Mikrotik vs Старый ПК, проблема выбора в малом предприятии

В малых предприятиях остро стоит вопрос экономии при закупке оборудования, зачастую этот вопрос решается отказом от закупки, если можно заставить работать имеющиеся. В этой статье я хочу поделится своим опытом в этом вопросе и осветить основные причины, почему многие делают именно так.

v9mxhs9v0udaczb7cpdrscrtvcq.png

История и причины


Начнем с истории, для чего вернемся на 7–10 лет назад. В те времена выбор был не богат:

  • Домашние роутеры от уважаемых сейчас китайских производителей до 2500 р., функционал достаточный для микрокомпании на 5 человек в одной комнате. Программная составляющая подобных роутеров крайне скупая, хотя железо бывало и довольно резвым.
  • Роутеры для малых предприятий от именитых производителей, цена уже от 8000р., но вот функционал не намного богаче. Где-то поддержка dual-wan, где-то даже IPSec.
  • Старый ПК под спец. Linux или с самостоятельно настроенным дистрибутивом общего назначения (встречались и апологеты Windows, но это не мой выбор). Тут уже возможностей много, а железо, хоть и старое, для нужд шлюза было очень даже годным. А кроме шлюза он может быт и АТС, и почтовым сервером, а до кучи еще и файлопомойкой!


В большинстве случаев (и я сам придерживался такой политики) выбор падает на ПК. За такой выбор и низка цена (условно бесплатно, за старичком уже никто работать не хочет, а выкидывать: амфибиотропная асфиксия (Жаба душит)), и безграничные возможности по работе с напильником.

odlwswelm0ssd1qtx5fk1bieynu.jpeg

Последствия выбора


В случае домашних роутеров, проблема одна: он почти ничего умного не может, ни QoS (а VoIP то уже тогда начинал шагать по стране), ни туннели с приличным шифрованием (PPtP по сути не защищен никак), ни Dual-WAN failover. Тут уже, даже если сильно извращаться с альтернативными прошивками, но начинаешь смотреть в сторону Linux, особенно, когда за 8000 р. счастья большого тоже нет, и вот он, выбор многих.

Старый ПК с Linux: мощь CPU (а он значительно мощнее того, что в домашних роутерах (да и в начальном уровне не домашних тоже)), много дискового пространства, можно замутить proxy и учет трафика и много всего, и ОЗУ вдоволь.

Но проблемы приходят с другого фронта: старое железо склонно глючить, а самописные скрипты для Dual-WAN & Failover зачатую очень хрупкие (написать устойчивый скрипт не простая задача). Доп. сервисы тоже не добавляют стабильности.

И проблем особых конечно нет, пока компания все еще маленькая, и филиалов тоже мало, и нет большой зависимости сервисов одного филиала от сервисов в другом, особенно, если интернет не является важной частью бизнеса (ага, сейчас да и без интернета). Но чем дальше, тем ситуация становится хуже. Неожиданные отвалы связи из-за железа или софта (к примеру у LXC есть нехорошая бага, после того как через интерфейс контейнера пробежит большой объем трафика, интерфейс впадает в deadlock, что выражается в частичной доступности контейнера, а при попытке перезапуска к deadlock lo интерфейса хоста контейнеризации, а затем необходимости полного перезапуска машины). И тут уже привет от недовольного начальства, сотрудников и клиентов: письма не ходят, АТС молчит, файлы недоступны, а админ грустит.

Наши дни, что можно сделать?


Маршрутизаторы Mikrotik и RoS привлекли меня первоначально своей ценой: за 3500 р. легко приобрести маршрутизатор, в котором будет:

  • Пакетный фильтр как и во взрослом Linux (ну почти, кой чего нет, а кое-что есть и своё: глобальная очередь, к примеру)
  • Хорошее железо, и оно действительно хорошее, не быстрее чем у старичка ПК, но зато вполне стабильное
  • Туннели разных видов, жаль немного, что OpenVPN старый, но и без него все хорошо получается
  • Отличная штука: winbox. Благодаря ему я стал понимать пакетный фильтр в Linux на порядок лучше. Хорошая визуализация настроек очень полезная вещь. Да и вообще визуализация ряда моментов (отслеживание соединений в реальном времени, к примеру) очень сильно помогают
  • Хороший CLI, в отличии от многих других (Zyxel и D-Link мне сильно не нравятся), я в нем освоился очень быстро
  • Контроллер WiFi сети (CAPsMAN): конечно, до уровня Cisco еще далеко, но уже умеет многое, даже сеть получается с весьма гладкими швами
  • По сравнению с ПК, выход на рабочий режим за 10–15 сек, в то же время ПК может еще только BIOS прогрузить. Это важно для ситуаций, если от интернета и доступа к другим филиалам зависит бизнес, тут каждая секунда запуска разрывает телефон звонками: ну когда-же! У нас тут клиент! Нам работать надо!
  • Без особых затруднений строится Multi-WAN с балансировкой и Failover
  • Очень хорошее WiFi железо. Разворачивал WiFi на выставке (для павильона компании с применением RB951U2nd), в итоге, при 600 WiFi клиентов в округе (к нашей точке подключено было около 20 сотрудников и 15–20 гостей) и 40 чужих точек в округе, удавалось прокачать около 2 Мбит\сек. Я считаю, что это хороший результат для точки, не предназначенной для таких условий, да при такой зашумлености эфира
  • Оперативно работающая тех. поддержка, несколько багов они исправили после моих обращений.
  • MetaROUTER (не на всех моделях работает): если что, можно запустить несколько виртуальных роутеров или OpenWRT.
  • Довольно продвинутых скриптинг
  • Большинство питается от источников питания с вольтажом от 7В до 30В и поддерживает Static POE с таким разбросом вольтажа. Это очень помогает, когда надо поменять БП, подходит почти любой :)


К недостаткам можно отнести:

  • Отсутствие DNS proxy
  • Встроенный RADIUS сервер не умеет авторизовывать WiFi
  • IPv6 есть, но его поддержка довольно скупа, что пока еще не очень критично
  • IPSec, который не работает в ряде специфических случаях (вот один из таких: Mikrotik L2TP/IPSec за NAT: ipsec, error failed to pre-process ph2 packet)
  • CAPsMAN не умеет работу в качестве промежуточного контроллера, что не позволяет управлять всем WiFi компании по всем филиалам. Если связь с контролером пропадает, то WiFi отключается :(
  • Возможно еще что-то, но это я пока наверно не использую


Эпилог


Конечно, это сильно не техничеcкая статья, а больше сборник моих впечатлений от RoS и RouterBoard. В свою компанию я купил уже много роутеров Mikrotik, и пока мне не пришлось сожалеть об этом. Уход от старых ПК устранил львиную долю проблем с сетью.
Если вы все еще используете старые ПК в качестве шлюзов, задумайтесь, возможно, стоит вынести роль шлюза на отдельное, предназначенное для этого решение. К вашему выбору и 5-ти портовые вариации, и 24-х портовые (с аппаратным VLAN) и много других, включая модели с аппаратным ускорением шифрования. Отдельного внимания, для небольшого офиса заслуживает MIKROTIK CRS125–24G-1S-2HND-IN, тут вам и 24 порта и WiFi на боту, CPU способной прокачать до 50 Мбит\с с QoS как в этой статье: Mikrotik: Балансировка в КПСС и соблюдение скоростного режима или до 20 Мбит\с через VPN с шифрованием (к сожалению, не аппаратного ускорения шифрования).

© Habrahabr.ru