Как стать автором
Обновить

Комментарии 21

НЛО прилетело и опубликовало эту надпись здесь
На сколько я понял доку, то не вырубится. Просто обновления подтягивать не будет.
К тому же устройство регистрируется с указанием e-mail. Думаю на это мыло должно падать уведомление о заканчивающейся подписке.
Но при этом вся статья пестрит упоминаниями о сложности и большей стоимости Mikrotik.

К сожалению, но стоимость владения Mikrotik, получается выше.
К такому выводу я пришёл даже имея сертификаты MTCNA и MTCRE.
Мда, подписка всю «малину» портит, к тому же нет возможности «нарезать» скорость с приоритетами или зарезервировать канал для сервиса.
На сколько я вижу, то qos там есть (стр. 443)

Беру свои слова обратно, надо посмотреть. Теперь вопрос — на канале в 100 мбит/с какая нагрузка будет при 3-4 правилах?

Вот еще — количество единовременных VPN сессий также ограничивается лицензированием или это в зависимости от модели?

И я смотрю, в описании, что он является контроллером для точек доступа, только при наличии активной лицензии.

В целом получается интересное решение.

Нашел:
  • Concurrent SSL VPN users: 10
  • Virtual interfaces (VLANs): 16


Как-то несерьезно при ценнике в 800-1000 EUR!
SSL VPN какая-то их собственная технология и это 10 одновременных сессий.
Она в принципе расчитана на офис в 50 человек. Сложно представить на такой офис более 10 одновременно подключенных клиентов.

Тем не менее 40 ipsec тунелей.



Без лицензий 2 активные точки, с Голдом — до 18



Ok. Надо протестировать в реальных боевых условиях.

А насчет VPN — 10 соединений очень мало, это не более 10 лаптопов на удаленке, т.е. только 10 человек могут работать с рабочими данными предприятия, а остальные? Последняя практика на малом предприятии была такая — 25 человек в конторе — 20 лаптопов, 15 из которых на постоянке носятся с собой — это 100% работа из дома или поездки/больничные и т.д.

И это не считая, что VPN канал нужен и для различных сервисов (если есть программные решения вне конторы, к примеру магазины с централизованым учетом данных) по удаленной работе с базой данных (ERP, CRM, прочие сервисы) или просто для доступа обслуживающего персонала (к примеру, доступ к сервисам производства).

Либо это уже вкладываться и внутри конторы поднимать отдельное решение и прокидывать на шлюзе, развлечение то себе.

Т.е. покупать решение за 1К EUR, чтобы потом еще головняк был :) Ну не знаю, странная политика. кстати, вроде на точки доступа у них программный комплекс был по упралвению или отказались?
При любом раскладе оборудование приобретается по поставленной задаче.

В 2016 я работал в организации, в которой на 500 человек 10 учёток на vpn…

ERP, CRM, прочие сервисы

На моей практике все внешние сервисы подключались только по ipsec…

Т.е. покупать решение за 1К EUR, чтобы потом еще головняк был :)

Данное решение имеет чуть-чуть другие цели — параноидальную безопасность. А если требуется постороить замок Хаула, то вас ждёт Микротик :-)
Нее, в Микротик старался не «вляпываться», оыбчно Fortinet или Kerio. Либо уж совсем бюджетный, но вполне рабочий вариант — OPNsense.

Извиняюсь, я перепутал, здесь описание в контексте VPN SSL, я про IPsec говорил.
Данное решение имеет чуть-чуть другие цели — параноидальную безопасность.

Какая пропускная способность у этого устройства при максимально включенных средствах защиты? Можно ли это решение считать дешевым аналогом Cisco Talos?

Такой кос есть во многих мыльницах, только он нифига не работает.

Спасибо за статью. Мне, как «любителю» MikroTik, было интересно расширить свой кругозор в том плане, что есть и другие вендоры в похожем сегменте.
держать слабого админа за 30к в месяц

Толкового инженера техподдержки найти трудно за такой оклад, не то что админа.

При несштатной ситуации бородатый одмин, поставит и настроит запасной роутер, на худой конец из старого сервака соберет программный маршрутизатор.
А что будет делать «админ за 30», позвонит мамочке?
Толкового инженера техподдержки найти трудно за такой оклад, не то что админа.

Это ты про какой регион? В Москве не найти. В зауралье — можно.

Организации держат «бородатого админа» на аутсорсе, а в штате эникейщик.
Для правильной настройки RouterOS бизнесмен должен нанять подрядчика, который специализируется на этом оборудовании

А такие есть? Фрилансер сделает это за смешную сумму.

либо обучить своего сисадмина

… ага — пользоваться хабром и гуглом :)

За 2018 год зарегистрировано CVE

Очень правильно и аккуратно. Только за 2018-й.
А за все остальные года? Mikrotik: 2018-й — 7, все время — 18; Zyxel: 2018-й — не 7 а 9, все время — 76!!!

Поставили и забыли

ню-ню, а как же докупать лицензию (из вашей же статьи)? А MTBA у него какой?
Из 10-летней практики пользования такими «поделками», могу сказать, что по 2 маршрутизатора из 60 в год стабильно приходили в негодность, пока не перешли на Mikrotik.

