Микротик или кинетик что лучше
OpenWrt vs. Mikrotik vs. Keenetic для дома
Уже много лет в моем доме трудится роутер TP-Link TL-WDR3600 с прошивкой OpenWrt. Брал его ещё в студенческие времена, когда денег было не очень много, зато было время и желание покрасноглазить и поэкспериментировать. На первых порах использовал его и в хвост и в гриву, даже развернул на нем домашний сервер. Со временем необходимость в подобных выкрутасах отпала, большинство задач переехала на более подходящие для этого устройства, а на роутере остались только вещи, связанные непосредственно с сетью:
Кроме того, несколько раз слышал хорошие отзывы о Keenetic. Понятно, что это устройства сугубо для дома и рассчитанные в первую очередь на домохозяек, но если в них есть SSH-доступ и возможность устанавливать сторонний софт, то, может, и хватит для моих задач. Есть у кого-нибудь подобных опыт?
Microtik сразу забей, они AC до юзабельного состояния довели только в этом году, а ax ещё лет пять доводить будут..
у mikrotik слабый wifi, + там ущербная поддержка openvpn ( хотя ipsec замечателен ).
Нормален, поддерживает entware.
Можешь как вариант купить xiaomi роутер и поставить туда openwrt
у mikrotik слабый wifi, + там ущербная поддержка openvpn
В семере вроде завезли нормальный openvpn и даже wireguard..
Ну не, микротов у меня больше не будет.. Говно. Ибо правда, в wifi они не умеют..
но зато там очень удобный gui. Все можно буквально настраивать мышкой в отличие от openwrt ( где куча различных приложений )
Можешь как вариант купить xiaomi роутер и поставить туда openwrt
Ты видел tomato? И в микротике половина фичей настраивается только из cli.
И в микротике до сих пор нет udpxy, что для меня актуально.
Microtik сразу забей, они AC до юзабельного состояния довели только в этом году, а ax ещё лет пять доводить будут..
А что конкретно не работает?
Уже вроде все ок, но конкретно не работало 5Ghz на hAP Ac2 и на rb4011igs+5hacq2hnd-in больше года. Сейчас с подачи микротиковских форумчан починили, но сами микротики морозились год 🙂
И в микротике до сих пор нет udpxy,
Пля. Ну у тебя сдохло и хорошо, а у меня микротик не может в мультикаст по вафле. Прова менять не предлагать..
у mikrotik слабый wifi, + там ущербная поддержка openvpn ( хотя ipsec замечателен ).
Насколько слабый? У меня квартира, не частный дом. У нынешнего роутера 5 ГГц затухает на кухне, а вот 2.4 ГГц вполне себе добивает, даже на улице поймать можно.
Можешь как вариант купить xiaomi роутер и поставить туда openwrt
Думал и о таком варианте. Было много жалоб на драйвер mt76, не знаю, в каком состоянии он сейчас. Ну и см. стартовый пост про OpenWrt, есть ощущение, что на заводской прошивке роутер работал лучше.
И в микротике до сих пор нет udpxy, что для меня актуально.
Да, это минус. Даже igmp proxy нет?
Не, это появилось в 2019 :)))
Но про мультикаст по вафле можешь забыть, даже в 5GHz..
Уже вроде все ок, но конкретно не работало 5Ghz
Откуда тогда столько восторженных отзывов от владельцев Микротиков? Даже владельцы Apple-девайсов так не радуются. Или сам факт покупки железки, которая почти-как-циска вызывает такие эмоции?
У микротыка это делается буквально несколькими кликами мыши. На стороне VPS достаточно поставить docker с настроенным ipsec.
Всё это раскидано по нескольким конфигам, примеров нет
Насколько слабый? У меня квартира, не частный дом. У нынешнего роутера 5 ГГц затухает на кухне, а вот 2.4 ГГц вполне себе добивает, даже на улице поймать можно.
Оно так и будет. По личным наблюдениям у keenetic ultra wifi 5Ghz мощнее, чем у hAP Ac2.
Так что покупай keenetic и не парься. shadowsocks там можно поставить на entware. У них кстати в офицальной прошивке есть возможность ставить entware и сторонние пакеты. Не каждый роутеростроитель может этим похвастаться.
Откуда тогда столько восторженных отзывов от владельцев Микротиков
Так фэнбои, что с них взять..
Пишут что сделали UDP в RouterOS 7 (но она бета ещё).
Кинетик и домохозяевам подойдёт. Поддерживает приложки от опенврт.
Плюс у них есть свой бесплатный ddns.
