Настраиваем WireGuard на роутере Mikrotik под управлением OpenWrt

  • Tutorial
image

В большинстве случаев подключить роутер к VPN не сложно, но если вы хотите защитить целую сеть и при этом сохранить оптимальную скорость соединения, то наилучшим решением будет воспользоваться VPN-туннелем WireGuard.

Роутеры Mikrotik зарекомендовали себя как надежные и очень гибкие решешния, но к сожалению поддержки WireGuard на RouterOS все еще нет и не известно когда появится и в каком исполнении. Недавно стало известно о том, что разработчики VPN-туннеля WireGuard предложили набор патчей, которые сделают их ПО для организации VPN-туннелей частью ядра Linux, надеемся это поспособствует внедрению в RouterOS.

Но а пока, к сожалению, для настройки WireGuard на роутере Mikrotik необходимо сменить прошивку.

Прошиваем Mikrotik, устанавливаем и настраиваем OpenWrt


Для начала вам необходимо убедиться в том, что OpenWrt поддерживает вашу модель. Посмотреть соответствие модели ее маркетинговому названию и изображению можно на сайте mikrotik.com.

Перейдите на сайт openwrt.com в раздел загрузки прошивок.

Для данного устройства нам нужно 2 файла:

downloads.openwrt.org/releases/18.06.2/targets/ar71xx/mikrotik/openwrt-18.06.2-ar71xx-mikrotik-rb-nor-flash-16M-initramfs-kernel.bin|elf

downloads.openwrt.org/releases/18.06.2/targets/ar71xx/mikrotik/openwrt-18.06.2-ar71xx-mikrotik-rb-nor-flash-16M-squashfs-sysupgrade.bin


Вам нужно скачать оба файла: Install и Upgrade.



1. Настройка сети, загрузка и настройка PXE сервера


Скачайте Tiny PXE Server для Windows последней версии.

Распакуйте в отдельную папку. В файле config.ini добавляете параметр rfc951=1 секцию [dhcp]. Этот параметр одинаковый для всех моделей Mikrotik.



Переходим к настройкам сети: нужно прописать статический ip адрес на один из сетевых интерфейсов вашего компьютера.


IP адрес: 192.168.1.10
Маска сети: 255.255.255.0


Запустите Tiny PXE Server от имени Администратора и выберите в поле DHCP Server сервер с адресом 192.168.1.10

На некоторых версиях Windows этот интерфейс может появиться только после подключения Ethernet. Рекомендую подключить роутер и сразу коммутировать роутер и ПК с помощью патчкорда.

image

Нажимаем кнопку «…» (справа внизу) и указываем папку, в которую вы скачали файлы прошивки для Mikrotik.

Выбираете файл, имя которого заканчивается на «initramfs-kernel.bin или elf»



2. Загрузка роутера с PXE сервера


Соединяем проводом ПК и первый порт (wan,internet,poe in,…) роутера. После этого берем зубочистку, втыкаем в отверстие с надписью «Reset».



Включаем питание роутера и ждем секунд 20, потом отпускаем зубочистку.
В течение следующей минуты в окне программы Tiny PXE Server должны появиться следующие сообщения:



Если сообщение появилось, значит вы в правильном направлении!

Восстановите настройки на сетевом адаптере и установите получение адреса динамически (по DHCP).

Подключайтесь к LAN портам роутера Mikrotik (2…5 в нашем случае) с помощью того же патчкорда. Просто переключите его из 1-го порта во 2-й порт. Откройте адрес 192.168.1.1 в браузере.



Войдите в административный интерфейс OpenWRT и перейдите в раздел меню «System -> Backup/Flash Firmware»



В подразделе «Flash new firmware image» нажмите на кнопку «Выберите файл (Browse)».



Укажите путь к файлу, имя которого заканчивается на «-squashfs-sysupgrade.bin».

image

После этого нажмите кнопку «Flash Image».

В следующем окне нажмите кнопку «Proceed». Начнется загрузка прошивки в роутер.



!!! НИ В КОЕМ СЛУЧАЕ НЕ ОТКЛЮЧАЙТЕ ПИТАНИЕ РОУТЕРА В ПРОЦЕССЕ ПРОШИВКИ !!!



