Comments 29
Люто плюсую все топики про микротик, нужно больше адептов микротика!
+7
Если бы они открыли исходники, адептов было бы больше.
-2
На конференции я задал вопрос Сергею, мол вы используете открытый софт?
Был дан ответ, что они все пишут сами.
На вопрос, а как же ядро linux?
Да используем linux.
Без модификаций?
Да без модификаций :)
Очень тихим голосом и такими честными глазами!
Был дан ответ, что они все пишут сами.
На вопрос, а как же ядро linux?
Да используем linux.
Без модификаций?
Да без модификаций :)
Очень тихим голосом и такими честными глазами!
+1
У меня лично к микротикам куча претензий. У самого RB493G дома и проблемы есть. Например вот порты прыгают в режиме up-down, раз в час. Последнее время перестало, но что вызывало такие проблемы — непонятно. OpenVPN кастрированый косой по яйцам (несмотря на то что на форуме их уже года три просят хотя бы приделать UDP, они отмахиваются, мол слишком сложно). MetaRouter заработал только в 5.21, которой еще нет в релизе, и то только для mipsbe роутеров, с powerpc до сих пор непонятно. Причем проблему дебажил обычный юзер с форума, который через netboot залез во внутренности системы. Вчера их traffic generator запустил — так он сломался и ребутнул роутер. SNMP порой просто отказывается работать, через NAT он у меня так и не взлетел. BTW, чтобы обеспечить нормальную работу RB493G + 2xR52Hn мне пришлось сверлить дырки в корпусе (стороннем, в случае дефолтного он у меня перегревался даже без вайфая) и искать довольно редкий кулер на 24v, ибо дефолтные адаптеры на 12v не обеспечивают необходимой мощности для платы + wifi. С портами для кулеров та же задница — питание идет напрямую, поэтому если у тебя БП 48v- ищи такой кулер, 24 — такой, 12 — тут уже проще. USB порт оставили без питания, хотя решается одним чипом. И да, PoE у них не 802.3af, а очередная хрень с инжекторами. Люди уже хз сколько времени просят сделать SDK, но хрен бы там. Metarouter с openwrt частично решает проблему — но он нестабилен. Серьезные протоколы? И тут всплывает целый вагон по части несовместимости, хотя тут еще вопрос кто забил на спеки — циска или микротик. Так или иначе, проблем целый вагон, предлагаются адекватные решения, люди голосуют за фичи — но разрабам глубоко похрен, они пилят что считают нужным и хрен клали на мнение юзеров. Зачем тогда страница голосований за фичреквесты на их вики?
Простите, наболело.
Простите, наболело.
+1
Немного запутался при написании пункта про порты для кулеров, уж простите. По части тех же серьезных протоколов — например стабильное нежелание приделать MSTP, который поддерживает даже мой старый linsys SRW224g4.
0
Да, да, проблем море. Но где настолько же удобные альтернативы за такие же деньги? Их нет.
0
Ну их надо то же понять. Их всего то 80 человек!
Сколько там из этих 80 програмистов? Хорошо если 10 :)
Вообще, за такие деньги — то что сделали они, это хорошо.
Используем для удаленных небольших (да и больших то же) офисов.
Очень просто сторонним админам написать, что и как делать.
Сколько там из этих 80 програмистов? Хорошо если 10 :)
Вообще, за такие деньги — то что сделали они, это хорошо.
Используем для удаленных небольших (да и больших то же) офисов.
Очень просто сторонним админам написать, что и как делать.
0
Из конфигов и описания так и не понятно OSPF завёлся или нет? В своё время от него отказались из-за этого
0
+1 про ospf, тоже актуально
0
Не, оспф на тоннеле я не настраивал в данном случае, извиняйте.
Про оспф скажу только, что стандартно он на микроте подымается хорошо (тестил пару лет назад) и в сети у меня и микроты и циски и серваки под фрёй (quagga-ospf) подружились нормально (проработали около месяца — потом убрал, т.к не требовалось — роутинг в той сети не меняется). Просто впервые микрот использовал для тоннелей, вот и решил написать сюда.
На тоннелях после плясок с бубнами поднимал ospf между циской и фрёй, в ближайшие несколько месяцев буду пробовать и на микротике.
А какие проблемы у микротов с оспф возникают?
Про оспф скажу только, что стандартно он на микроте подымается хорошо (тестил пару лет назад) и в сети у меня и микроты и циски и серваки под фрёй (quagga-ospf) подружились нормально (проработали около месяца — потом убрал, т.к не требовалось — роутинг в той сети не меняется). Просто впервые микрот использовал для тоннелей, вот и решил написать сюда.
На тоннелях после плясок с бубнами поднимал ospf между циской и фрёй, в ближайшие несколько месяцев буду пробовать и на микротике.
А какие проблемы у микротов с оспф возникают?
+1
О да! Скоро уже год, как пользуемся микротиками, и то ругаемся их на чем свет стоит, то хвалим, что все-таки достаточно много они могут за свою-то цену… Но все равно скоро будем переходить на другое оборудование.
0
Скажите, если на циске два WAN-а подключены (что для центральной точки довольно часто), то как сделать, чтобы туннель с микротика терминировался на второй WAN при падении первого? У циски можно в описании того же ipsec туннеля указать более одного peer-а, а на микротике?
0
Ага, как раз такая задача у меня для следующих тестов в ближайший 1-2 месяца, буду пробовать.