Я б взял железку на атоме с возможностью воткнуть PCIe вайвай карту. Все таки можно полноценную ОС вкорячить и возможностей побольше.
Уже вроде все ок, но конкретно не работало 5Ghz
Откуда тогда столько восторженных отзывов от владельцев Микротиков?
Прикинь, у них железки вовсе без WiFi бывают. Отзывы, в основном, от тех, кому надо что-то необычное. Например вот в качестве PPPoE сервера работает, OSPF умеет.
Пишут что сделали UDP в RouterOS 7 (но она бета ещё).
Да там и tcp кривое
openvpn сам по себе кривой и тормозной. У микротыка железная поддержка ipsec ( до 450 мбит )
А 450 ты откуда взял?
Так что покупай keenetic и не парься. shadowsocks там можно поставить на entware.
Ок. Тогда два вопроса
1) Как у них с апдейтами, фиксами багов и уязвимостей?
2) Как организован доступ к ipset, iptables и таблицам маршрутизации? Есть ли какая-нибудь инфраструктура с конфигами а-ля OpenWrt, или просто SSH и портянки из скриптов?
С некоторым скепсисом смотрю на RouterOS и её ярых фанатов
Что вспомнил. Можно качнуть RouterOS для x86 и месяц посмотреть. Может в виртуалке.
Купи ещё один туполинк и не парься
Можно взять железо от MikroTik и попробовать RouterOS. Если не понравится или не хватит возможностей, то запустить на этом железе OpenWrt.
Я это проделывал с RB750Gr3 и RB960PGS.
RouterOS хороша тем, что имеет (как и большинство профессионального сетевого оборудования) достаточно ортогональную систему конфигурации — можно зайти на любую железку и сказать «/export», прочитать конфиг и понять, что и как она делает. OpenWrt же, напротив, больше похож на типичные линуксы — есть много способов настроить одно и то же (начиная от uci и заканчивая /etc/rc.local), что делает конфигурацию более хрупкой. Это одновременно и плюс, и минус OpenWrt — он даёт огромную гибкость, но если периодически вносить какие-то изменения и не документировать их, то через пару лет повторить конфигурацию даже на такой же новой чистой железке (например, если текущая сгорит) будет трудно. А ещё в OpenWrt легко внести какое-то рантаймовое изменение (например, из шелла добавить фаервольное правило или маршрут), тогда даже на файловой системе не останется никаких следов, и при следующей перезагрузке изменения пропадут — можно будет долго гадать, а как же оно раньше работало, и почему теперь перестало. Конечно, при хорошей дисциплине документирования всего этого можно избежать, но много ли кто будет заниматься таким для дома?
Для Wi-Fi лучше брать отдельные коробки — часто в квартире выгодные (удобные) места для концентрации проводов и для распространения радиосигналов не совпадают. Если есть постоянно работающий компьютер с линуксами, который всё равно регулярно обслуживается, то я бы взял свитч с 802.1q, точку доступа и завёл бы всю маршрутизацию и прочие сетевые функции/сервисы (терминирование IPv6, IPSec, Wireguard, прочих VPN, DHCP(v6)/RA, DNS (рекурсор и внутренние зоны), фаервол) на этот компьютер, возможно сделав из него «router-on-a-stick» (когда на один сетевой интерфейс приходит несколько тегированных VLAN для маршрутизации).
Если есть постоянно работающий компьютер с линуксами, который всё равно регулярно обслуживается, то я бы взял свитч с 802.1q, точку доступа и завёл бы всю маршрутизацию и прочие сетевые функции/сервисы (терминирование IPv6, IPSec, Wireguard, прочих VPN, DHCP(v6)/RA, DNS (рекурсор и внутренние зоны), фаервол) на этот компьютер
Ну, кстати, это и с микротиковской точкой можно. Я так с cAP ac сделал. Точку примерно в центр квартиры, питание по PoE.
RouterOS профессионального сетевого оборудования
Да ты упрлс. Она «профессиональная» не больше, чем подвальный туполинк со стоковой прошивкой. Большинство фич реализовано для галочки, чтобы в маркетоидном буллщите написать про это. Ну хомячки и ведутся.
Ну и никогда не стоит забывать о Turris Omnia.
Да ты упрлс. Она «профессиональная» не больше, чем подвальный туполинк со стоковой прошивкой.
У нынешнего роутера 5 ГГц затухает на кухне, а вот 2.4 ГГц вполне себе добивает, даже на улице поймать можно.
У hAP ac2 примерно также.
