Экономим на лицензиях Mikrotik CHR

    В Телеграм-чате @router_os часто вижу вопросы о том, как сэкономить на покупке лицензии от Mikrotik, либо пользоваться RouterOS, вообще, на халяву. Как ни странно, но такие способы есть и в правовом поле.





    В данной статье я не буду касаться лицензирования аппаратных устройств Mikrotik, так как в них с завода установлена максимальная лицензия, которую может обслужить железо.

    Откуда взялся Mikrotik CHR?


    Компания Mikrotik выпускает различное сетевое оборудование и устанавливает на него универсальную операционную систему собственного производства — RouterOS. Данная операционная система имеет огромный функционал и понятный интерфейс администрирования, а оборудование на котором она применяется стоит очень не дорого, что объясняет его широкое распространение.

    Для использования RouterOS за пределами их оборудования компания Mikrotik выпустила версию x86, которую можно было установить на любой ПК, что позволяло дать вторую жизнь древнему железу. Но лицензия привязывалась к аппаратным номерам оборудования, на которое оно устанавливалось. То есть если сдох HDD, то и с лицензией можно было попрощаться…

    Лицензирование оборудования и RouterOS x86 имеет 6 уровней и содержит кучу параметров:



    У версии x86 была ещё одна проблема — она не очень дружила с гипервизорами в качестве гостевой системы. Но если высоких нагрузок не ожидалось, то вполне годная версия.
    Легальная RouterOS x86 в триале может работать полноценно только 24 часа, а бесплатная имеет кучу ограничений. Ни один сисадмин не сможет полноценно оценить весь функционал RouterOS за 24 часа…

    С пиратского ресурса можно было легко скачать образ виртуальной машины с уже установленной RouterOS x86, безусловно со своими костылями, но мне, например, этого хватало.

    «Если не можешь победить толпу — возглавь её»


    Со временем грамотный менеджмент компании Микротик решил, что бороться с пиратством невозможно и надо сделать невыгодно воровать их операционную систему.

    Так появилось ответвление от RouterOS — «Cloud Hosted Router», он же CHR. Эта система оптимизирована как раз под работу на системе виртуализации. Скачать образ можно под все распространённые платформы виртуализации: VHDX image, VMDK image, VDI image, OVA template, Raw disk image. Последний виртуальный диск можно развернуть практически на любой платформе.

    Так же изменилась система лицензирования:



    Ограничение касается только скорости сетевых портов. На бесплатной версии она составляет 1 Мбит/с, чего достаточно для построение виртуальных стендов (например, на EVE-NG)

    Платная версия на официальном сайте очень сильно кусается, но у официальных дилеров можно купить немного дешевле:



    А если Вас устраивает скорость в 1Гбит/с на портах, то Вам хватит лицензии P1:


    Для чего CHR нужен? Мои примеры.
    Часто слышу вопрос: нафига нужен этот виртуальный роутер? Вот пару примеров, для чего я лично его использую. Прошу не холиварить по этим решениям, так как они не являются темой данной статьи. Это только пример применения.

    Центральный роутер для объединения офисов




    Иногда требуется объединить несколько офисов в одну сеть. Офиса с жирным каналом интернета и белым ip нет. Возможно, все сидят на Yota, либо канал на 5 Мбит/с. А ещё провайдер может фильтровать какие-либо протоколы. Например я замечал, что L2TP через питерского провайдера «Комфортел» просто не поднимается…

    В этом случае я поднял CHR в датацентре, где дают жирный стабильный канал на одну vds (разумеется, потестировал из всех офисов). Там крайне редко отваливается сеть совсем, в отличии от «офисных» провайдеров.

    Все офисы и пользователи подключаются к CHR по VPN протоколу, который самый оптимальный для них. Например, мобильные пользователи (Android, IOS) замечательно чувствуют себя на IPSec Xauth.

    При этом, если между офисом 1 и офисом 2 будет синхронизироваться база в несколько десятков гигабайт, то пользователь, смотрящий камеры на объекте, этого не заметит, так как скорость упрётся в ширину канала на конечном устройстве, а не в канал CHR.