После прошивки и перезагрузки роутера вы получите Mikrotik с прошивкой OpenWRT.

Возможные проблемы и их решения


Во многих устройствах Mikrotik выпуска 2019г используется микросхема памяти FLASH-NOR типа GD25Q15/Q16. Проблема в том, что при перепрошивке не сохраняются данные о модели устройства.

Если вы увидели ошибку «The uploaded image file does not contain a supported format. Make sure that you choose the generic image format for your platform.» то скорее всего проблема в flash.

Проверить это легко: выполняете в терминале устройства команду проверки ID модели

root@OpenWrt: cat /tmp/sysinfo/board_name

И если получаете ответ «unknown», то нужно вручную указать модель устройства в виде «rb-951-2nd»

Для получения модели устройства выполните команду

root@OpenWrt: cat /tmp/sysinfo/model
MikroTik RouterBOARD RB951-2nd

Получив модель устройства, устанавливаем его вручную:

echo 'rb-951-2nd' > /tmp/sysinfo/board_name

После этого можете прошивать устройство через web интерфейс или с помощью команды «sysupgrade»

Создайте VPN сервер с WireGuard


Если у вас уже есть сервер с настроенным WireGuard, то можете пропустить этот пункт.
Я будут использовать для настройки персонального VPN сервера приложение MyVPN.RUN о котом я уже публиковал обзор.

Настройка WireGuard Client на OpenWRT


Подключитесь к роутеру по протоколу SSH:

ssh root@192.168.1.1

Установите WireGuard:

opkg update
opkg install wireguard

Подготовьте конфигурацию (скопируйте код ниже в файл, замените указаные значения на свои и запустите в терминале).

Если вы используете MyVPN, то в конфигурации ниже необходимо изменить только WG_SERV — IP сервера, WG_KEY — приватный ключ из файла конфигурации wireguard и WG_PUB — публичный ключ.

WG_IF="wg0"
WG_SERV="100.0.0.0" # ip адрес сервера
WG_PORT="51820" # порт wireguard
WG_ADDR="10.8.0.2/32" # диапазон адресов wireguard

WG_KEY="xxxxx" # приватный ключ
WG_PUB="xxxxx" # публичный ключ 

# Configure firewall
uci rename firewall.@zone[0]="lan"
uci rename firewall.@zone[1]="wan"
uci rename firewall.@forwarding[0]="lan_wan"
uci del_list firewall.wan.network="${WG_IF}"
uci add_list firewall.wan.network="${WG_IF}"
uci commit firewall
/etc/init.d/firewall restart

# Configure network
uci -q delete network.${WG_IF}
uci set network.${WG_IF}="interface"
uci set network.${WG_IF}.proto="wireguard"
uci set network.${WG_IF}.private_key="${WG_KEY}"

uci add_list network.${WG_IF}.addresses="${WG_ADDR}"

# Add VPN peers
uci -q delete network.wgserver
uci set network.wgserver="wireguard_${WG_IF}"
uci set network.wgserver.public_key="${WG_PUB}"
uci set network.wgserver.preshared_key=""
uci set network.wgserver.endpoint_host="${WG_SERV}"
uci set network.wgserver.endpoint_port="${WG_PORT}"
uci set network.wgserver.route_allowed_ips="1"
uci set network.wgserver.persistent_keepalive="25"
uci add_list network.wgserver.allowed_ips="0.0.0.0/1"
uci add_list network.wgserver.allowed_ips="128.0.0.0/1"
uci add_list network.wgserver.allowed_ips="::/0"
uci commit network
/etc/init.d/network restart

На этом настройка WireGuard завершена! Теперь весь трафик на всех подключенных устройства защищен VPN соединением.

Ссылки


Источник #1
Доработанная инструкция на MyVPN (дополнительно доступна инструкция настройки L2TP, PPTP на стандартной прошивке Mikrotik)
OpenWrt WireGuard Client

Комментарии 93

    +1

    Тут вопрос, какие подводные камни у опенврт на железе микротика? как с производительностью?

