Комментарии 93

Тут вопрос, какие подводные камни у опенврт на железе микротика? как с производительностью?

Не только. Вообще не понимаю смысла шить openwrt в микротик. Хорошо раньше было — был MetaROUTER, но вероятно правильно, что его выпилили

Как бы текущая 6.45.8 + на подходе 7 + есть микроты, где метароутера в принципе не было (типа CHR)

Поправочка, 6.46.3 в stable. В любом случае, metarouter не выглядит выпиленным.

Ага, нету, как же — зато там netfilter. Старый добрый, все тот же

Если есть опыт, поделитесь информацией как правиьно сделать бэкап и накатить его для восстановления.
(тут должна быть картинка про троллейбус из буханки хлеба)

В моём представлении мира Mikrotik-и покупают не столько из-за железа, сколько как раз из-за RouterOS.
Те же, кто хочет себе роутер с OpenWRT, имеют более широкий выбор «железа», не ограниченный только Mikrotik-ами.

А если Mikrotik уже настроен под конкретные требования и задачи, то переходить на OpenWRT — ну, такое себе.

Задачу поднятия WireGuard (и не только) вполне можно решить, добавив дешевый одноплатник (входящий в список поддерживаемых Armbian-ом Orange Pi Zero, например, стоит меньше 1000 рублей) с полноценным Linux.

Ещё есть такой момент, что SOHO-роутеров, поддерживаемых OpenWRT, с наличием 5ГГц сетей (и нормального MU-MIMO при этом) не просто мало, а вообще не существует кроме одного ASUS определенной ревизии железки (устройства на MediaTek/MIPS в расчет нельзя брать по причине плохих открытых драйверов).


И, получается, hAP ac/ac2 сейчас — единственные адекватные решения для людей, которым хочется какое-то более-менее адекватное решение для домашней сети с настройками поинтереснее логина для PPPoE.

Так микротик как раз таковым и является: адекватным, интересным, при этом поддерживаемым и обновляемым без танцев.


С wrt другой вопрос: хочется поддержки шифрования аппаратно, как у неё с этим? Подозреваю, что плоховато, а у ROS можно пошаманить и ipsec ускорить в разы (притом не тратя ЦП).

Так микротик как раз таковым и является: адекватным, интересным, при этом поддерживаемым и обновляемым без танцев.

Об этом и речь, что это в принципе безальтернативное решение конкретно в такой нише. Это не плохо и не хорошо — у RouterOS есть как достоинства, так и недостатки, но такая вещь хотя бы существует.

Хорошо что вы затронули тему альтернативных вариантов решения данной задачи, но мне непонятно почему некоторые воспринимают данное решение в штыки. Это один из способов, да их может быть много и каждый хорош собой или более «нативный», но это не означает что он более простой для настройки или рабочий. Прежде чем публиковать статью я изучил материал на сайтах источниках и попробовал проделать все шаги на своём устройстве, надеюсь если вы даёте рекомендации или советы, то основываетесь в первую очередь на своём опыте и готовы им поделиться опубликовав статью.
С wrt другой вопрос: хочется поддержки шифрования аппаратно, как у неё с этим? Подозреваю, что плоховато, а у ROS можно пошаманить и ipsec ускорить в разы (притом не тратя ЦП).

Прелесть wireguard как раз в том, что ему не нужно аппаратное шифрование. Он дает безумные скорости даже на самом днищенском железе. По крайней мере, на своем обрубке с 4мб оперативки и тапком вместо процессора wireguard работал со скоростью моего аплинка.

На вайргарде свет клином не сошелся. Он ни в одном роутере по сути не реализован, чтобы без перепрошивки, без Танцев и с гарантией от производителя роутера (притом так будет еще года два, если повезет). А с цисками и микротиками все равно нужен ipsec, и если его можно ускорить аппаратно, то так и надо сделать.


Так вот я нигде не нашел, какая-то из wrt вообще аппаратно ускорять крипто умеет? Для них это не профильная тема, а фича эта требует много сил.


В общем, я бы лучше одноплатник к микротику подключал для вайргарда, чем роутер перешивал целиком. От греха, микрот-то известно как работает.


Может, они в седьмой ветке родят?

