «все в одном» с узко специализированным решением в аспекте стабильности той самой узкой задачи.
                                                              Мой опыт показал, что есть момент, после которого комбайн уже плох.
                                                              0
                                                              pfSense, 3 года полёт нормальный. Раскручивает 4 vlan'а, 100 компов, куча беспроводных точек ubiquiti, Captive Portal, 20 IP-камер, OpenVPN, Suricata и т.д. Никогда не перейду на иное уже. Поднят на обычном железе, только диск WD Re под него взял. Второй резервный экземпляр установлен и настроен в Proxmox'е и выключен, на всякие пожарные случаи.
                                                                0
                                                                Был шлюз на Microtik OS на старом ПК. Совмещали приятное с полезным, получилось здорово.
                                                                  0
                                                                  Ну по поводу DNS Вы загнули. Все там есть.
                                                                  По поводу скриптов — очень широкий функционал для такой маленькой коробочки.
                                                                  IPv6 по настройкам не уступает IPv4. По крайней мере я не нашел тот функционал который необходим но отсутствует.
                                                                  RADIUS вроде прокачали в последних прошивках… Надо проверить бы.

                                                                  Но есть и минусы: очень плохо WiFi «дружит» с iOS устройствами (до 3 поколения точно, новее не проверял).
                                                                  Настройка «автоматом» не очень хорошая. Чтобы адекватно настроить надо прочесть и понять много документации по нему, хотя и в ней встречаются косяки.

                                                                  P.S.Пытался тут выложить статью как надо настраивать это железо, но ее не приняли, т.к. части позаимствовал из других источников. Будет не лень, перепишу.
                                                                    0
                                                                    DNS proxy к сожалению не понимает «split domain». То есть, завернуть запросы к локальному домену без костыля невозможно.
                                                                      0
                                                                      По сути это не совсем корректная топология сети.
                                                                      Правильный вариант — каскадирование DNS серверов.
                                                                      При наличии локального домена путь DNS запроса должен быть таким:
                                                                      1) localhost
                                                                      2) Local DNS (domain DNS)
                                                                      3) Mikrotik DNS
                                                                      4) Internet provider DNS
                                                                      5) Root DNS