      +3

      Не только. Вообще не понимаю смысла шить openwrt в микротик. Хорошо раньше было — был MetaROUTER, но вероятно правильно, что его выпилили

        0

        в routeros 6.42.2 metarouter есть

          0

          Как бы текущая 6.45.8 + на подходе 7 + есть микроты, где метароутера в принципе не было (типа CHR)

            0
            А на кой он на CHR? Или на CSR?
              +1

              Поправочка, 6.46.3 в stable. В любом случае, metarouter не выглядит выпиленным.

            0
            в Mikrotik нет iptables для искушённых
              0

              Ага, нету, как же — зато там netfilter. Старый добрый, все тот же

          +3
          Только перед этим всем стоит сделать бэкап, иначе потом могут возникнуть проблемы с откатом из-за лицензии: wiki.mikrotik.com/wiki/Manual:License
            0
            Если есть опыт, поделитесь информацией как правиьно сделать бэкап и накатить его для восстановления.
              0

              По ссылке в инструкции же всё есть.

              0
              Идётк вот сюда mikrotik.com/client/keyRequest
              Вбиваете Serial Number и Software ID
              +25
              (тут должна быть картинка про троллейбус из буханки хлеба)

              В моём представлении мира Mikrotik-и покупают не столько из-за железа, сколько как раз из-за RouterOS.
              Те же, кто хочет себе роутер с OpenWRT, имеют более широкий выбор «железа», не ограниченный только Mikrotik-ами.

              А если Mikrotik уже настроен под конкретные требования и задачи, то переходить на OpenWRT — ну, такое себе.

              Задачу поднятия WireGuard (и не только) вполне можно решить, добавив дешевый одноплатник (входящий в список поддерживаемых Armbian-ом Orange Pi Zero, например, стоит меньше 1000 рублей) с полноценным Linux.
                +1
                Я бы вам жирно плюсонул, но кармы не хватает ;)
                  +1

                  статью напишите — тогда хватит ))))

                    0

                    Мне не помогло)) Кто-то заминусовал

                    +1

                    У него статей нету, некуда плюсовать.

                    +1

                    Ещё есть такой момент, что SOHO-роутеров, поддерживаемых OpenWRT, с наличием 5ГГц сетей (и нормального MU-MIMO при этом) не просто мало, а вообще не существует кроме одного ASUS определенной ревизии железки (устройства на MediaTek/MIPS в расчет нельзя брать по причине плохих открытых драйверов).


                    И, получается, hAP ac/ac2 сейчас — единственные адекватные решения для людей, которым хочется какое-то более-менее адекватное решение для домашней сети с настройками поинтереснее логина для PPPoE.

                      +2

                      Так микротик как раз таковым и является: адекватным, интересным, при этом поддерживаемым и обновляемым без танцев.


                      С wrt другой вопрос: хочется поддержки шифрования аппаратно, как у неё с этим? Подозреваю, что плоховато, а у ROS можно пошаманить и ipsec ускорить в разы (притом не тратя ЦП).

                        0
                        Так микротик как раз таковым и является: адекватным, интересным, при этом поддерживаемым и обновляемым без танцев.

                        Об этом и речь, что это в принципе безальтернативное решение конкретно в такой нише. Это не плохо и не хорошо — у RouterOS есть как достоинства, так и недостатки, но такая вещь хотя бы существует.

                          –3
                          Хорошо что вы затронули тему альтернативных вариантов решения данной задачи, но мне непонятно почему некоторые воспринимают данное решение в штыки. Это один из способов, да их может быть много и каждый хорош собой или более «нативный», но это не означает что он более простой для настройки или рабочий. Прежде чем публиковать статью я изучил материал на сайтах источниках и попробовал проделать все шаги на своём устройстве, надеюсь если вы даёте рекомендации или советы, то основываетесь в первую очередь на своём опыте и готовы им поделиться опубликовав статью.
                          0
                          С wrt другой вопрос: хочется поддержки шифрования аппаратно, как у неё с этим? Подозреваю, что плоховато, а у ROS можно пошаманить и ipsec ускорить в разы (притом не тратя ЦП).

