En Telegram-babilejo Mi ofte vidas demandojn pri kiel ŝpari monon aĉetante licencon de Mikrotik, aŭ uzi RouterOS senpage. Strange, tiaj metodoj ekzistas en la jura kampo.
En ĉi tiu artikolo mi ne traktos licencadon de Mikrotik-aparatoj, ĉar ili estas fabrike instalitaj kun la maksimuma licenco, kiun la aparataro povas subteni.
De kie venis Mikrotik CHR?
La firmao Mikrotik produktas diversajn retajn ekipaĵojn kaj instalas sur ilin universalan operaciumon de sia propra produktado — RouterOS. Ĉi tiu operaciumo havas grandegan funkciecon kaj klaran administran interfacon, kaj la ekipaĵo, sur kiu ĝi estas uzata, estas tre malmultekosta, kio klarigas ĝian vastan uzon.
Por uzi RouterOS ekster sia aparataro, Mikrotik publikigis x86-version, kiu povus esti instalita sur iu ajn komputilo, donante duan vivon al antikva aparataro. Sed la licenco estis ligita al la aparatarnumeroj de la ekipaĵo, sur kiu ĝi estis instalita. Tio estas, se la disko malfunkciis, tiam oni povis adiaŭi la licencon...
aparataro kaj RouterOS x86 havas 6 nivelojn kaj enhavas multajn parametrojn:
La x86-versio havis alian problemon - ĝi ne estis tre amika kun hipervizoroj kiel gasta sistemo. Sed se oni ne atendis altajn ŝarĝojn, tiam ĝi estas tute taŭga versio.
La laŭleĝa RouterOS x86 en prova versio povas plene funkcii nur dum 24 horoj, kaj la senpaga havas multajn limigojn. Neniu sistemadministranto povos plene taksi ĉiujn funkciojn de RouterOS en 24 horoj...
El piratkopiita rimedo, vi povus facile elŝuti virtualan maŝinan bildon kun RouterOS x86 jam instalita, kompreneble per viaj propraj hakoj, sed por mi, ekzemple, tio sufiĉis.
"Se vi ne povas venki la homamason, gvidu ĝin"
Kun la tempo, la kompetenta estraro de la kompanio Mikrotik decidis, ke estas neeble batali piratadon kaj necesas igi neprofitan ŝtelon de ilia operaciumo.
Jen kiel aperis forko de RouterOS - "Cloud Hosted Router", ankaŭ konata kiel Ĉi tiu sistemo estas optimumigita specife por laboro sur virtualiga sistemo. Vi povas elŝuti bildon por ĉiuj komunaj virtualigaj platformoj: VHDX-bildo, VMDK-bildo, VDI-bildo, OVA-ŝablono, Kruda diska bildo. La lasta virtuala disko povas esti deplojita sur preskaŭ ajna platformo.
La permesilsistemo ankaŭ ŝanĝiĝis:
La limigo koncernas nur la rapidon de retpordoj. Ĉe la senpaga versio ĝi estas 1 Mbit/s, kio sufiĉas por konstrui virtualajn standojn (ekzemple, ĉe )
La pagita versio en la oficiala retejo estas tre multekosta, sed vi povas aĉeti ĝin iom pli malmultekoste de oficialaj vendistoj:
Kaj se vi kontentas pri la rapido de 1 Gbit/s ĉe la pordoj, tiam la P1-licenco sufiĉos por vi:
Por kio estas CHR? Miaj ekzemploj.Mi ofte aŭdas la demandon: kial ni bezonas ĉi tiun virtualan enkursigilon? Jen kelkaj ekzemploj pri tio, por kio mi persone uzas ĝin. Bonvolu ne babili pri ĉi tiuj solvoj, ĉar ili ne estas la temo de ĉi tiu artikolo. Ĉi tio estas nur ekzemplo de apliko.
Centra enkursigilo por konekti oficejojn
Iafoje necesas unuigi plurajn oficejojn en unu reton. Ne ekzistas oficejo kun dika interreta kanalo kaj blanka IP-adreso. Eble ĉiuj estas sur Yota, aŭ 5-Mbit/s kanalo. Kaj la provizanto ankaŭ povas filtri iujn protokolojn. Ekzemple, mi rimarkis, ke L2TP simple ne funkcias per la Sankt-Peterburga provizanto "Comfortel"...
En ĉi tiu kazo, mi starigis CHR en datumcentro, kie ili donas dikan stabilan kanalon al unu VDS (kompreneble, mi testis ĝin el ĉiuj oficejoj). Tie, la reto malofte tute falas, male al "oficejaj" provizantoj.
Ĉiuj oficejoj kaj uzantoj konektiĝas al CHR per la VPN-protokolo, kiu estas plej optimuma por ili. Ekzemple, poŝtelefonaj uzantoj (Android, IOS) sentas sin bonege ĉe IPSec Xauth.
Krome, se datumbazo de pluraj dekoj da gigabajtoj estas sinkronigita inter oficejo 1 kaj oficejo 2, la uzanto observanta la fotilojn ĉe la loko ne rimarkos tion, ĉar la rapido estos limigita de la kanallarĝo sur la fina aparato, kaj ne de la CHR-kanalo.
Enirejo por hipervizoro
Luante malgrandan nombron da serviloj en datumcentro por pluraj taskoj, mi uzas virtualigon VMWare ESXi (ĉiu alia eblas, la principo ne ŝanĝiĝas), kiu ebligas flekseblan administradon de disponeblaj rimedoj kaj ilian distribuon inter servoj lanĉitaj en gastaj sistemoj.