У меня квартира, не частный дом. У нынешнего роутера 5 ГГц затухает на кухне
Это очень плохо, вообще-то. Я бы сказал, неприемлемо.
Тому куча причин может быть, от материала стен до состава обоев…
Ты забыл упомянуть, что все это состоит из велосипедов, говна и палок, а по функционалу не приближается к реальным вещам в принципе. RouterOS сделана дилетантами для дилетантов, а если хочется окунуться в мир настоящих роутеров занедорого, есть EdgeOS, основанная на Debian и Vyatta.
есть EdgeOS, основанная на Debian и Vyatta.
В общем-то там не лучше. Мелкие роутеры от Ubiquiti я тоже смотрел. Например Netflow на Микротике у меня никогда не валился, а там только в путь (вот им бы, кстати, на ipt_netflow с этим переехать). Писал скрипт, чтобы дёргал процесс. Хотя конечно шел нормальный некоторый плюс даёт. И вроде там пакеты доустановить можно, но не помню уже.
не работало 5Ghz на hAP Ac2
lolwut, у меня hAP ac^2 и 5 ГГц работало всё это время
Сейчас появилось желание обновить роутер до чего-нибудь с поддержкой 802.11ac, а может даже с 802.11ax.
а зачем тебе обязательно «комбайн»? роутер оставь и купи точки доступа ax, ax wifi у микротика нет, и даже mu-mimo и wave2 нет.
если много денег возьми Unifi HD серии в каждую комнату, понтово и лоровцы уважать будут, или EAP245/EAP225 если уважение не так и важно. к последним в докере можешь крутить контроллер для бесшовной связи. Если хочется ax, то придётся early adopter tax заплатить.
Чтобы не крутить в докере, можно купить малинку для контроллера (+ к уважению) или их клауд ки (+ к понтам и удобству обновления)
разве? упоминаний нигде не вижу об этом https://mikrotik.com/product/cap_ac
Это обычный Debian + нормальный шелл + конфиги в json.
В общем не знаю, как сейчас, а лет пять-семь назад отдавало сыростью это всё. Вообще роутер вон за спиной лежит, можно попробовать накатить обновление и посмотреть. Но лень пока.
У меня есть в хозяйстве маленький USG3, так на нем даже wireguard крутится. Правда, на чистом конфиге EdgeOS, но настроено через файл на контроллере, без говна и палок.
В этой статье я приведу вам 5 пунктов, с которыми я лично столкнулся, и о которых вам следует знать перед покупкой Mikrotik.
1. Обновления RouterOS могут быть несовместимы между собой
Для модели SmB-класса я считаю такие выходки недопустимыми.
2. Нестабильность встроенного коммутатора
Я решил обновить RouterOS не потому, что боялся хакеров, взломавших Mirkotik-и по всему миру, а потому что периодически скорость копирования с NAS-а падала с 1 Гбит/c до 200 Мбит/с. Попытка увеличить размер Jumbo Frame приводила к зависанию коммутатора с перезагрузкой устройства. К слову, на версии 6.42 зависания исчезли, но провалы скорости остались, даже несмотря на то, что там прикрутили полностью аппаратную коммутацию.
3. Неполная совместимость со стандартом 1GBase-T
Все четыре 10-гигабитных сетевых карты поддерживают скорость 1 Гбит/с, но заработала из них только одна. Продолжая эксперименты, я подключил эти сетевые карты к следующим коммутаторам и роутерам:
4. Никакущая техподдержка
Я максимально подробно описал ситуацию и создал обращение в техподдержку Mikrotik-а (номер обращения 2018112022003151). На сайте нам обещают ответ в течение 3 дней, но никто не ответил ни через 4, ни через 5. Я начал напоминаться, и где-то через недельку, меня попросили выслать логи и техрепорт (support.rif) с роутера.
Собрав все данные, я выслал их и… часы ожидания складывались в дни, дни в недели, а недели в месяцы. В общем, ответа нет и по сей день.
5. Тормозной DNS-кэш
Что дальше?
Я читал много отзывов по форумам, где обычные люди покупали Mikrotik-и по рекомендациям специалистов, отчаивались настроить их и сдавали обратно. Мой Mikrotik худо-бедно проработал более 4 лет, и закончил свой путь на минорной ноте. Честно сказать, я не ожидал ни таких диких глюков, ни такой реакции техподдержки.