    Шлюз для гипервизора




    Арендуя небольшое количество серверов в ДЦ под несколько задач, я использую виртуализацию VMWare ESXi (можно любую другую, принцип не меняется), что позволяет гибко управлять имеющимися ресурсами и распределять их по сервисам, поднятым в гостевых системах.

    Управление сетью и безопасностью я доверяю CHR как полноценному маршрутизатору, на котором рулю всей сетевой активностью как контейнеров, так и внешней сетью.

    Кстати, после установки ESXi физический сервер не имеет белого ipv4. Максимум что может появиться — ipv6 адрес. В такой ситуации обнаружить гипервизор простым сканером и воспользоваться «новой уязвимостью» просто не реально.

    Вторая жизнь старому ПК


    Кажется я это уже говорил :-). Не покупая дорогой маршрутизатор до сих пор можно на стареньком пк можно поднять CHR.

    Полноценный CHR бесплатно


    Чаще всего встречаю, что халявный CHR ищут для поднятия прокси на зарубежном vds хостинге. И платить 10к рублей за лицензию из своей зарплаты не хотят.
    Реже, но встречаются: дико жадное руководство, заставляющее админов строить инфраструктуру из г***а и палок.

    Триал 60 дней


    С появлением CHR триал увеличился с 24 часов до 60 дней! Обязательным условием его предоставления является авторизация инсталляции под тем же логином и паролем, что у Вас на mikrotik.com



    Запись об этой инсталляции появится в Вашем аккаунте на сайте:


    А триал кончится? Что дальше???



    А ничего!

    Порты будут работать на полной скорости и все функции продолжат работать…

    Только получать обновления прошивки перестанет, что для многих не является критичным. Если уделить достаточно внимания безопасности при настройке, то даже заходить на него не понадобится годами. На что надо особо обратить внимание я писал в этой статье habr.com/ru/post/359038

    А если всё же нужно обновить прошивку после окончания триала?


    Сбрасываем триал следующим способом:

    1. Делаем бэкап.



    2. Забираем его себе на комп.

    3. Переустанавливаем CHR на vds полностью.

    4. Авторизируемся



    Таким образом в ЛК на сайте Mikrotik появится информация об очередной инсталляции CHR

    5. Разворачиваем бэкап.



    Настройки восстановлены и снова 60 дней в запасе!

    Можно не переустанавливать


    Представим, что у Вас сотня магазинов, где в качестве роутера используется древний ПК с CHR. Вы следите за CVE и стараетесь оперативно реагировать на обнаруженные уязвимости.
    Раз в два месяца переустанавливать CHR на всех объектах — тупая трата ресурсов админа.

    Но есть способ, при котором требуется хотя бы одна купленная лицензия CHR P1. 2к рублей может найти фактически любая контора, а если не может, то стоит оттуда бежать ^_^.

    Идея в том, чтобы лицензию легально через личный кабинет на mikrotik.com передавать с устройства на устройство!



    Выбираем «System ID» нужно нам роутера.



    И жмём «Transfer subscription».

    Лицензия «переехала» на новое устройство, а старое устройство, лишившееся лицензии, без всяких переустановок и дополнительных телодвижений получило новый триал в 60 дней!

    То есть, имея всего одну лицензию, можно обслуживать огромный парк CHR!

    Зачем компания Mikrotik так ослабила политику лицензирования?


    За счёт доступности CHR компания Mikrotik создала огромное комьюнити вокруг своих продуктов. Армия специалистов и энтузиастов тестирует их продукт, делает репорты по обнаруженным багам, генерирует базу знаний по различным кейсам и т.д., то есть ведет себя, как успешный opensource проект.

    Таким образом, нарабатывается не просто пул хаотичных знаний в виртуальной среде, а подготавливаются специалисты, имеющие достаточный опыт работы с конкретной системой и, соответственно, отдающие предпочтению оборудованию конкретного вендора. А руководители предприятий склонны прислушиваться к работающим у них специалистам.