Он ни в одном роутере по сути не реализован, чтобы без перепрошивки

Естественно, он только был вмерджен в ядро. Этого нужно еще лет 5 подождать. Но прямо сейчас это уже один из самых лучших (высокопроизвоидельных и удобных) способов поднять VPN между линуксами.

Так разговор про роутеры, а не про линукс. Хотя с ядром линукса много чего создается, роутеров из коробки, да таких, на которых еще и уверенно можно сеть большой нагрузки построить, не так и много. Так что то, что в ядро одной из ос вмержели что угодно, от мира сете далековато, хотя это и жаль.


Ovpn никто из главных игроков не думал поддерживать, но микротики не поленились, за что им спасибо. Wireguard хорош (так и tinc хорош) но в роутерах его тупо нет. Пока. Но, как кажется, это надолго.

но в роутерах его тупо нет. Пока. Но, как кажется, это надолго.

Я сказал абсолютно то же самое. Тем не менее, шансы у него есть (в отличие от openvpn)


Ovpn никто из главных игроков не думал поддерживать

У этого только одна причина: клиент потребляет ресурсов больше, чем обычно на роутере доступно. Только для запуска, про работу вообще речь не идет.

Да нет. Просто роутеры — это как-то больше про L3/L4, а ovpn и sstp немного выше по модели. Так же, как в роутер не встраивают клиент 1с (пошлый пример, понимаю), так и ovpn всякие циски считают ниже своего достоинства.


На джуниперах, даже на свичах, процессора хватит на мнооого ovpn, но… не в традиции, понимаешь!

У производителей всегда есть линейка продуктов и функциональность самого дешевого в линейке заведомо скромнее чем самого дорогого. В домашних роутерах нет VPN потому что они в самом низу линейки.
Собственно потому производители не любят сторонние прошивки (dd-wrt, openwrt и тд) что они ломают им весь маркетинг и экономику, в дешевых устройствах появляются такие функции какие есть в топовых (ну за исключением производительности конечно, прошивкой памяти не добавишь).
SOHO-роутеров, поддерживаемых OpenWRT, с наличием 5ГГц сетей (и нормального MU-MIMO при этом) не просто мало, а вообще не существует кроме одного ASUS

Слишком смелое, но неверное утверждение.
Вы table of hardware хоть смотрели?
Говорю как человек, имеющий дома три роутера OpenWRT с 5 GHz)

Утверждение хоть и смелое, но в целом справедливое, роутеры совместимые с openwrt в рознице сейчас не дешевле микротиков сохо класса.
Учитывая то что микротик достаточно консервативен(допустим wireguard новинка, но там и в древнем openvpn поддержки tls нет), то иногда имеет смысл перешить его в openwrt

Утверждение хоть и смелое, но в целом справедливое

Напомню: там было сказано, что с 5 GHz роутера, поддерживаемых OpenWRT,
"не просто мало, а вообще не существует кроме одного ASUS“. Но это не так.


роутеры совместимые с openwrt в рознице сейчас не дешевле микротиков сохо класса.

Да не говорите ерунды. Даже те же Xiaomi (для которых есть поддержка) поддерживаются OpenWRT.

Вы, вероятно, упустили, что во-первых, многие такие устройства на MIPS, с небольшим количеством RAM и совсем не поддерживают MU-MIMO, что совсем плохо сказывается на пропускной способности.


Во-вторых почти все, у которых какая-то поддержка Wave2 всё же есть — на медиатеке.
Все Xiaomi, которые поддерживаются OpenWRT на медиатеке.
У медиатека отвратительные открытые драйвера, потому что они сделаны без спецификаций от производителя сообществом, а официальный драйвер который используют вендоры в своих прошивках они никому не дают.


Насколько я знаю, в 19.07 ситуация улучшилась, но в предыдущей версии OpenWRT скорость по беспроводному соединению с использованием 802.11ac была даже меньше чем обычный 2.4ГГц 802.11n.


Если вы покажете хотя бы один роутер, который не использует SoC от MediaTek, при этом с поддержкой 802.11ac Wave2 и его можно пойти и купить в обычном магазине — был бы очень признателен, потому что ни в ToH, ни на реддите, ни на форуме OpenWRT такие устройства обнаружить не удалось.