                          Прелесть wireguard как раз в том, что ему не нужно аппаратное шифрование. Он дает безумные скорости даже на самом днищенском железе. По крайней мере, на своем обрубке с 4мб оперативки и тапком вместо процессора wireguard работал со скоростью моего аплинка.

                            0

                            На вайргарде свет клином не сошелся. Он ни в одном роутере по сути не реализован, чтобы без перепрошивки, без Танцев и с гарантией от производителя роутера (притом так будет еще года два, если повезет). А с цисками и микротиками все равно нужен ipsec, и если его можно ускорить аппаратно, то так и надо сделать.


                            Так вот я нигде не нашел, какая-то из wrt вообще аппаратно ускорять крипто умеет? Для них это не профильная тема, а фича эта требует много сил.


                            В общем, я бы лучше одноплатник к микротику подключал для вайргарда, чем роутер перешивал целиком. От греха, микрот-то известно как работает.


                            Может, они в седьмой ветке родят?

                              –1
                              Он ни в одном роутере по сути не реализован, чтобы без перепрошивки

                              Естественно, он только был вмерджен в ядро. Этого нужно еще лет 5 подождать. Но прямо сейчас это уже один из самых лучших (высокопроизвоидельных и удобных) способов поднять VPN между линуксами.

                                0

                                Так разговор про роутеры, а не про линукс. Хотя с ядром линукса много чего создается, роутеров из коробки, да таких, на которых еще и уверенно можно сеть большой нагрузки построить, не так и много. Так что то, что в ядро одной из ос вмержели что угодно, от мира сете далековато, хотя это и жаль.


                                Ovpn никто из главных игроков не думал поддерживать, но микротики не поленились, за что им спасибо. Wireguard хорош (так и tinc хорош) но в роутерах его тупо нет. Пока. Но, как кажется, это надолго.

                                  0
                                  но в роутерах его тупо нет. Пока. Но, как кажется, это надолго.

                                  Я сказал абсолютно то же самое. Тем не менее, шансы у него есть (в отличие от openvpn)


                                  Ovpn никто из главных игроков не думал поддерживать

                                  У этого только одна причина: клиент потребляет ресурсов больше, чем обычно на роутере доступно. Только для запуска, про работу вообще речь не идет.

                                    0

                                    Да нет. Просто роутеры — это как-то больше про L3/L4, а ovpn и sstp немного выше по модели. Так же, как в роутер не встраивают клиент 1с (пошлый пример, понимаю), так и ovpn всякие циски считают ниже своего достоинства.


                                    На джуниперах, даже на свичах, процессора хватит на мнооого ovpn, но… не в традиции, понимаешь!

                                      0
                                      У производителей всегда есть линейка продуктов и функциональность самого дешевого в линейке заведомо скромнее чем самого дорогого. В домашних роутерах нет VPN потому что они в самом низу линейки.
                                      Собственно потому производители не любят сторонние прошивки (dd-wrt, openwrt и тд) что они ломают им весь маркетинг и экономику, в дешевых устройствах появляются такие функции какие есть в топовых (ну за исключением производительности конечно, прошивкой памяти не добавишь).
                                0
                                Keenetic «на днях» в 3.3 зарелизили Wireguard
                                  +1

                                  менять микротик на кинетик? (

                                    –1
                                    Нет, но как новый роутер стоит рассмотреть)
                            0
                            SOHO-роутеров, поддерживаемых OpenWRT, с наличием 5ГГц сетей (и нормального MU-MIMO при этом) не просто мало, а вообще не существует кроме одного ASUS

                            Слишком смелое, но неверное утверждение.
                            Вы table of hardware хоть смотрели?
                            Говорю как человек, имеющий дома три роутера OpenWRT с 5 GHz)

                              0

                              Утверждение хоть и смелое, но в целом справедливое, роутеры совместимые с openwrt в рознице сейчас не дешевле микротиков сохо класса.
                              Учитывая то что микротик достаточно консервативен(допустим wireguard новинка, но там и в древнем openvpn поддержки tls нет), то иногда имеет смысл перешить его в openwrt

                                0

                                Уточнение: tls-auth

                                  –2
                                  Утверждение хоть и смелое, но в целом справедливое

                                  Напомню: там было сказано, что с 5 GHz роутера, поддерживаемых OpenWRT,
                                  "не просто мало, а вообще не существует кроме одного ASUS“. Но это не так.