                                                                      На каждом из этапов прохождения настраивается правило форвардинга DNS запроса. В результате все хорошо работает.
                                                                        0
                                                                        Я предпочитаю запросы в глобальный интернет не пускать на контроллер домена, пусть он другой работой занимается. Плюс, в случае отказа контроллера (или перезапуска), не пропадет доступ в глобальный интернет (не всегда есть возможность держать два контроллера в каждом филиале).
                                                                          0
                                                                          Это палка о двух концах. При падении микротика ресурсы локальной сети становятся недоступны.
                                                                          Для меня это обозначает что фраза «с интернетом проблемы, пока работайте с клиентами в ограниченном режиме используя локальный 1С/CRM» теряет смысл и ведет к полному простою офиса. А это деньги.
                                                                            0
                                                                            Так как mikrotik у меня маршрутизирует между vlan, а сервера и клиенты в разных, то при падении mikrotik работа встает полностью.
                                                                            Тут уже фактор скорости запуска является крайне важным, микрот по питанию может перезапустить любой сотрудник по подсказкам по телефону, и уже через десяток секунд все работает (главное, это чтобы он просто завис, а не проблема с обновлением). А контроллер домена стартовать может гораздо дольше.
                                                                              0
                                                                              Да. В таком случае согласен.
                                                                              Но я все же рассматриваю Mikrotik как роутер, который должен заниматься сугубо специфической работой. Поддержание функционирования локальной сети, сегментирование этой сети и прочее на мой взгляд не его работа.
                                                                              Это аналогично ситуации когда DC служит, помимо основной функции, файл сервером, сервером БД, RDP, прокси и прочее. Да, он может это делать, но надежность решения резко падает.
                                                                                0
                                                                                Разве DNS не важная часть работы сети? Почему сегментирование не его работа?
                                                                                Как раз это все его забота, и сегменты, и QoS и DNS (не полный конечно, но нормальный кэш со split DNS). Единственная железка такое может не вытянуть, мощей может не хватить, тогда строят каскадное решение из разных железок, для разных подзадач, вот к примеру Cisco предлагает такое решение: Borderless Campus 1.0 Design Guide
                                                                                  0
                                                                                  DNS — да. Но задача роутера — обеспечить доступ в интернет, обеспечить переключение каналов, балансировку, Firewall, VPN канал в другой офис.
                                                                                  Сегментирование сети (VLAN) и внутренний DNS не относится к задачам роутера. Так же как и DHCP сервер для локальной сети (мы не про домашние сети пока говорим :) ).
                                                                                    0
                                                                                    Простите, а чья это задача — VLAN? L3 коммутаторы есть далеко не везде, да и стоят достаточно дорого.
                                                                                      0
                                                                                      Все зависит от архитектуры сети.
                                                                                      Если трафик имеет «восходящую» к серверам структуру, а коммутаторы организованы в «дерево», то у вас один мощный маршрутизатор L3, который маршрутизирует между VLAN на самом верху. А на местах у вас относительно дешевые L2, которые организуют сеть. При этом, такая структура плохо работает с P2P обменом между VLAN «одного уровня», трафик будет идти «наверх» по дереву коммутаторов (если у вас такая сеть), там маршрутизироваться и спускаться вниз.
                                                                                      Если строить из L3 коммутаторов, то сильный на «вершине» не нужен, но тот-же CSR125 маршрутизирует на скорости около 1Gb/s только с fastpath. Такая сеть требует VLAN маршрутизации, через который все маршрутизаторы могут найти маршрут к друг другу, и построить маршруты между всеми (OSPF это сделает легко).
                                                                                        0
                                                                                        Да. Все именно так.
                                                                                        Есть разные масштабы сетей, и под них необходимо разное «железо».
                                                                                        Если мы говорим про сегментирование сети через VLAN, то это задача уровня предприятия, с соответствующими затратами на оборудование.
                                                                                        Если это небольшая сеть на N компов, то тут больше подходит домен и единая адресация сети.
                                                                                        Если опустимся еще ниже и рассмотрим 2-10 компьютеров в условном «одном помещении», то, возможно, это простая одноранговая сеть, которой управляет DHCP роутера, он же DNS, он же WiFi, он же выход в интернет и принт сервер.

                                                                                        Да, я понимаю что в последний вариант можно включить VLAN по комнатам, домен и много чего еще из корпоративной серии, но смысла оно там иметь не будет. Соответственно и затраты на построения такой сети не окупятся.
                                                                                          0
                                                                                          Сегментирование сети (VLAN) и внутренний DNS не относится к задачам роутера