802.11ac была даже меньше чем обычный 2.4ГГц 802.11n.
R8000 по любому из двух 5 GHz при тестировании iperf показывал больше ~1100 Mbps (коннект 1300). Этого мало? Да, там BRCM. Но оно работает.

Только нюанс в том, что hAP ac стоит 7000р, а R8000 — 20000р, и первый можно купить в любом популярном маркете, а второй есть в единственном мутном магазине в Я.Маркет


Этого мало?

Этого нормально, но там не MediaTek, про проблемы с драйверами было явно указано, что речь именно про него.

Я прямо из реальной практики говорю: у нас со временем начали старые роутеры сыпаться(онлайн камеры на погранпереходах, условия на столбах не комнатные), а новых дешевых совместимых нет. Раньше за 1т можно было в рознице купить любой тплинк или асус(точек много, надо экономить). А сейчас в рознице почти все несовместимое либо цена конская.
С АлиЭкспресс заказать не вариант потому что руководство платит только безналом.
В итоге пришлось переходить на микротики, они оказались дешевле и практичнее, т.е. выбор был только из-за железа, роутерос бонусом пошёл.


Ну а про 5ггц мож преувеличил человек или он только из определенного магазина купить может, я не интересовался этим моментом

У "Телеофис" есть роутеры на OpenWRT, в том числе позиционирующиеся как "для подключения камер. У них же есть роутеры и на платах Mikrotik. Недёшево, правда. Зато технологично

Эх, если бы все тогда делалось технологично, проект бы вообще не состоялся. И так эти 280 тыс руб для регионального независимого сайта дались нелегко :)
допустим wireguard новинка, но там и в древнем openvpn поддержки tls нет

Ну, так это микротик надо дожимать. Условно — устанавливая openwrt мы придерживаемся политики эскапизма — и у микротика как фирмы нет оснований внедрять эти крутые технологии, чтобы осчастливить нас как клиентов

Я уже староват для этих штук, тратить свои время и силы чтоб менять мир в лучшую сторону и все такое. :)
Да и ждать некогда микротиков, когда они запилят фичи и выкатят в прод, результат нужен в обозримое время.
И так хватает ожиданий, например жду когда
Nordic выкатит наконец свои ФАР антенны для позиционирования внутри помещений(обещали в прошлом году, перенесли, теперь вот вроде в марте), на это я повлиять не могу и альтернатив этому нет. А у роутероса они есть.

У меня был роутер с OpenWRT и поддержкой 5ГГц, и ситуация с такова, что либо это что-то с медиатеком (и, как оказалось, совершенно ужасными скоростями), либо полтора роутера на ARM, которые в рознице сейчас не купить.


Остальное — это broadcom у которого нет открытых драйверов в принципе, либо совсем хилые устройства у которых 802.11ac есть только в буклете

Я надеюсь, что портируют OpenWrt на свеженький Xiaomi AX3600. Внутри у него IPQ8071, а на алиэкспрессе я вижу устройства на IPQ8072, работающие под OpenWrt.

Там было сказано, что нет устройств с поддержкой OpenWRT и MU-MIMO, а не о том, что в микротике она есть.


Тем не менее, IPQ4019, например, MU-MIMO сам по себе поддерживает, RouterOS имеет полную поддержку Wave2 кроме как раз MU-MIMO, но об этом речи не шло. Вероятно, до ROSv7 её и не будет.

Вас кто-то ввёл в заблужение)
1. hap ac 2 построен на IPQ4018. (то, что в интерфейсе отображается 4019, это ошибка программистов)
2. RouterOS может и имеет подержку большей части фишек именно кусочка стандарта АС под названием Wave2. Но производитель об этом явно нигде не пишет, а апдейты выходят с описанием вида «improved wi-fi stability». Что туда включено в это «improved» никто толком не знает. Так что нет никакой гарантии, что там действительно «большинство фишек».
А в целом стандарт AC поддержан на минимуме. Beamforming, Airtime Fairness, 802.11k/v/r и т.д. и т.п. Их даже в планах нет. А MU-MIMO выйдет только в 7й версии, планов по выпуску которой тоже нет. Её пилят уже несколько лет и дата выхода озвучивается в виде «как только так сразу».

