Comments 29
Люто плюсую все топики про микротик, нужно больше адептов микротика!
Если бы они открыли исходники, адептов было бы больше.
У меня лично к микротикам куча претензий. У самого RB493G дома и проблемы есть. Например вот порты прыгают в режиме up-down, раз в час. Последнее время перестало, но что вызывало такие проблемы — непонятно. OpenVPN кастрированый косой по яйцам (несмотря на то что на форуме их уже года три просят хотя бы приделать UDP, они отмахиваются, мол слишком сложно). MetaRouter заработал только в 5.21, которой еще нет в релизе, и то только для mipsbe роутеров, с powerpc до сих пор непонятно. Причем проблему дебажил обычный юзер с форума, который через netboot залез во внутренности системы. Вчера их traffic generator запустил — так он сломался и ребутнул роутер. SNMP порой просто отказывается работать, через NAT он у меня так и не взлетел. BTW, чтобы обеспечить нормальную работу RB493G + 2xR52Hn мне пришлось сверлить дырки в корпусе (стороннем, в случае дефолтного он у меня перегревался даже без вайфая) и искать довольно редкий кулер на 24v, ибо дефолтные адаптеры на 12v не обеспечивают необходимой мощности для платы + wifi. С портами для кулеров та же задница — питание идет напрямую, поэтому если у тебя БП 48v- ищи такой кулер, 24 — такой, 12 — тут уже проще. USB порт оставили без питания, хотя решается одним чипом. И да, PoE у них не 802.3af, а очередная хрень с инжекторами. Люди уже хз сколько времени просят сделать SDK, но хрен бы там. Metarouter с openwrt частично решает проблему — но он нестабилен. Серьезные протоколы? И тут всплывает целый вагон по части несовместимости, хотя тут еще вопрос кто забил на спеки — циска или микротик. Так или иначе, проблем целый вагон, предлагаются адекватные решения, люди голосуют за фичи — но разрабам глубоко похрен, они пилят что считают нужным и хрен клали на мнение юзеров. Зачем тогда страница голосований за фичреквесты на их вики?
Простите, наболело.
Простите, наболело.
Немного запутался при написании пункта про порты для кулеров, уж простите. По части тех же серьезных протоколов — например стабильное нежелание приделать MSTP, который поддерживает даже мой старый linsys SRW224g4.
Да, да, проблем море. Но где настолько же удобные альтернативы за такие же деньги? Их нет.
Ну их надо то же понять. Их всего то 80 человек!
Сколько там из этих 80 програмистов? Хорошо если 10 :)
Вообще, за такие деньги — то что сделали они, это хорошо.
Используем для удаленных небольших (да и больших то же) офисов.
Очень просто сторонним админам написать, что и как делать.
Сколько там из этих 80 програмистов? Хорошо если 10 :)
Вообще, за такие деньги — то что сделали они, это хорошо.
Используем для удаленных небольших (да и больших то же) офисов.
Очень просто сторонним админам написать, что и как делать.
Из конфигов и описания так и не понятно OSPF завёлся или нет? В своё время от него отказались из-за этого
+1 про ospf, тоже актуально
Не, оспф на тоннеле я не настраивал в данном случае, извиняйте.
Про оспф скажу только, что стандартно он на микроте подымается хорошо (тестил пару лет назад) и в сети у меня и микроты и циски и серваки под фрёй (quagga-ospf) подружились нормально (проработали около месяца — потом убрал, т.к не требовалось — роутинг в той сети не меняется). Просто впервые микрот использовал для тоннелей, вот и решил написать сюда.
На тоннелях после плясок с бубнами поднимал ospf между циской и фрёй, в ближайшие несколько месяцев буду пробовать и на микротике.
А какие проблемы у микротов с оспф возникают?
Про оспф скажу только, что стандартно он на микроте подымается хорошо (тестил пару лет назад) и в сети у меня и микроты и циски и серваки под фрёй (quagga-ospf) подружились нормально (проработали около месяца — потом убрал, т.к не требовалось — роутинг в той сети не меняется). Просто впервые микрот использовал для тоннелей, вот и решил написать сюда.
На тоннелях после плясок с бубнами поднимал ospf между циской и фрёй, в ближайшие несколько месяцев буду пробовать и на микротике.
А какие проблемы у микротов с оспф возникают?
О да! Скоро уже год, как пользуемся микротиками, и то ругаемся их на чем свет стоит, то хвалим, что все-таки достаточно много они могут за свою-то цену… Но все равно скоро будем переходить на другое оборудование.
Скажите, если на циске два WAN-а подключены (что для центральной точки довольно часто), то как сделать, чтобы туннель с микротика терминировался на второй WAN при падении первого? У циски можно в описании того же ipsec туннеля указать более одного peer-а, а на микротике?
Ага, как раз такая задача у меня для следующих тестов в ближайший 1-2 месяца, буду пробовать.
Если два провайдера и циска есть, то проще всего купить себе AS и блок адресов /24, оно стоит-то 500р в месяц, если не меньше, только регистрация первый раз в $500 получается. При падении одного канала IP циски перенесёт блока в живой канал, тунель соответственно перенесётся туда же.