                                  роутеры совместимые с openwrt в рознице сейчас не дешевле микротиков сохо класса.

                                  Да не говорите ерунды. Даже те же Xiaomi (для которых есть поддержка) поддерживаются OpenWRT.

                                    0

                                    Вы, вероятно, упустили, что во-первых, многие такие устройства на MIPS, с небольшим количеством RAM и совсем не поддерживают MU-MIMO, что совсем плохо сказывается на пропускной способности.


                                    Во-вторых почти все, у которых какая-то поддержка Wave2 всё же есть — на медиатеке.
                                    Все Xiaomi, которые поддерживаются OpenWRT на медиатеке.
                                    У медиатека отвратительные открытые драйвера, потому что они сделаны без спецификаций от производителя сообществом, а официальный драйвер который используют вендоры в своих прошивках они никому не дают.


                                    Насколько я знаю, в 19.07 ситуация улучшилась, но в предыдущей версии OpenWRT скорость по беспроводному соединению с использованием 802.11ac была даже меньше чем обычный 2.4ГГц 802.11n.


                                    Если вы покажете хотя бы один роутер, который не использует SoC от MediaTek, при этом с поддержкой 802.11ac Wave2 и его можно пойти и купить в обычном магазине — был бы очень признателен, потому что ни в ToH, ни на реддите, ни на форуме OpenWRT такие устройства обнаружить не удалось.

                                      0
                                      802.11ac была даже меньше чем обычный 2.4ГГц 802.11n.
                                      R8000 по любому из двух 5 GHz при тестировании iperf показывал больше ~1100 Mbps (коннект 1300). Этого мало? Да, там BRCM. Но оно работает.
                                        0

                                        Только нюанс в том, что hAP ac стоит 7000р, а R8000 — 20000р, и первый можно купить в любом популярном маркете, а второй есть в единственном мутном магазине в Я.Маркет


                                        Этого мало?

                                        Этого нормально, но там не MediaTek, про проблемы с драйверами было явно указано, что речь именно про него.

                                        0
                                        Если очень хочется, можно совместить OpenWrt и родные драйверы от MTK. Остаётся лишь собрать себе прошивку (причём, насколько я понимаю, собрать её за вас может даже сам Github).
                                        0

                                        Я прямо из реальной практики говорю: у нас со временем начали старые роутеры сыпаться(онлайн камеры на погранпереходах, условия на столбах не комнатные), а новых дешевых совместимых нет. Раньше за 1т можно было в рознице купить любой тплинк или асус(точек много, надо экономить). А сейчас в рознице почти все несовместимое либо цена конская.
                                        С АлиЭкспресс заказать не вариант потому что руководство платит только безналом.
                                        В итоге пришлось переходить на микротики, они оказались дешевле и практичнее, т.е. выбор был только из-за железа, роутерос бонусом пошёл.


                                        Ну а про 5ггц мож преувеличил человек или он только из определенного магазина купить может, я не интересовался этим моментом

                                          0

                                          У "Телеофис" есть роутеры на OpenWRT, в том числе позиционирующиеся как "для подключения камер. У них же есть роутеры и на платах Mikrotik. Недёшево, правда. Зато технологично

                                            0
                                            Эх, если бы все тогда делалось технологично, проект бы вообще не состоялся. И так эти 280 тыс руб для регионального независимого сайта дались нелегко :)
                                        0
                                        допустим wireguard новинка, но там и в древнем openvpn поддержки tls нет

                                        Ну, так это микротик надо дожимать. Условно — устанавливая openwrt мы придерживаемся политики эскапизма — и у микротика как фирмы нет оснований внедрять эти крутые технологии, чтобы осчастливить нас как клиентов

                                          0

                                          Я уже староват для этих штук, тратить свои время и силы чтоб менять мир в лучшую сторону и все такое. :)
                                          Да и ждать некогда микротиков, когда они запилят фичи и выкатят в прод, результат нужен в обозримое время.
                                          И так хватает ожиданий, например жду когда
                                          Nordic выкатит наконец свои ФАР антенны для позиционирования внутри помещений(обещали в прошлом году, перенесли, теперь вот вроде в марте), на это я повлиять не могу и альтернатив этому нет. А у роутероса они есть.