Нужно привыкать к логике настройки

мда, после такого: раз, двас, впору не привыкать, а успокоительное пить

А вообще с Zyxel-ями работал более 10 лет. Могу сказать, что пока компания пользовалась собственной RTOS zynos, все работало стабильно и надежно. Сейчас они сменили базу и делают роутеры на MontaVist-е, стыдливо прикрытой ZLD-хой. Как результат — надежность резко упала, глюков тоже на порядок прибавилось. Поддержка некомпетентная — когда я сказал что у меня есть исходник их прошивки от USG20 они чуть не обос… ись, а между тем получил я его согласно GPL.

ИТОГО. Я бы запретил разлагать неокрепшие умы «админов за 30к» такими «независимыми» обзорами.

P.S.: А заказчикам передайте, что пиар в этом случае не решит проблему падения продаж. В их случае очень эффективным оказался ход с Entware-Keenetic и движениями в сторону GPL.
А за все остальные года? Mikrotik: 2018-й — 7, все время — 18; Zyxel: 2018-й — не 7 а 9, все время — 76!!!

Зуксель начал производство своего оборудования на много раньше, чем микротик. Да и ассортимент оборудования и прошивок на много больше. Не корректное сравнение…

мда, после такого: раз, двас, впору не привыкать, а успокоительное пить

Ошибки в переводе интерфейса у всех бывают. Зуксель оперативно исправляет баги в переводе и не только. По мнению моих коллег Зуксель быстро реагирует на обнаруженные баги.

Вот у Микротик (и не только) вообще русского интерфейса нет.
О как! Мой коммент аж с минусом! Ну с почином.

Не корректное сравнение…


Мне кажется не очень корректно противопоставлять безопасный Zyxel небезопасному Mikrotik не указывая конкретики — моделей, операционных систем, функционала.
Вы ведь сделали тоже самое — речь ведете о ATP 200 и GS1200-5HP, уязвимость приводите только одну по AC3000, но вывод о небезопасности Mikrotik делаете без конкретных
устройств по общему числу уязвимостей в багтреке! Вот я и решил проверить вашу информацию по общему количеству уязвимостей без конкретики.

Зуксель оперативно исправляет баги...


поржал — честно?

Зуксель быстро реагирует...


«По мнению коллег...» А вы попробуйте сами к ним обратиться. Я вот общался — ни о какой быстроте/оперативности/компетентности и речи нет. Конкретно по веселому и «сексуальному» USG60, мне сказали что все свежекупленное оборудование надо сразу обновлять до последней прошивки. Ну бывает — страсть к наживе толкает продавать сырой продукт, чтоб бабла срубить, а косяки как-нибудь потом залатаем (они кстати в этом не одиноки — взять хотя бы CiscoASA с заявленным но неработающим RDP клиентом на SSL-портале). В другой раз словил у USG20 на последней прошивке стабильный разрыв IPSec VPN раз в сутки, с последующим ручным поднятием.

Поддержка Zyxel: препрошейте на самую новую.
Я: Блин ребята! На самой новой как раз и глючит!
Поддержка Zyxel: Тогда дождитесь новой прошивки.

Откатывал до пред-пред-последней и все исправлялось. Ну и последней каплей
стало веселое УДАЛЕНИЕ моего аккаунта на форуме техподдержки по причине долгой неактивности. Собственно неактивность была вызвана рекоммендацией техподдержки дождаться третьего квартала, когда выйдет прошивка «дополняющая» функциональность (умышленную и скрытую блокировку отправки OSPF мультикастов по GRE). А ведь я туда вбил все наши 60 маршрутизаторов, их серийники, прочие данные.

Вот у Микротик (и не только) вообще русского интерфейса нет.


А зачем русский интерфейс девайсу с половиной общепринятых англоязычных понятий — Ethernet, IP, NAT, GRE, Firewall, WiFi, Syslog? С такой логикой и до 1С-овских перлов недалеко.
уязвимость приводите только одну по AC3000, но вывод о небезопасности Mikrotik делаете без конкретных устройств

По Zyxel я привёл пример понравившегося мне бага, открытого за предыдущий год.

По Микротику смысла привязываться к конкретному устройству просто нет. У них всего две прошивки: RouterOS и его урезанный сородич SwitchOS. Поэтому все баги относятся ко всем их устройствам сразу.

поржал — честно?

Я пользуюсь той информацией, которую получил от конкретных пользователей Зуксель. В том числе и от пользователей в телеграме и тех кого знаю лично.

По поводу реакции на баги можно спорить вечно у всех вендоров. Даже Циска грешит долгой реакцией на некоторые баги.

А зачем русский интерфейс девайсу с половиной общепринятых англоязычных понятий


Вас никто не заставляет пользоваться русским интерфейсом. То, что есть возможность поменять язык в интерфейсе это плюс, а не минус. Даже если есть незначительные ошибки в переводе.

OSPF мультикастов по GRE - проблема связанна с копированием ttl из пакета внутри на пакет гре. Если установить на тунель TTL - оно начнет работать. вопрос есть ли кнопка для этого)

Хорошая попытка Zyxel, но нет.
Не понимаю, что сложного в Quick Set у мелкосетчатых? Только то, что все на одной страничке и на английском?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Публикации

Истории