                                                                                          Возможно, что я вас не понял и надо определится с использованием терминов.
                                                                                          Коммутатор (свитч) — работает на L2 уровне, незамысловато гоняя Ethernet фреймы по портам (может иметь простенькие правила, в основном для QoS на основ меток во фреймах). Маршрутизатор (роутер) — Работает на L3 уровне, и уже занимается передачей пакетов из не связанных между собой L2 доменов на основе протоколов L3 (всякие IP и им подобные).
                                                                                          При этом, маршрутизатор чаще всего имеет меньше портов (не надо ему много) и мощные процессор, не исключает работу с VLAN. Коммутатор, напротив, слаб процом, но имеет много портов.
                                                                                          У Mikrotik есть линейка коммутаторов со встроенным, маломощным роутером — CRS125.
                                                                                          В вашей цитате, что вы понимали под сегментацией? Наличие VLAN на маршрутизаторе или коммутаторе? По мне, так это одна задача, но её решение может быть разнесено на разные устройства или решаться на одном.
                                                                                            0
                                                                                            Для меня, интуитивно, Mikrotik это все же маленькая коробочка-роутер (маршрутизатор) который «делает» интернет и WiFi.
                                                                                            Да, у них есть и другие продукты, как L2 свичи. И, даже, L3 маршрутизаторы. Почти как «взрослые». По этой причине для сколько-либо серьезных задач я Mikrotik (даже L3) не рассматриваю, только как приложение к сетевой инфраструктуре для выхода в интернет/подключение через VPN удаленного офиса.
                                                                                            Именно по этой причине грамотная инфраструктура с VLAN это прерогатива более «старшего» железа. Но это чисто мое IMHO.
                                                                                              0
                                                                                              А если не секрет, чего не хватает RoS и RouterBoard для перехода в категорию «старшего» железа. В «моих» сетях пока почти не возникало потребностей свыше тех, что дает продукция Mikrotik. И модели весьма с неслабым железом тоже есть…
                                                                                                0
                                                                                                Подозреваю это просто мое IMHO. Привычка что серьезная сеть требует серьезных игроков CISCO, HP и прочих.
                                                                                                Обосновать что именно не хватает не смогу.
                                                                                                  0
                                                                                                  Я cмогу. Стабильности им не хватает. CCR1036-12G v.6.41 просто роняет L3 при отключении/включении одного физического линка.
                                                                                                    0
                                                                                                    Пока такой проблемы не встречал, у самого CCR еще нет. А баг репорт делали? Может дело то исправимое?
                                                                          0
                                                                          можно, я на L7 разбираю запросы к 53 udp и если в них есть firma.local перенаправляю к контроллеру домена
                                                                            0
                                                                            Это и есть костыль. Нет DNS failover. Проблема с IPv6.
                                                                        +1
                                                                        Админы которые ратуют за pfSencse (или прочие *nix системы) — купите наконец железный микротик (хотя бы даже и за свои деньги, AC-lite стоит порядка 50$). Вам понравится :)
                                                                        Виртуалка с RouterOS это конечно хорошо, но она не позволяет ощутить весь потенциал устройства, по размерам чуть меньше чем обычный домашний роутер.
                                                                        Бывают случаи (я о маленьких конторах) когда ПК тупо физически не влазит в удобное для его размещения место (какая та полочка рядом с вводом интернета).
                                                                        Я не призываю срочно менять существующее рабочее решение, но хочу акцентировать внимание на том, что микротик это один из полезнейших инструментов админа для работы с сетью.
                                                                          0
                                                                          Админы которые ратуют за pfSencse (или прочие *nix системы) — купите наконец железный микротик


                                                                          Имею опыт с обоими. И с ручной настройкой ОС.
                                                                          У всех есть свои плюсы и минусы.

                                                                          Если вам никуда не упирается вес-размеры-энергопотребление и есть старая машинка, или топология сети позволяет сделать на виртуалке — Микротик не обязателен. Ну разве что поиграться за деньги конторы на нем.

                                                                          При подготовке нового офиса с нуля, без имеющегося безхозного железа или при подготовке офиса, где гипервизор виртулок не предусмотрен — толк есть в Микротике.
                                                                            0
                                                                            Админы которые ратуют за pfSencse (или прочие *nix системы) — купите наконец железный микротик

                                                                            Mikrotik — хорошая железка, но не умеет из коробки failover двух железок, а pfSense — умеет. Так же трудности с агрегацией каналов (грузит процессор). И как сказали выше — полноценный DNS тоже не поднять.
                                                                              0
                                                                              С агрегацией нет проблем, все зависит от RB. Где-то это в железе, в остальных софтово.
                                                                              Failover через VRRP, который есть в коробке и настраивается без особых сложностей.
                                                                              DNS печаль :(
                                                                                0
                                                                                С помощью VRRP мы делаем failover для определённого адреса, а я имел ввиду «полноценный» failover железки с настройками, сервисами и, возможно, сессиями (прим.)
                                                                                  0
                                                                                  Вот и я о том, что надо сначала корректно поставить задачу.