Если два провайдера и циска есть, то проще всего купить себе AS и блок адресов /24, оно стоит-то 500р в месяц, если не меньше, только регистрация первый раз в $500 получается. При падении одного канала IP циски перенесёт блока в живой канал, тунель соответственно перенесётся туда же.
А вот со стороны клиента… на каждого по AS'ке не купить :)
На фрибсд я делал как, на циске у меня AS и блок ИПов (в моей самой первой статье рассмотрено) и бгп. Я на фре поднял 2 канала, глядящих на циске и поднял ospf на quagg'е и циске. При падении канала у клиента (фрибсд) анонс локалки через оспф переносится во второй тонель (разграничил перенос приоритетами). На микротике думаю, в крайнем случае сделаю подобное, но меня напугали в каментах слова, что ospf не пашет на микроте в тонелях…
Вообщем буду пробовать, наверное след. пост будет как раз об этом.
Если два провайдера и циска есть, то проще всего купить себе AS и блок адресов /24, оно стоит-то 500р в месяц, если не меньше, только регистрация первый раз в $500 получается. При падении одного канала IP циски перенесёт блока в живой канал, тунель соответственно перенесётся туда же.
А вот со стороны клиента… на каждого по AS'ке не купить :)
На фрибсд я делал как, на циске у меня AS и блок ИПов (в моей самой первой статье рассмотрено) и бгп. Я на фре поднял 2 канала, глядящих на циске и поднял ospf на quagg'е и циске. При падении канала у клиента (фрибсд) анонс локалки через оспф переносится во второй тонель (разграничил перенос приоритетами). На микротике думаю, в крайнем случае сделаю подобное, но меня напугали в каментах слова, что ospf не пашет на микроте в тонелях…
Вообщем буду пробовать, наверное след. пост будет как раз об этом.
0
AS у меня есть :) Только 500 — это Вы много заплатили, там дешевле получалось. Ну а сейчас с адресами плохо — в смысле, RIPE уже не LIR-ам не выдает, а ради такой задачи LIR-а городить — так что не совсем чтобы решение…
Поднять 2 туннеля — как раз думаю об этом, но у меня задача дружить не с IOS-девайсом, а с ASA, так что придется с RIP возиться, а не хотелось бы, с учетом, что клиентских девайсов много — на всех не наподнимаешься.
На Микротике есть скрипты, можно, наверное, перенастраивать и передергивать туннель при пропадании связи до первого пира, но как-то это не так изящно…
Поднять 2 туннеля — как раз думаю об этом, но у меня задача дружить не с IOS-девайсом, а с ASA, так что придется с RIP возиться, а не хотелось бы, с учетом, что клиентских девайсов много — на всех не наподнимаешься.
На Микротике есть скрипты, можно, наверное, перенастраивать и передергивать туннель при пропадании связи до первого пира, но как-то это не так изящно…
0
Господа и уважаемый автор, а кто побеждал Mikrotik +L2tp IPSec? IPIP это хорошо, но что поделать если есть уже настроенная боевая циска с L2tp IPSec?
0
Коллеги, подскажите, что можно придумать, для агрегации VPN клиентов, чтобы не городить гору туннелей.
Есть стэк из двух ASR 1002 (vpn-сервер), и целая гора (300+) микротиков в качестве VPN-клиентов.
Можно ли как-то агрегировать всех клиентов одним int tun? Что-то вроде DMVPN… но микротик не умеет ни NHRP ни mGRE… есть вариант собрать DMVPN HUB и подцепить к нему клиентов по обычному GRE, но придется рисовать 300+ статичкеских маршрутов на хабе, чего тоже не очень хочется.
Есть стэк из двух ASR 1002 (vpn-сервер), и целая гора (300+) микротиков в качестве VPN-клиентов.
Можно ли как-то агрегировать всех клиентов одним int tun? Что-то вроде DMVPN… но микротик не умеет ни NHRP ни mGRE… есть вариант собрать DMVPN HUB и подцепить к нему клиентов по обычному GRE, но придется рисовать 300+ статичкеских маршрутов на хабе, чего тоже не очень хочется.
0
К сожалению, нет :(
Со статических маршрутов я перешёл на ospf, при большом количестве тунелей.
Ну и по возможности (когда условия позволяют) стараюсь использовать openvpn. Там как раз всё в один тунель убирается: сервак openvpn — и к нему цепляются микроты, с любого доступного на микротике канала, с любого адреса (белого, серого). Этим опенвпн как раз очень удобен.
Как реализовать подобное через цисковские решения с микротами — пока не придумалось :(
Если у кого-то есть решение — может напишут…
Со статических маршрутов я перешёл на ospf, при большом количестве тунелей.
Ну и по возможности (когда условия позволяют) стараюсь использовать openvpn. Там как раз всё в один тунель убирается: сервак openvpn — и к нему цепляются микроты, с любого доступного на микротике канала, с любого адреса (белого, серого). Этим опенвпн как раз очень удобен.
Как реализовать подобное через цисковские решения с микротами — пока не придумалось :(
Если у кого-то есть решение — может напишут…
0
Я конечно очень своевременно, но куда можно вставить Xauth?
— извините, тут же откопал )) в Auth. Method
— извините, тут же откопал )) в Auth. Method
0
Sign up to leave a comment.
Mikrotik + IPSec + Cisco = Мир, Дружба, Жвачка