Mi konfidas retan kaj sekurecan administradon al CHR kiel plenkreska enkursigilo, per kiu mi administras la tutan retan agadon de kaj ujoj kaj la ekstera reto.
Cetere, post instalado de ESXi, la fizika servilo ne havas blankan ipv4. La maksimuma adreso, kiu povas aperi, estas ipv6. En tia situacio, estas simple nerealisme detekti la hipervizoron per simpla skanilo kaj profiti de la "nova vundebleco".
Dua vivo por malnova komputilo
Mi kredas, ke mi jam diris tion :-). Sen aĉeti multekostan rutero, vi ankoraŭ povas krei CHR-on sur malnova komputilo.
Plena CHR senpage
Plej ofte mi vidas, ke oni serĉas senpagan CHR por starigi prokurilon ĉe eksterlanda VDS-gastigado. Kaj ili ne volas pagi 10 mil rublojn por licenco el sia salajro.
Malpli ofta, sed tamen ebla: sovaĝe avida administrado, devigante administrantojn konstrui infrastrukturon el fekaĵoj kaj sensencaĵoj.
Provo 60 tagoj
Kun la apero de CHR, la prova periodo plilongiĝis de 24 horoj ĝis 60 tagoj! Deviga kondiĉo por ĝia disponigo estas la rajtigo de la instalado sub la sama salutnomo kaj pasvorto, kiujn vi havas ĉe
Rekordo de ĉi tiu instalado aperos en via konto en la retejo:
Ĉu la proceso finiĝos? Kio sekvos???
Nenio!
Havenoj funkcios je plena rapideco kaj ĉiuj funkcioj daŭre funkcios…
Ĝi nur ĉesos ricevi firmvarajn ĝisdatigojn, kio ne estas kritika por multaj. Se vi sufiĉe atentas sekurecon dum ĝia agordo, vi eĉ ne bezonos ensaluti dum jaroj. Mi skribis pri tio, al kio vi devus atenti aparte en ĉi tiu artikolo.
Sed kio se vi ankoraŭ bezonas ĝisdatigi la firmvaron post la fino de la prova periodo?
Ni restarigas la teston jene:
1. Faru sekurkopion.
2. Ni portas ĝin al nia komputilo.
3. Reinstalu CHR sur vds tute.
4. Ensaluti
Tiel, informoj pri la sekva CHR-instalaĵo aperos en la persona konto en la retejo de Mikrotik.
5. Deploju la sekurkopion.
Agordoj restarigitaj kaj 60 tagoj restas denove!
Ne necesas reinstali
Ni imagu, ke vi havas cent vendejojn, kie antikva komputilo kun CHR estas uzata kiel enkursigilo. Vi monitoras CVE kaj provas rapide respondi al malkovritaj vundeblecoj.
Reinstali CHR sur ĉiuj objektoj ĉiun duan monaton estas malŝparo de administraj rimedoj.
Sed ekzistas maniero, kiu postulas almenaŭ unu aĉetitan CHR P1-licencon. Preskaŭ ĉiu ajn kompanio povas trovi 2 mil rublojn, kaj se ili ne povas, tiam vi devus forkuri de tie ^_^.
La ideo estas laŭleĝe translokigi la permesilon de aparato al aparato per via persona konto ĉe mikrotik.com!
Ni elektas la "Sisteman ID" de la bezonata rutero.
Kaj alklaku "Translokigi abonon".
La permesilo "translokiĝis" al la nova aparato, kaj la malnova aparato, kiu perdis sian permesilon, ricevis novan 60-tagan provperiodon sen ia reinstalo aŭ pliaj penoj!
Tio estas, per nur unu permesilo, vi povas servi grandegan aron de CHR!
Kial Mikrotik tiom malstreĉigis sian licencpolitikon?
Pro la havebleco de CHR, Mikrotik kreis grandegan komunumon ĉirkaŭ siaj produktoj. Armeo de specialistoj kaj entuziasmuloj testas ilian produkton, faras raportojn pri detektitaj cimoj, generas sciobazon pri diversaj kazoj, ktp., tio estas, ĝi kondutas kiel sukcesa malfermitkoda projekto.
Tiel, ne nur aro da kaosa scio disvolviĝas en virtuala medio, sed ankaŭ trejniĝas specialistoj, kiuj havas sufiĉan sperton pri laborado kun specifa sistemo kaj, sekve, preferas la ekipaĵon de specifa vendisto. Kaj entreprenaj administrantoj emas aŭskulti la specialistojn, kiuj laboras por ili.
Kio okazas?оalireblaj trejnadoj kaj konferencoj okazigitaj en MUM! en specialigita komunumo en Telegram nuntempe konsistas el pli ol 3000 homoj, kie fakuloj diskutas solvojn al diversaj problemoj. Sed ĉi tiuj estas temoj por apartaj artikoloj.
Tiel, la ĉefa enspezo de Mikrotik venas de vendado de ekipaĵo, ne de 45-dolaraj licencoj.
Jen kaj nun ni atestas la rapidan kreskon de IT-giganto, kiu aperis relative lastatempe - en 1997 en Latvio.
Mi ne surpriziĝus se post 5 jaroj D-Link anoncus la lanĉon de alia rutero funkcianta per RouterOS de Mikrotik. Tio okazis pli ol unufoje en la historio. Nur memoru kiam Apple forlasis sian propran PowerPC favore al Intel-procesiloj.
Mi esperas, ke ĉi tiu artikolo dispelis kelkajn el viaj duboj pri la maniero uzi produktojn de Mikrotik.
fonto: www.habr.com