Хз на что тут надеяться у Микротиков… мне хоть они и очень нравятся (есть в хозяйстве hap ac2), но WiFi там просто убогий по сравнению даже с копеечными ТПлинками.
Если что, 7 версия уже некоторое время доступна в публичной бете. Можно попробовать, на ac2 она доступна, насколько помню.

Метароутер — глючное кхм, создание и в продакшине его можно использовать чуть менее, чем никак. Да и сам микротик на него забил в новых железках.

про WireGuard ничего сказать не могу, а вот зависания микротика с метароутером сам видел.
Да и сам микротик на него забил в новых железках.

и правильно сделал

Выпустили бы в отдельной линейки KVM — могло бы и пойти. Комбайн для удаленного офиса, да и для дома. Но цена?!

У Orange Pi Zero порт 100 Mbit. В 2020 году это просто смешно, только для IOT и годится.

Я б не сказал. Как раз таки не у каждого скорость интернета выше 100 Мбит/с.

То что у оранжа и распберри порт поддерживает 100мбит это не значит что он столько пропустит. Во всех этих дешевых одноплатниках сетевые подключены через usb шину к слабому контроллеру.
В общем дешевые одноплатники спроектированы для IoT, чтоб пинами дергать, а не чтоб трафик гонять

Во всех этих дешевых одноплатниках сетевые подключены через usb шину к слабому контроллеру.


Начиная с rpi4 это уже не так.

Ну так в rpi4 и цена будет повыше, и так сравнима с неплохим роутером уже. Это не считая того что надо докупить бп и карту памяти, да и корпус не помешал бы.

Можно купить mikrotik в качестве железа, которое хорошо поддержано в OpenWRT, а не искать полукитайские роутеры подходящих ревизий, которые оказывается уже не выпускаются. Я использую и микротик и openwrt оба рядом дома, т.к. mikrotik не умеет web-сервер и udpxy, которые умеет openwrt.
Полностью с вами согласен. Зачем покупать Микротик для того, чтобы поставить на него OpenWRT и настроить на нем WireGuard? Я этого не понимаю.
Вся прелесть RouterOS пропадает.

В чем фишка этого wireGuarde? Придумали новую сборку и Пытаются решить ей все проблемы?

При слабом железе гувюард будет прилично быстрее, особенно когда нужно выйти за 500мбит.с
И при нестабильном инете его не нужно переподымать
надеемся это поспособствует внедрению в RouterOS.
И не надейтесь. У них ядро 3.3x

Забавно. Опять эффект парных случаев: по работе я сортировал OpenWRT на маршрутизатор Mikrotik именно из-за ряда сетевых возможностей...

Вы смеётесь? OpenBSD?!
Давно ли портировали под все архитектуры?! Где там поддержка "железа"? Где community? Современные сетевые возможности?
Это даже не смешно...

FreeBSD. Платформа увы только x86. А вот Community, имхо, очень даже приличное, более энтерпрайзное, чем OpenWRT, плюс документация отличная. А про какие современные сетевые возможности Вы говорите?

Почему Вы сравнивает комьюнити FreeBSD (а не pfSense) с комьюнити только OpenWRT? Ведь главное — ядро. Добавьте комьюнити Linux Kernel и GNU/Linux в целом — и вот уже совсем иной расклад.


Да и к чему это всё, если Вы говорили о x86 pfSense на arm?!

Я говорил как раз о комьюнити и документации pfSense, а не FreeBSD. А про pfSense на arm я вообще ничего не писал.

Астрологи объявили неделю WireGuard. Теперь хомячки начнут пихать его куда можно и куда нельзя. Быстро вы забросили свой любимый OpenVPN

Лень гуглить дату первого релиза, но OpenVPN я ещё лет 15 назад видал в работе. Не так уж и быстро

Буквально на прошлой неделе установил OpenWrt на RB750Gr3 hEX. Специально подбирал железо под установку OpenWrt, выбирал между Mikrotik RB750Gr3 и Ubiquiti EdgeRouter X, они очень похожи, на одинаковом железе, у последнего 256Mb flash, но нет USB. Зато у hEX есть слот SD карты и USB. В общем выбрал hEX и не жалею. На SD сделал ext root, на нем теперь живуют python3, php7, gcc. Ось раздулась уже более 200Mb. Еще свободный USB порт.