                                                                                  «Полноценный fileover с сессиями» — замечательно, но по факту мало кому нужен.
                                                                                  По моему скромному мнению 95% фирм легко переживет сутки простоя Интернета (да будут ныть, ворчать — но переживут), остальные 4,99% может и будут по настоящему страдать из за отсутствия интернета, но уж точно переживут обрыв сессий (Интернет сам по себе не гарантирует 100% доступности) и оставшийся 0,01% — это конторы с бюджетом на интернет железки более 100k$, там ни микротик ни pfSense (и их Linux аналоги) рядом не стояли.
                                                                            0
                                                                            есть прекрасные PC для софтроутеров.
                                                                            пример — Qotom Q190G4: размером чуть больше роутера-мыльницы, 4-ядерный Celeron с пассивным охлаждением, четыре сетевухи Intel igb.
                                                                            абсолютно безглючен, применяю не первый год. софт, очевидно, можно ставить любой на свой вкус.
                                                                            производительности с избытком хватает на маршрутизацию/туннелирование гигабита.
                                                                              0
                                                                              Интересная вещь, надо пощупать.
                                                                                0
                                                                                Всего то 250$ баксов + ждать доставку. Микротик сейчас почти в каждом городе продают.
                                                                                  0
                                                                                  RB1100 очень близок по производительности, а цена почти та-же. Да портов поболе, двойное питание… Главный плюс, компактный и под любую ОС. Недурно для АТС в филиалы.
                                                                                    0
                                                                                    под любую ОС

                                                                                    Это не преимущество. Так как RouterOS — вещь с большой буквы.
                                                                                      0
                                                                                      Celeron J1900 гораздо быстрее.
                                                                                  0
                                                                                  Уж много лет Mikrotik живет на вполне себе нормальном x86 компе. На не убитом железе, а на компе, который специально купили под Mikrotik. Все устраивает.
                                                                                    –2
                                                                                    Может, не сам Микротик, а всего лишь его RouterOS все же?
                                                                                      +1
                                                                                      Конечно ROS, но для меня Mikrotik уже стал именем нарицательным.
                                                                                        –2
                                                                                        Микротик — компания и бренд железа этой компании.
                                                                                        RouterOS — бренд софта этой компании.
                                                                                        Разумеется, вы не могли поставить компанию внуть вашего сервера. Ваша фраза звучит как «купил сервер и поставил железо Микротик внутрь его».
                                                                                          0

                                                                                          Простите, но бренд железа у них всё же RouterBOARD :)