    Чего стоят доступное обучение и проводимые конференции MUM! В специализированном сообществе в Телеграм @router_os сейчас состоит более 3000 человек, где специалисты обсуждают решения различных задач. Но это темы отдельных статей.

    Таким образом основной доход компании Mikrotik приносит продажа оборудования, а не лицензий за $45.

    Здесь и сейчас мы наблюдаем быстрый рост IT гиганта, который появился относительно недавно — в 1997 году в Латвии.

    Не удивлюсь, если через 5 лет компания D-Link объявит о выходе очередного роутера под управлением RouterOS от Mikrotik. Подобное в истории было не раз. Вспомните хотя бы когда Apple отказалась от собственных PowerPC в пользу процессоров Intel.

    Надеюсь, что данная статья развеяла долю Ваших сомнений на пути использования продукции от Mikrotik.
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 27

      +1
      Нечто подобное было у компании Cisco, когда на 11.х, 12.х IOS можно было подниматься с IPBASE до ADVENTSERVICE практически на всех железках, где хватало flash и ram. Ну и не было так огорожено непосредственно скачивание этих IOS.
        +6

        ждем статью как активировать esxi с помощью бесплатного ключа из интернета

          +1
          ESXi и так бесплатен. Ключ можно получить так же официально.
            0
            /* табличка «Сарказм» */
          0
          А для чего в «сотню магазинов» покупать P-Unlimited?
          P1 — до гигабита на каждом ethernet порту CHR. За 45 баксов.
            0
            мне вот тоже интересно, сколько аффтор платит за каналы связи, превышающие 10Г
            Да и какой «старый ПК» обладает такими портами?
              0
              Никто никого не заставляет брать PU. У меня применяется лицензия PU, вот на неё и привожу в пример.
              А так да. Лицензии P1 должно хватить большинству.
                0
                Одним из основных аргументов для плясок с лицензированием указана стоимость лицензии.
                При том, что в действительности необходимая лицензия стоит немного.
                Значительно выше будет стоимость обслуживания «старого компа».
                Я бы для целей обеспечения связью 5 человек в удалённом магазине брал маленькую железку типа RBD52G.
              0
              Я привёл как пример. P1 до гигабита, разумеется, должно хватить большинству пользователей
              +1
              Таким образом основной доход компании Mikrotik приносит продажа оборудования, а не лицензий за $45.

              При получении сертификата бонусом идет лицензия L4/P1.
                0
                А ещё и роутер :-) Только курсы MTCNA немного дороже лицензии PU выходят ^_^
                  0
                  Но ведь вы туда не за лицензией идете. И лицензия дарится за прохождение каждого тренинга, не только MTCNA.
                0
                Очень смутила строка: «Чаще всего встречаю, что халявный CHR ищут для поднятия прокси на зарубежном vds хостинге.»
                То есть развернуть linux+squid — это уже совсем неподъёмная задача?
                  0
                  Как бы речь о тех кто использует CHR и их задачи, а не обо всех сразу.

                  Право выбора между CHR и другой системой здесь вообще не поднималось.

                  Если поднять тему linux+squid vs CHR. Настройка того же вэбпрокси выполняется установкой галочки «Enable». А сколько действий надо выполнить, чтобы на линуксе запустить squid?


                  Конечно SQUID более функционален, чем встроенный в chr. Под каждую задачу надо подбирать соответствующий метод.
                    +2
                    Трудозатраты даже на указанную связку значительно больше чем на развертывание ROS.

                    А если нужно развернуть 10-100 точек? А если надо добавить IPSEC, l2tp, openvpn, динамическую маршрутизацию, policy routing, qos.

                    троллейбус_из_батона.jpg
                      0
                      Учитывая что RouterOS это просто банально свой дистрибутив linux с нескучным cli то вопрос звучит несколько неоднозначно :)
                        +2
                        Вы же специально не дописали, что этот «дистрибутив» оснащен графическим интерфейсом и собственной командной строкой. Что при импорте конфига дает стоковому линуксу дни-недели форы на настройки и тонкий тюнинг?