Ну вот лично я не вижу тайного смысла ушатать 951й микрот ради установки wrt. Доноров для установки wrt море. А ros еще в хозяйстве пригодится.

Не могу представить себе Mikrotik не то чтобы без RoutOS, а хотя-бы без серой упаковочный коробочки! Это религия, братан, окстись ибо не ведаешь, что ты творишь!

OpenWrt + wireguard да ещё и на железе Mikritik даёт 100 из 100 мегабит
Проверенно трудится уже целый год, странно что на хабре статья появилась так поздно, спустя аж 4-е года после выхода в свет wg. Я использую OpenWrt везде где только можно, гибкость + свыше 20000 программ портированных со старших братьев. Более того сборка прошивки из исходников, делает OpenWrt ваше лялей.

Речь про однопроцессорные модели?
Параллелизация по ядрам есть хоть на каких-то приложениях там?

Ядро там Linux, а это значит что система сама по умолчанию умеет работатть с многоядерными процами. <a href="https://drive.google.com/file/d/1jZdV-eXRTSjSXwJl8feiAhfLV7OoDtQP/view?usp=sharing">https://drive.google.com/file/d/1jZdV-eXRTSjSXwJl8feiAhfLV7OoDtQP/view?usp=sharing</a>
Это скрин с роутера mi 4g. Распределение потоков это задача не софта, а ОС.
Даже на простеньких TP-LINK роутерах OpenWrt показывает очень хорошие результаты.
В OpenWrt так же входит язык Lua по умолчанию, есть еще JIT компилятор, ну а любителям прекрасного, дарована возможность писать на полноценном Cи. Я собирал такой конф для своего проекта PHP + NGINX + WireGuard + NFS, всё это очень быстро работает, причем на TP-LINK 842N V5. Единственное узкое место флэш ром. Но я решил вопрос скорости чтения flash, просто тупо примонтировав NFS директорию с сервера в директорию /www. Страницы с медиа контентом и прочей ересью грузятся довольно быстро. По поводу wifi и MIMO, опция noscan в конфиг wireless надо добавить, и тогда будет норм.

Всем Адептам RouterOS. Ну вот я с linux знаком с 2008-го года, с openwrt c 2011-го. Причем мне не пришлось учить новый синтаксис команд для того чтобы писать shell скрипты и прочую автоматизацию рутины на роутере. Считаю синтаксис RouterOS костылём. В OpenWrt Есть возможность "Штамповать" роутеры со всем нужным софтом и преднастройками.
Я тут с коллегами по цеху общался, они мне про ip-sec и OpenVpn топить начали, Вы бы видели их рожи когда я достал TP-LINK (уже заведамо преднастроенный) и воткнул вместо микрота, промерил скорость iperf'ом. =)
Если брать с китая mi, вы получите: 4-е ядра, 256 оперы. Гигабитные порты, и всё это в пределах 2000р со всеми плюшками Linux. OpenWRT по факту круче RouterOS только даже из-за того что он умеет всё то же самое но по приемлемой цене, с гибкой вариацией выбора железки для проекта и возможности создания целой программной платформы под свои нужды. OpenWRT это не готовое решение, а очень гибкая в настройке и обслуживании OS.
Ну, а для особо упоротых админов в OpenWrt есть UCI (по синтаксису довольно схож с микротом).

mi 4G забить на Aliexpress в поиск, ну а там сами по железу как надо подберете, почитав тех. характеристики.

У меня сейчас в продакшн такой стоит. На ней висит 8 клиентов wg, а через wg проброшены камеры с разными подсетями, из разных концов города, 7 мес работает без багов, настроил и забыл.

Она умеет в вебе отслеживать трафик на любом из интерфейсов, у меня вся конструкция отъедает 12-15 М/бит

Являюсь ярым фанатом микротик, но всякой задаче подходящий инструмент.
Стандартный клиент WireGuard есть для Keenetic. Ставится и настраивается элементарно.

Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.