                                                                                    0
                                                                                    Ставить на старый ПК шлюз равноценно выстрелом в ногу. У микротиков есть образ для виртуальных машин и он более предпочтителен, чем старая железка. Минимум возможностью перенести на другой гипервизор.
                                                                                      0
                                                                                      Присматриваюсь для дома к варианту маленький PC типа Qotom с несколькими Ethernet выходами плюс Pfsense или Sophos бесплатной версии (у последнего, например, есть IPS). Микротик выглядит более простым по фичам, но каждому свое конечно.
                                                                                        0
                                                                                        Кстати, а может кто-то посоветовать роутер тот же Mikrotik для офиса? Всего активных около 100-150 устройств в один момент в сети, а в общей сложности до 200-250 девайсов за день пролетает. Текущий роутер (asus какой-то) иногда тупит по dhcp так как у него таблица ограничена 255 девайсами…
                                                                                        Wifi не нужен, только раздача инета. Бюджет до 5-6 тыс если можно.
                                                                                          0
                                                                                          Если с QoS до 50 мегабит, можно взять RB750Gr3, однако таких больших офисов с этим классом роутеров не держал, сеть на 250 устройств у меня на RB1100AHx4
                                                                                            0
                                                                                            Спасибо. Про первый тоже думал как раз.
                                                                                            Входной канал 50Мбит вроде. Большой потребности именно в скорости нет, в данный момент проблемы из-за количества устройств, приходится даже иногда роутер перезагружать. Малый TTL не помогает, он все равно где то все пролетающие девайсы кеширует.
                                                                                              0
                                                                                              RB750Gr3 обеспечит 50 Мбит/сек, но дает их в полудуплексе (это если применить QoS как я в статье писал). Если QoS упростить, то возможно и больше протянет, учитывайте это.
                                                                                              RB1100AHx4 который держит свыше 250 хостов, ОЗУ использовал около 70 МБ, так что RB750Gr3 по этому параметру точно подойдет, 256 МБ хватит.
                                                                                              И конечно, не забывайте сегментировать сеть, если у вас все будут в одном широковещательном домене, то проблем у вас все равно будет.
                                                                                                +1
                                                                                                Как то раз при мне сняли с чердака старый ПК Duron 600Mhhz, на котором стоял микротик помоему 3.3 версии и была подключена антена для радиоканала, по которому наша организация получала Интернет. Поинтересовался у знакомого, который занимался сетями и был местным провайдером, что это за такая ОС с интересным интерфейсом. Он поведал мне о RouterOS, всячески нахваливая :-)
                                                                                                Купил домой роутер (если не ошибасю 750 модель). После покупки для меня есть роутеры Микротик и жалкое подобие на роутеры от других производиелей. Подозреваю что есть годные железки и от всяких циско и аруба, но за цену Микротика конкурентов не вижу вообще и не понимаю как можно платить по сто с лишним баксов за «продвинутый роутер» с крутым дизайном от какой то Асус, а не купить при этому за меньшие деньги Микротик в непримечательном корпусе.
                                                                                                Примернр год уламывал начальство покупать на работу вместо сохо ТП-линков с Д-линками микротики. Все ныли что дорого и продолжали бегать и епергружать зависшие железки после скачка напряжения, грозы и просто так.
                                                                                                Потом таки уламал и теперь 90 процентов сети и болле 30 железок от Микротика, некоторые я уже 2 года не видел и забыл где стоят.
                                                                                                Использую уже примерно год RB750Gr3 как шлюз доступа в Интернет организации с примерно 250 ПК. Входной канал 100 мегабит, занят правда обычно менее чем на половину.Крутится DNS, DHCP, Firewall, Simple Queues, за все время ни разу не завис, проблем с производительностью не наблюдал.
                                                                                                И вообще, после покупки и необзодимости настроить RouterOS я изучил информацию в Интернете и стал наманого лучше разбираться в самых сетях, тонко настроил фаервол и разрешающие правила, настроил планировщие и многое другое, что на других системах я бы точно не ослил. Поэтому Mikrotik — one love :-).
                                                                                            0
                                                                                            Может проблемы и на asus решит использование сети класса B (/16) для раздачи адресов?
                                                                                              0
                                                                                              Зачем такие огромные сети? Напилить по кабинетам /28 или /27
                                                                                                0
                                                                                                Мы же не знаем инфраструктуры. Может это просто магазин с единственным помещением и единственной точкой доступа…
                                                                                                  0
                                                                                                  Хороший принцип: дроби сети на меньшие сегменты в рамках разумного. Тут надо находить баланс между расходами на маршрутизацию между сегментами, броадкастовыми штормами в больших сегментах и безопасности в плане ограничения видимости.
                                                                                                  Главная проблема, которая может напрягать тот асус в том, что wifi часть забриджена с кабельной. Тут никакие приемущества свитчей не помогут, нужно в явном виде гнать броадкаст от arp, dhcp и других подобных дел в wifi часть, которая такому счастью точно не рада. Изолирование wifi от кабеля (вынеся wifi в отдельный vlan), поможет снизить проблемность сети.
                                                                                            0
                                                                                            Уже лет 10 с Mikrotik, еще с 3 версии. И уже давно перестал использовать ПК версии роутеров. За это время через руки прошло очень много разных аппаратов, и честно говоря умирало штук 5, и то оочень старые модели по стандартной болезни, вздутие конденсатор, после перепайки работали дальше. Работаем с крупными ритейлами у которых магазины по все стране, и уже несколько лет наблюдаем как Mikrotik не спеша вытесняет Cisco.
                                                                                              0
                                                                                              Да, вот за это мне они и нравятся. При своей цене, конкурентов практически нет. Ближайшие конкуренты значительно дороже.

                                                                                            Only users with full accounts can post comments. Log in, please.