                                        0

                                        У меня был роутер с OpenWRT и поддержкой 5ГГц, и ситуация с такова, что либо это что-то с медиатеком (и, как оказалось, совершенно ужасными скоростями), либо полтора роутера на ARM, которые в рознице сейчас не купить.


                                        Остальное — это broadcom у которого нет открытых драйверов в принципе, либо совсем хилые устройства у которых 802.11ac есть только в буклете

                                          0
                                          Я надеюсь, что портируют OpenWrt на свеженький Xiaomi AX3600. Внутри у него IPQ8071, а на алиэкспрессе я вижу устройства на IPQ8072, работающие под OpenWrt.
                                        0
                                        И давно на hAP ac/ac2 завезли MU-MIMO? ))
                                          0

                                          Там было сказано, что нет устройств с поддержкой OpenWRT и MU-MIMO, а не о том, что в микротике она есть.


                                          Тем не менее, IPQ4019, например, MU-MIMO сам по себе поддерживает, RouterOS имеет полную поддержку Wave2 кроме как раз MU-MIMO, но об этом речи не шло. Вероятно, до ROSv7 её и не будет.

                                            +1
                                            Вас кто-то ввёл в заблужение)
                                            1. hap ac 2 построен на IPQ4018. (то, что в интерфейсе отображается 4019, это ошибка программистов)
                                            2. RouterOS может и имеет подержку большей части фишек именно кусочка стандарта АС под названием Wave2. Но производитель об этом явно нигде не пишет, а апдейты выходят с описанием вида «improved wi-fi stability». Что туда включено в это «improved» никто толком не знает. Так что нет никакой гарантии, что там действительно «большинство фишек».
                                            А в целом стандарт AC поддержан на минимуме. Beamforming, Airtime Fairness, 802.11k/v/r и т.д. и т.п. Их даже в планах нет. А MU-MIMO выйдет только в 7й версии, планов по выпуску которой тоже нет. Её пилят уже несколько лет и дата выхода озвучивается в виде «как только так сразу».

                                            Хз на что тут надеяться у Микротиков… мне хоть они и очень нравятся (есть в хозяйстве hap ac2), но WiFi там просто убогий по сравнению даже с копеечными ТПлинками.
                                              0
                                              Если что, 7 версия уже некоторое время доступна в публичной бете. Можно попробовать, на ac2 она доступна, насколько помню.
                                        +1
                                        Или метароутер вкрутить
                                          +1

                                          Метароутер — глючное кхм, создание и в продакшине его можно использовать чуть менее, чем никак. Да и сам микротик на него забил в новых железках.

                                            0
                                            Так и зачем WireGuard в проде? Кесарю кесарево.
                                              0
                                              про WireGuard ничего сказать не могу, а вот зависания микротика с метароутером сам видел.
                                              0
                                              Да и сам микротик на него забил в новых железках.

                                              и правильно сделал

                                                0

                                                Выпустили бы в отдельной линейки KVM — могло бы и пойти. Комбайн для удаленного офиса, да и для дома. Но цена?!

                                            0
                                            У Orange Pi Zero порт 100 Mbit. В 2020 году это просто смешно, только для IOT и годится.
                                              0

                                              Я б не сказал. Как раз таки не у каждого скорость интернета выше 100 Мбит/с.

                                                0

                                                То что у оранжа и распберри порт поддерживает 100мбит это не значит что он столько пропустит. Во всех этих дешевых одноплатниках сетевые подключены через usb шину к слабому контроллеру.
                                                В общем дешевые одноплатники спроектированы для IoT, чтоб пинами дергать, а не чтоб трафик гонять

                                                  0
                                                  Во всех этих дешевых одноплатниках сетевые подключены через usb шину к слабому контроллеру.


                                                  Начиная с rpi4 это уже не так.
                                                    +1

                                                    Ну так в rpi4 и цена будет повыше, и так сравнима с неплохим роутером уже. Это не считая того что надо докупить бп и карту памяти, да и корпус не помешал бы.