В поисках кнопки «Сделать хорошо». Zyxel в сети малого и среднего бизнеса
UPD: Телеграм чат для обсуждения оборудование Zyxel @zyxelru tg.guru/zyxelru
Роутеры Mikrotik шикарны с точки зрения сетевого инженера. Они позволяют строить невероятно сложные сетевые решения. И стоит оборудование смешные деньги.
Но для малого и среднего бизнеса, не связанного с индустрией IT, он крайне сложен в установке. Для правильной настройки RouterOS бизнесмен должен нанять подрядчика, который специализируется на этом оборудовании, либо обучить своего сисадмина. В первом случае дорого, втором — долго… и снова дорого.
Уязвимость в WinBox (CVE-2018-14847) показала, что мало кто способен корректно настроить RouterOS. А те, кто настроил — обновляют прошивки крайне редко. Несмотря на то, что последняя уязвимая версия 6.42 была выпущена 20 апреля 2018 года, моя статья на Хабр подняла шум во всём мире, мне по настоящее время продолжают писать люди, которые только что обнаружили, что их роутер взломан через эту уязвимость…
Соотношение «цена-возможности» Mikrotik не всегда играет в пользу потребителя. Моя задача: найти сетевое оборудование, которое после прохождения «мастера» обеспечивает максимальный функционал для маленького офиса до 50 человек. При этом один из главных критериев — безопасность. Ведь, например, логистическую компанию должна беспокоить скорость доставки посылки к заказчику, а не отваливающаяся сеть и «висящий» терминал.
На аутсорсинг ко мне попал разворачивающийся маленький офис, заказавший установку сети на базе комплекта оборудования Zyxel: шлюз ATP 200, две точки Wi-Fi и управляемый PoE свитч. Опыт оказался достаточно интересным, учитывая, что к Zyxel я всегда относился с пренебрежением.
Как мне известно, Keenetic появился как кастомная прошивка для роутеров Zyxel, которую компания взяла под свою опеку. В 2016 году keenetic отделился от Zyxel и стал выпускать своё оборудование самостоятельно.
То есть сейчас Keenetic не имеет никакого отношения к Zyxel.
Перед тем, как я получил Zyxel на руки, я поинтересовался мнением своих знакомых сетевиков, как они относятся к этому оборудованию:
«Мы его к себе в датацентры не ставим, ибо это не энтерпрайс решение. А вот нашим клиентам подрядчики ставят. Оно просто работает… Поставили и забыли.»
Безопасность
Разумеется, я полез смотреть зарегистрированные CVE (Common Vulnerabilities and Exposures).
За 2018 год зарегистрировано CVE:
Даже малоизвестный Eltex из Новосибирска имеет 5 уязвимостей.
Zyxel 7 уязвимосетей.
У Zyxel меня позабавила уязвимость CVE-2018-9149 с максимальным рейтингом опасности:
The Zyxel Multy X (AC3000 Tri-Band WiFi System) device doesn’t use a suitable mechanism to protect the UART. After an attacker dismantles the device and uses a USB-to-UART cable to connect the device, he can use the 1234 password for the root account to login to the system. Furthermore, an attacker can start the device’s TELNET service as a backdoor.
Сразу вспоминаются кадры из любимых шпионских боевиков, где главный герой/злодей проникает на базу по верёвке и цепляется к некой коробочке проводком, чтобы остановить/запустить ядерные ракеты, нацеленные на… *додумайте сами*.
То есть, чтобы воспользоваться этой уязвимостью, необходимо атакующему подключиться к Wi-Fi точке физически, используя специальный кабель USB-to-UART!
Вопросов к надежности Zyxel по CVE у меня не осталось.
Распаковка
Коробочки пришли, а стены еще красят. Распаковываем дома.
Первое мое впечатление – это вес! ATP 200 весит 1.4 кг для своего маленького размера (272x36x187 мм). Точки доступа также заметно тяжелее Ubiquiti.
В коробках с точками не было блоков питания. Такое оборудование при адекватной установке запитывается по PoE. Управляемый свитч GS1200-5HP для этого и был приобретён.
Первое включение
Подключил ATP200 к ноуту кабелем через порт P4 (из lan) шлюза. В wan1 воткнул проводной интернет, в USB1 E3272 с прошивкой Hi-Link и в USB2 свой Андроидфон в режиме «USB модема». Загружался он около минуты. Далее по «Quick Start» я полез на 192.168.1.1. Вот тут меня ожидала первая неприятность. Вебморда у него работает по SSLv3, который на современных браузерах выключен. Включаем:
При первом входе он не дает перейти к следующему действию без смены пароля, в отличие от RouterOS. Далее стартует «мастер», в котором я указал, что хочу использоваться второй порт wan (p3). Дополнительных устройств «мастер» не увидел.
