Микросеть: настройка роутера для ИТшной семьи

[DoMoVoY]

Казалось, что мануалы mikrotik уже все написаны лет 10 назад. А оно так и есть!

В этом случае обработка будет происходить быстрее, так как устройству не придется искать адрес, на который перенаправить пакет (). 

masquerade и src-nat работают с одинаковой скоростью. И дело не в "перенаправить", а каким адресом делать трансляцию.

[VRyabchevsky]

Спасибо за комментарий, действительно ошибся, в следующий раз буду точнее проверять факты и терминологию

Казалось, что мануалы mikrotik уже все написаны лет 10 назад. А оно так и есть!

Да, есть. На какие то привел ссылки. Но благодаря статье кому-то может бвть чуть проще или дадут дельный комментарий как улучшить конфигурацию.

[VecH]

Вот тут можете чуть чуть поподробнее про NAT и маскарадинг ?
На сколько помню, еще со времен Mandriva Linux и его насадки на iptables по имени shorewall начал использовать маскарадинг, так и использую до сих пор, а на пальцах в подробности не вдавался

[DoMoVoY]

маскарад делает трансляция primary адресом исходящего интерфейса, а src-nat делает статичную трансляцию тем адресом, который будет указан. Если внешний адрес статичен или хочется полного контроля, то можно делать src-nat, для динамического внешнего адреса нужно делать маскарад

[flowwolf]

Не все, ROS 7 относительно недавно вышла же.

[chemtech]

Спасибо за пост. Можно ли использовать один маршрутизатор и отказаться от коммутатора?

[avacha]

Можно, если портов хватает. Мне не хватает, пришлось поставить старенький CRS125 в качестве коммутатора. Ну и lolipop, сиречь router-on-stick в чистом виде не реализовать. Правда, зачем он нужен в данной конкретно ситуации, если портов хватает - непонятно.

Также и выбор 2011 в 2024 году вызывает большие сомнения. Он давно морально и физически устарел, и на современных тарифах показывает себя не очень, даже с Fasttrack. Я бы взял хотя бы hAP ac2 + коммутатор. А в идеале - 5009 или 4011, у последнего железо от операторского Rb1100 ahX4, а 5009 на Ozon по 18.000 продается новым. Хватит на несколько лет вперед.

[VRyabchevsky]

Да, в этой статье он не нужен, в будущем понадобиться с учетом всех устройств.

Также и выбор 2011 в 2024 году вызывает большие сомнения.

Работал с тем, что сейчас есть под рукой. Из плюсов микротика - всю конфу могу перенести на новую железку, когда куплю :)

[Blogoslov]

Это вряд-ли. На новой железе уже ROS 7.X стоит и её не так просто накидывать из 6.х ветки - там ещё немного подшаманить нужно будет

[VRyabchevsky]

На 2011 уже поставил 7.14, так что проблемы пока не вижу:)

[DaemonGloom]

Учитывая, что 2011 - с двумя чипами свичей, конфигурация чисто не перенесётся, порядочно придётся вручную переделывать.

[ErshoFF]

Из личного опыта:

• mikrotik (rb2011) - отличная железка

• на тарифе 60мбит (домашнее использование) - загрузка процессора иногда достигала 100% и сыпалось ip ТВ

• на тарифе 100мбит - более 60 не прокачивала по причине загруженности процессора на 100 %

• пришлось заменить на другой mikrotik.

[VRyabchevsky]

Интересная информация. Ранее (год назад) через эту же железку крутил тариф 100мбит, подключался к квартире через ipsec по сертификатам и домашние проблем не наблюдали

[dimsoft]

И какая скорость была в VPN по сертификатам, учитывая, что 2011 не умеет аппаратно ускорять шифрование ?

[Konstantinus]

У меня 2011 и тариф 1Гбит. Загрузка 20-30%. Канал на работу держит 200 Мбит. Изначально тоже под 100% нагружался, пока не отключил DNS "allow-remote-requests".

[qenoamej]

Это сколько же нужно дома устройств, что б перегрузить роутер через dns запросы?

[DaemonGloom]

Это, скорее, неверная настройка файрволла и открытый наружу dns сервер. Внутренние устройства его настолько не загрузят.

[qenoamej]

Или отсутствие файрволла в принципе. Видел такие статьи про настройку микротиков, где вместо простейшего файрволла доблестно сражаются со злобными хакерами отключением неиспользуемых протоколов в ip->services, на нужных ставят available from и меняют порты, ну и вот про dns remote requests тоже.

[say_TT_plz]

дело не в них, а в запросах снаружи.

[swshoo]

очень похоже, что последнее правило in drop all просто отключили, ибо мешало нормальной работе sip или tv -)... И понеслась душа в рай -).

[mehonator]

Кажется на ris v7.10 у меня были проблемы с нагрузкой процессора до 100% вне зависимости от количества трафика. Решилось простым обновлением.

[ErshoFF]

Проблема с загрузкой портов повторялась на разных версиях (longterm/stable/development/...) 6 и 7 веток.

[turbidit]

Теперь свяжем физические интерфейсы и vlan's:

Не знаете что на RB2011 порты разведены на разные чипы? Фатальная ошибка!

[VRyabchevsky]

Спасибо за комментарий, добавлю в будущую статью. В конкретно этой ситуации использовал порты только одного чипа (гигабитного).

[resetsa]

2011 в 2024 году уже безнадежно устарел, ну и я до сих пор не рискнул на него 7.х ставить.

Также как выше уже отметили, там 2 чипа коммутации и между ними связь через CPU.

Судя по всему вы софтовый мост собрали, а значит все полетит через CPU, что быстро положит проц.

Делать 1 VLAN на провод и WIFI - так себе занятие. Лучше делить на IP уровне.

Ну и я у себя сегменты в отдельные VRF поместил. На 6.x работает, с 7.x - есть проблемы с route leaking (костыли с передачей через туннельный интерфейс - божественен)

[DaemonGloom]

7.x на них работает вполне неплохо, кстати.

[He_caxap]

Зачем вообще все эти сложности с настройками Mikrotic, если можно взять например, Keenetic Giga (там уже всё за вас настроено) + любой коммутатор с PoE на 8-16-24 портов.

[0HenrY0]

Чтобы на Keenetic Giga получить хоть немного похожий функционал, его надо перепрошить под OpenWRT. Для новичка это не намного проще, чем настроить MikroTik.

[gorodskih]

Не надо ничего перепрошивать. Если не хватает настроек из GUI (что довольно редко), то можно обратиться к мануалу по CLI, где настроек еще больше. А если надо уж совсем что-то кастомное поставить, то втыкается флешка, на которую ставится Entware, что дает целую подсистему Linux, куда можно ставить любые программы из большого списка.

Я себе, к примеру, поставил LetsEncrypt скрипт Dehydrated + реверс прокси nginx для домашних ресурсов.

[ThingCrimson]

Можно и так, наверное (я не работал с Keenetic Giga, но охотно Вам верю). С другой стороны, если человек знает, что он хочет, и умеет настраивать MikroTik — результат будет не хуже (а может и лучше).

[b1ora]

Не знаю как делаются Vlan'ы на кинетиках, но микротик позволяет делать с ними абсолютно всё, что угодно. В том числе и firewall, wifi, маршрутизацию.

[swshoo]

RB2011 , канал 300 Мбит , отключение фасттрека для настройки QoS -

• ros 6 - 300 Мбит ; + QoS - ~200 Мбит

• ros 7 - 230-250 Мбит ;+ QoS - ~ 130 Мбит

  откатился на 6, включил фасттрек. Позже поменял роутер на RB5009 , вот где можно развернуться -).