                                                +1
                                                Можно купить mikrotik в качестве железа, которое хорошо поддержано в OpenWRT, а не искать полукитайские роутеры подходящих ревизий, которые оказывается уже не выпускаются. Я использую и микротик и openwrt оба рядом дома, т.к. mikrotik не умеет web-сервер и udpxy, которые умеет openwrt.
                                                  0

                                                  А зачем микротику udpxy? Это кинетик давится

                                                  +2
                                                  Полностью с вами согласен. Зачем покупать Микротик для того, чтобы поставить на него OpenWRT и настроить на нем WireGuard? Я этого не понимаю.
                                                  Вся прелесть RouterOS пропадает.
                                                  0

                                                  В чем фишка этого wireGuarde? Придумали новую сборку и Пытаются решить ей все проблемы?

                                                    0
                                                    В этой статье подробное описание
                                                      0
                                                      При слабом железе гувюард будет прилично быстрее, особенно когда нужно выйти за 500мбит.с
                                                      И при нестабильном инете его не нужно переподымать
                                                      0
                                                      надеемся это поспособствует внедрению в RouterOS.
                                                      И не надейтесь. У них ядро 3.3x

                                                      Забавно. Опять эффект парных случаев: по работе я сортировал OpenWRT на маршрутизатор Mikrotik именно из-за ряда сетевых возможностей...

                                                        0
                                                        Ps возможно глупый вопрос
                                                        А почему не pfsense?
                                                          0

                                                          Вы смеётесь? OpenBSD?!
                                                          Давно ли портировали под все архитектуры?! Где там поддержка "железа"? Где community? Современные сетевые возможности?
                                                          Это даже не смешно...

                                                            0
                                                            FreeBSD. Платформа увы только x86. А вот Community, имхо, очень даже приличное, более энтерпрайзное, чем OpenWRT, плюс документация отличная. А про какие современные сетевые возможности Вы говорите?
                                                              0

                                                              Почему Вы сравнивает комьюнити FreeBSD (а не pfSense) с комьюнити только OpenWRT? Ведь главное — ядро. Добавьте комьюнити Linux Kernel и GNU/Linux в целом — и вот уже совсем иной расклад.


                                                              Да и к чему это всё, если Вы говорили о x86 pfSense на arm?!

                                                                0

                                                                Я говорил как раз о комьюнити и документации pfSense, а не FreeBSD. А про pfSense на arm я вообще ничего не писал.

                                                                  0

                                                                  Так это и есть ответ на:


                                                                  А почему не pfsense?
                                                        –2

                                                        Астрологи объявили неделю WireGuard. Теперь хомячки начнут пихать его куда можно и куда нельзя. Быстро вы забросили свой любимый OpenVPN

                                                          0

                                                          Лень гуглить дату первого релиза, но OpenVPN я ещё лет 15 назад видал в работе. Не так уж и быстро

                                                          +1
                                                          Буквально на прошлой неделе установил OpenWrt на RB750Gr3 hEX. Специально подбирал железо под установку OpenWrt, выбирал между Mikrotik RB750Gr3 и Ubiquiti EdgeRouter X, они очень похожи, на одинаковом железе, у последнего 256Mb flash, но нет USB. Зато у hEX есть слот SD карты и USB. В общем выбрал hEX и не жалею. На SD сделал ext root, на нем теперь живуют python3, php7, gcc. Ось раздулась уже более 200Mb. Еще свободный USB порт.
                                                            0
                                                            Что в итоге по скорости?
                                                              +3

                                                              Ну вот лично я не вижу тайного смысла ушатать 951й микрот ради установки wrt. Доноров для установки wrt море. А ros еще в хозяйстве пригодится.

                                                                +3

                                                                Не могу представить себе Mikrotik не то чтобы без RoutOS, а хотя-бы без серой упаковочный коробочки! Это религия, братан, окстись ибо не ведаешь, что ты творишь!