                        Да, на полноценном линуксе, в редких случаях можно настроиться более детально. Ну например прокси сервер у микротика никудышный. Но надо понимать, что это все на +-10мб бинарного кода и Ваш домашний утюг уже способен установить сессию по bgp multihop через ipsec в три клика мышкой.
                          0
                          Вы же специально не дописали, что этот «дистрибутив» оснащен графическим интерфейсом и собственной командной строкой.

                          Я вообще-то написал про нескучный cli.

                          Что при импорте конфига дает стоковому линуксу дни-недели форы на настройки и тонкий тюнинг?

                          Не дает если вы знаете как настраивать это под linux. Специализированные дистрибутивы никто не отменял.

                          Но надо понимать, что это все на +-10мб бинарного кода и Ваш домашний утюг уже способен установить сессию по bgp multihop через ipsec в три клика мышкой.

                          Это настраивается не в три клика и требуется почитать документацию при этом часто довольно вдумчиво потому что логика там весьма и весьма своя.

                          Как программно-аппаратный комплекс микротик на отлично. У меня у самого дома микротик висит в качестве роутера. Но покупать его для руления трафиком в виртуалках все же странная затея.
                            0
                            Не дает если вы знаете как настраивать это под linux. Специализированные дистрибутивы никто не отменял.


                            Вы не поясните как можно копи-пастом в консоль гипотетического centos кинуть полный рабочий конфиг сервера (то есть раскидать конфики всех пакетов по местам без идиотизма вроде echo «confg body» >> /etc/config), перед этим на лету внося в него через блокнот косметические изменения?

                            Мне известен только способ с ручным раскладыванием конфигов по местам, а перед этим надо эти пакеты устанавливать, а перед этим надо установить ОС, разбив диск, и правка конфигов происходит уже по факту с перезапуском сервисов. Где-то что-то упустил и потом дебажишь. Забыл добавить службу в автозагрузку — отхватил проблемы при потере питания. Итд итп.
                              0
                              Через любую систему управления конфигурациями. Их придумано уже 100500 штук. К примеру anisble.

                              Установка давно уже автоматизированно делается через тот же kickstart к примеру. Для debian тоже существует аналогичная же система.

                              Разница только в том что в случае RouterOS вы за эти возможности просто покупаете за деньги. Но в случае большого числа виртуальных окружений вам придется делать автоматизированную разверку.
                              0
                              Это настраивается не в три клика и требуется почитать документацию при этом часто довольно вдумчиво потому что логика там весьма и весьма своя.

                              Для настройки линукса тоже надо тонну документации+хабра читать, если раньше с ним не сталкивался.
                              Так вот при изучении с нуля — микротик легче настроить, чем любой дистрибутив линукс.
                                +1
                                Область применения знаний затем шире. И настроить затем микротик уж проще, хотя конечно бурчать что все переделано и сделано не так как было не мешает :)
                      0
                      Помнится кончился триал, скорость упала до 1 мбит. Еще на версии 6.42…
                        0
                        Год назад можно было делать так, но сейчас уже нет
                        После окончания лицензии — НИЧЕГО НЕ ПРОИСХОДИТ. Никаких ограничений. Нельзя только обновить RouterOS.
                        Для обновления RouterOS:

                        1) Генерируем новый ID.
                        /system license generate-new-id

                        2) Обновляемся.
                        /system package update check-for-updates

                        3) Получаем новый ключ.
                        /system license renew account=name@gmail.com password=jRsdfgYL9b6e8X3 level=p-unlimited

                        /system license print


                        И второе. Можно спокойно купить лицензию не за 45$, а за 30$. Мы так и сделали потому что ждать очередной дыры и потом скакать по аккаунтом и переустанавливать CHR немного не профессионально.
                          +1

                          Тоже не стал париться, купил для личных целей гигабитную лицензию. Не такая и большая цена.

                            0
                            И как же купить L3?
                              0
                              Никак. И зачем?

                          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                          Самое читаемое