Сервисы оставил также по умолчанию.
Так как у меня есть беспроводные точки, то включаю контроллер WiFi сразу:
Еще один плюс в безопасности: крайне опасная функция по умолчанию выключена:
Повторно логинимся и тут же прилетает уведомление о новой прошивке.
Вот и всё! Ноутбук бороздит просторы мировой сети интернет! Правда, только через порт wan1.
Резервный канал
Лезем в конфиг с целью добавления USB модема и Андроидфона в группу портов WAN. В «Конфигурация → Интерфейсы» активным становится только Hi-link модем. Андроидфон так и остался не распознанным.
В свойствах соединения можно установить проверку канала по:
а также установить параметры лимитированного соединения, например, по объему трафика, если он у оператора ограничен.
Далее нам надо разрешить выпускать клиентов через этот модем. Я сделал его равнозначным каналу, который воткнул в wan1:
Жмём внизу «применить» и всё! Вся сеть будет ходить сразу по двум каналам.
Подключаем WiFi
Тут чуть-чуть сложнее.
Редактируем профиль безопасности.
Конфигурация → Объекты → Профили точек доступа → SSID → Список профилей безопасности. Выбираем профиль default и жмём «Редактировать»:
Указываем wpa2 и чуть ниже ключ от сети.
Сохраняем и переходим в соседнюю вкладку «Список SSID». Редактируем профиль «default», задав имя для своей точки.
Настройки для точек по «умолчанию» мы под себя отредактировали.
Теперь разрешаем автоматически регистрировать «пустые» точки.
Включаем точки в PoE свитч. Свитч включаем в lan порт (p4-p7). И… И всё. Точки автоматически обнаружены и на них загружен конфиг.
Выключаем автоматическое привязывание точек. Плюс в карму безопасности.
Жмём «применить» и радуемся новой сети.
Что дальше?
Углубляемся в безопасность. Да здравствует сеть, защищенная и снаружи, и изнутри! Непреложный закон хорошего офисного админа – из всех развлекушек оставить только пасьянс косынка в свободном доступе!
Мне сильно понравилась фишка «патруль приложений». Не надо заморачиваться написанием regex инструкций для фильтрации L7, как в Микротик. Оно уже есть. Надо только добавить в политику, и всё.
Блокировка мессенджеров, онлайн-игр или социальных сетей без пота, крови и слез молодых админов.
Дашборд такой, как любят большинство начальников: с картинками и графиками. Видно, куда чаще всего идут обращения, что и сколько заблокировано, и т.д.
У Zyxel есть система централизованного управления Nebula, которую поддерживают выданные мне Wi-Fi точки. С первого взгляда — это SDN, который активно внедряют в крупных датацентрах. Но это тема уже другой статьи 🙂
А дальше ноут на просторах глобальной сети уже нашел инструкцию в 800 с лишним страниц и примерно такого же объёма хэндбук.
Лицензии
Как ни грустно, но лицензия на обновляемые базы сигнатур не бесконечна, и после первой активации шлюза сигнатуры обновляются в течение года. Далее надо подписку продлевать.
Годовая подписка на Gold стоит 38 600 рублей, а на Silver — 29 000.
Тут вопрос выгоды в каждом конкретном случае. Например, с ATP200 держать слабого админа за 30к в месяц и покупать лицензию за 40к в год, либо пользоваться Mikrotik с доп. сервером (под Сурикату) и держать «бородатого» админа за 80к в месяц.
Заключение
Для меня плюсы железок Zyxel, которые мне попались:
Опять-таки базовый функционал разворачивается легко и за короткое время.
Разумеется, есть и свои недостатки. Нужно привыкать к логике настройки. ATP200 знает мало протоколов туннелирования, например, не подходит для проброса SSTP туннеля.
Любое оборудование надо подбирать под конкретные задачи.
Обучение работе на оборудовании Zyxel (ZCNA) стоит дешевле конкурентов — 15000 рублей! Официальный MTCNA — от 22000 рублей. Cisco, безусловно вне конкуренции – как по разнообразию курсов, так и по их стоимости, приближающейся к деталям самолета.
Ввиду того, что не все на Хабре могут комментировать, и я не нашёл действующего чата Zyxel в Telegram, то создал @zyxelru. Приглашаю обсудить кейсы, настройки и прочие хитрости применения оборудования Zyxel, а также идеи для новых статей на Хабр для серии «В поисках кнопки «Сделать хорошо»».