                                                                  0

                                                                  OpenWrt + wireguard да ещё и на железе Mikritik даёт 100 из 100 мегабит
                                                                  Проверенно трудится уже целый год, странно что на хабре статья появилась так поздно, спустя аж 4-е года после выхода в свет wg. Я использую OpenWrt везде где только можно, гибкость + свыше 20000 программ портированных со старших братьев. Более того сборка прошивки из исходников, делает OpenWrt ваше лялей.

                                                                    0
                                                                    Речь про однопроцессорные модели?
                                                                    Параллелизация по ядрам есть хоть на каких-то приложениях там?
                                                                      –1

                                                                      Ядро там Linux, а это значит что система сама по умолчанию умеет работатть с многоядерными процами. <a href="https://drive.google.com/file/d/1jZdV-eXRTSjSXwJl8feiAhfLV7OoDtQP/view?usp=sharing">https://drive.google.com/file/d/1jZdV-eXRTSjSXwJl8feiAhfLV7OoDtQP/view?usp=sharing</a>
                                                                      Это скрин с роутера mi 4g. Распределение потоков это задача не софта, а ОС.
                                                                      Даже на простеньких TP-LINK роутерах OpenWrt показывает очень хорошие результаты.
                                                                      В OpenWrt так же входит язык Lua по умолчанию, есть еще JIT компилятор, ну а любителям прекрасного, дарована возможность писать на полноценном Cи. Я собирал такой конф для своего проекта PHP + NGINX + WireGuard + NFS, всё это очень быстро работает, причем на TP-LINK 842N V5. Единственное узкое место флэш ром. Но я решил вопрос скорости чтения flash, просто тупо примонтировав NFS директорию с сервера в директорию /www. Страницы с медиа контентом и прочей ересью грузятся довольно быстро. По поводу wifi и MIMO, опция noscan в конфиг wireless надо добавить, и тогда будет норм.

                                                                    –1

                                                                    Всем Адептам RouterOS. Ну вот я с linux знаком с 2008-го года, с openwrt c 2011-го. Причем мне не пришлось учить новый синтаксис команд для того чтобы писать shell скрипты и прочую автоматизацию рутины на роутере. Считаю синтаксис RouterOS костылём. В OpenWrt Есть возможность "Штамповать" роутеры со всем нужным софтом и преднастройками.
                                                                    Я тут с коллегами по цеху общался, они мне про ip-sec и OpenVpn топить начали, Вы бы видели их рожи когда я достал TP-LINK (уже заведамо преднастроенный) и воткнул вместо микрота, промерил скорость iperf'ом. =)
                                                                    Если брать с китая mi, вы получите: 4-е ядра, 256 оперы. Гигабитные порты, и всё это в пределах 2000р со всеми плюшками Linux. OpenWRT по факту круче RouterOS только даже из-за того что он умеет всё то же самое но по приемлемой цене, с гибкой вариацией выбора железки для проекта и возможности создания целой программной платформы под свои нужды. OpenWRT это не готовое решение, а очень гибкая в настройке и обслуживании OS.
                                                                    Ну, а для особо упоротых админов в OpenWrt есть UCI (по синтаксису довольно схож с микротом).

                                                                      +1

                                                                      Что за mi? в смысле, какой конкретно?

                                                                        0

                                                                        mi 4G забить на Aliexpress в поиск, ну а там сами по железу как надо подберете, почитав тех. характеристики.

                                                                          0

                                                                          Не могу найти на 256 оперативки)

                                                                    0

                                                                    У меня сейчас в продакшн такой стоит. На ней висит 8 клиентов wg, а через wg проброшены камеры с разными подсетями, из разных концов города, 7 мес работает без багов, настроил и забыл.

                                                                      0

                                                                      Она умеет в вебе отслеживать трафик на любом из интерфейсов, у меня вся конструкция отъедает 12-15 М/бит

                                                                        0

                                                                        Являюсь ярым фанатом микротик, но всякой задаче подходящий инструмент.
                                                                        Стандартный клиент WireGuard есть для Keenetic. Ставится и настраивается элементарно.

                                                                          +2

                                                                          В RouterOS 7 добавили поддержку WireGuard
                                                                          https://habr.com/ru/news/t/516108/

                                                                          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                          Самое читаемое