А вот со стороны клиента… на каждого по AS'ке не купить :)
На фрибсд я делал как, на циске у меня AS и блок ИПов (в моей самой первой статье рассмотрено) и бгп. Я на фре поднял 2 канала, глядящих на циске и поднял ospf на quagg'е и циске. При падении канала у клиента (фрибсд) анонс локалки через оспф переносится во второй тонель (разграничил перенос приоритетами). На микротике думаю, в крайнем случае сделаю подобное, но меня напугали в каментах слова, что ospf не пашет на микроте в тонелях…
Вообщем буду пробовать, наверное след. пост будет как раз об этом.
Если два провайдера и циска есть, то проще всего купить себе AS и блок адресов /24, оно стоит-то 500р в месяц, если не меньше, только регистрация первый раз в $500 получается. При падении одного канала IP циски перенесёт блока в живой канал, тунель соответственно перенесётся туда же.
А вот со стороны клиента… на каждого по AS'ке не купить :)
На фрибсд я делал как, на циске у меня AS и блок ИПов (в моей самой первой статье рассмотрено) и бгп. Я на фре поднял 2 канала, глядящих на циске и поднял ospf на quagg'е и циске. При падении канала у клиента (фрибсд) анонс локалки через оспф переносится во второй тонель (разграничил перенос приоритетами). На микротике думаю, в крайнем случае сделаю подобное, но меня напугали в каментах слова, что ospf не пашет на микроте в тонелях…
Вообщем буду пробовать, наверное след. пост будет как раз об этом.
AS у меня есть :) Только 500 — это Вы много заплатили, там дешевле получалось. Ну а сейчас с адресами плохо — в смысле, RIPE уже не LIR-ам не выдает, а ради такой задачи LIR-а городить — так что не совсем чтобы решение…
Поднять 2 туннеля — как раз думаю об этом, но у меня задача дружить не с IOS-девайсом, а с ASA, так что придется с RIP возиться, а не хотелось бы, с учетом, что клиентских девайсов много — на всех не наподнимаешься.
На Микротике есть скрипты, можно, наверное, перенастраивать и передергивать туннель при пропадании связи до первого пира, но как-то это не так изящно…
Поднять 2 туннеля — как раз думаю об этом, но у меня задача дружить не с IOS-девайсом, а с ASA, так что придется с RIP возиться, а не хотелось бы, с учетом, что клиентских девайсов много — на всех не наподнимаешься.
На Микротике есть скрипты, можно, наверное, перенастраивать и передергивать туннель при пропадании связи до первого пира, но как-то это не так изящно…
Господа и уважаемый автор, а кто побеждал Mikrotik +L2tp IPSec? IPIP это хорошо, но что поделать если есть уже настроенная боевая циска с L2tp IPSec?
Коллеги, подскажите, что можно придумать, для агрегации VPN клиентов, чтобы не городить гору туннелей.
Есть стэк из двух ASR 1002 (vpn-сервер), и целая гора (300+) микротиков в качестве VPN-клиентов.
Можно ли как-то агрегировать всех клиентов одним int tun? Что-то вроде DMVPN… но микротик не умеет ни NHRP ни mGRE… есть вариант собрать DMVPN HUB и подцепить к нему клиентов по обычному GRE, но придется рисовать 300+ статичкеских маршрутов на хабе, чего тоже не очень хочется.
Есть стэк из двух ASR 1002 (vpn-сервер), и целая гора (300+) микротиков в качестве VPN-клиентов.
Можно ли как-то агрегировать всех клиентов одним int tun? Что-то вроде DMVPN… но микротик не умеет ни NHRP ни mGRE… есть вариант собрать DMVPN HUB и подцепить к нему клиентов по обычному GRE, но придется рисовать 300+ статичкеских маршрутов на хабе, чего тоже не очень хочется.
К сожалению, нет :(
Со статических маршрутов я перешёл на ospf, при большом количестве тунелей.
Ну и по возможности (когда условия позволяют) стараюсь использовать openvpn. Там как раз всё в один тунель убирается: сервак openvpn — и к нему цепляются микроты, с любого доступного на микротике канала, с любого адреса (белого, серого). Этим опенвпн как раз очень удобен.
Как реализовать подобное через цисковские решения с микротами — пока не придумалось :(
Если у кого-то есть решение — может напишут…
Со статических маршрутов я перешёл на ospf, при большом количестве тунелей.
Ну и по возможности (когда условия позволяют) стараюсь использовать openvpn. Там как раз всё в один тунель убирается: сервак openvpn — и к нему цепляются микроты, с любого доступного на микротике канала, с любого адреса (белого, серого). Этим опенвпн как раз очень удобен.
Как реализовать подобное через цисковские решения с микротами — пока не придумалось :(
Если у кого-то есть решение — может напишут…
Я конечно очень своевременно, но куда можно вставить Xauth?
— извините, тут же откопал )) в Auth. Method
— извините, тут же откопал )) в Auth. Method
Sign up to leave a comment.
Mikrotik + IPSec + Cisco = Мир, Дружба, Жвачка