No chat de Telegram Moitas veces vexo preguntas sobre como aforrar diñeiro comprando unha licenza de Mikrotik ou usar RouterOS, en xeral, de balde. Curiosamente, pero existen tales formas no ámbito xurídico.
Neste artigo, non vou tocar a licenza dos dispositivos de hardware Mikrotik, xa que teñen a licenza máxima instalada de fábrica que pode servir o hardware.
De onde veu Mikrotik CHR?
Mikrotik produce varios equipos de rede e instala nel un sistema operativo universal de produción propia - RouterOS. Este sistema operativo ten unha enorme funcionalidade e unha interface de administración clara, e os equipos nos que se utiliza non son moi caros, o que explica a súa ampla distribución.
Para usar RouterOS fóra do seu hardware, Mikrotik lanzou unha versión x86 que se podía instalar en calquera PC, dando unha segunda vida ao hardware antigo. Pero a licenza estaba vinculada aos números de hardware do equipo no que estaba instalada. É dicir, se o HDD morreu, entón era posible despedirse da licenza...
hardware e RouterOS x86 ten 6 niveis e contén unha morea de parámetros:
A versión x86 tiña outro problema: non era moi amigable cos hipervisores como convidado. Pero se non se esperaban cargas elevadas, entón unha versión completamente adecuada.
O RouterOS x86 legal da proba só pode funcionar completamente durante 24 horas, mentres que o gratuíto ten moitas limitacións. Ningún administrador do sistema poderá avaliar completamente toda a funcionalidade de RouterOS en 24 horas...
Desde un recurso pirateado, era doado descargar unha imaxe dunha máquina virtual cun RouterOS x86 xa instalado, por suposto coas súas muletas, pero para min, por exemplo, abondaba.
"Se non podes vencer á multitude, lidera"
Co paso do tempo, a dirección competente de Mikrotik decidiu que era imposible loitar contra a piratería e que era necesario que non fose rendible roubar o seu sistema operativo.
Entón, había unha rama de RouterOS - "Cloud Hosted Router", tamén coñecido como . Este sistema está optimizado só para traballar nun sistema de virtualización. Podes descargar a imaxe para todas as plataformas de virtualización comúns: imaxe VHDX, imaxe VMDK, imaxe VDI, modelo OVA, imaxe de disco en bruto. O último disco virtual pódese implementar en case calquera plataforma.
O sistema de licenzas tamén cambiou:
A limitación aplícase só á velocidade dos portos de rede. Na versión gratuíta, é de 1 Mbps, o que é suficiente para construír stands virtuais (por exemplo, en )
A versión de pago no sitio web oficial morde moito, pero podes mercar un pouco máis barato nos concesionarios oficiais:
E se estás satisfeito coa velocidade de 1 Gbit/s nos portos, a licenza P1 é suficiente para ti:
Para que serve CHR? Os meus exemplos.Moitas veces escoito a pregunta: para que necesitas este enrutador virtual? Aquí tes un par de exemplos do que eu persoalmente o uso. Por favor, non holivar sobre estas decisións, xa que non son o tema deste artigo. Este é só un exemplo de aplicación.
Router central para combinar oficinas
Ás veces é necesario combinar varias oficinas nunha soa rede. Non hai ningunha oficina cunha canle de Internet gorda e unha ip branca. Quizais todos estean sentados en Yota ou nunha canle de 5 Mbps. E o provedor pode filtrar calquera protocolo. Por exemplo, notei que L2TP simplemente non aumenta a través do provedor de San Petersburgo Comfortel ...
Neste caso, levantei CHR no centro de datos, onde dan unha canle estable e gorda por un vds (por suposto, probeino en todas as oficinas). Alí, a rede moi raramente cae completamente, a diferenza dos provedores de "oficina".
Todas as oficinas e usuarios conéctanse a CHR a través do protocolo VPN que é o máis óptimo para eles. Por exemplo, os usuarios móbiles (Android, IOS) séntense moi ben en IPSec Xauth.
Ao mesmo tempo, se unha base de datos de varias decenas de gigabytes está sincronizada entre a oficina 1 e a oficina 2, o usuario que ve as cámaras no sitio non notará isto, xa que a velocidade estará limitada polo ancho da canle no dispositivo final. , e non pola canle CHR.
Pasarela para hipervisor
Ao alugar un número reducido de servidores no DC para varias tarefas, utilizo a virtualización VMWare ESXi (pode usar calquera outra, o principio non cambia), que permite xestionar con flexibilidade os recursos dispoñibles e distribuílos entre os servizos plantexados en os sistemas convidados.
Xestión de redes e seguridade Confío en CHR como un enrutador completo, no que xestiono toda a actividade da rede, tanto os contedores como a rede externa.
Por certo, despois de instalar ESXi, o servidor físico non ten ipv4 branco. O máximo que pode aparecer é un enderezo ipv6. En tal situación, detectar un hipervisor cun simple escáner e aproveitar unha "nova vulnerabilidade" simplemente non é realista.
Segunda vida para un ordenador vello
Creo que xa o dixen :-). Sen mercar un enrutador caro, aínda pode aumentar o CHR nun ordenador antigo.
CHR completo de balde
Na maioría das veces veño que están a buscar un CHR gratuíto para crear un proxy nun hosting de vds estranxeiro. E non queren pagar 10 mil rublos por unha licenza do seu salario.
Menos comúns, pero hai: un liderado tremendamente codicioso, que obriga aos administradores a construír infraestruturas a partir de merda e paus.
Proba 60 días
Coa chegada do CHR, o ensaio pasou de 24 horas a 60 días. Un requisito previo para a súa prestación é a autorización da instalación co mesmo usuario e contrasinal que ten
Un rexistro desta instalación aparecerá na súa conta do sitio:
Rematará o xuízo? Que segue???
E nada!
Os portos funcionarán a toda velocidade e todas as funcións seguirán funcionando...
Só deixará de recibir actualizacións de firmware, o que para moitos non é crítico. Se prestas suficiente atención á seguridade ao configurar, non terás que acudir a ela durante anos. O que debes prestarlle especial atención escribín neste artigo
E se aínda precisa actualizar o firmware despois do final da proba?
Restablecemos a proba do seguinte xeito:
1. Facemos unha copia de seguridade.
2. Levámolo ao noso ordenador.
3. Reinstale CHR en vds completamente.
4. Iniciar sesión
Así, a información sobre a próxima instalación de CHR aparecerá na conta persoal do sitio web de Mikrotik.
5. Amplíe a copia de seguranza.
Restableceuse a configuración e de novo quedan 60 días.
Non se pode reinstalar
Imaxina que tes cen tendas onde se usa un PC antigo con CHR como enrutador. Monitorizas CVE e intentas responder rapidamente ás vulnerabilidades descubertas.
Unha vez cada dous meses, reinstalar CHR en todos os obxectos é un desperdicio de recursos administrativos.
Pero hai un xeito que require polo menos unha licenza CHR P1 comprada. Practicamente calquera oficina pode atopar 2 rublos, e se non pode, entón deberías fuxir de alí ^_^.
A idea é transferir legalmente a licenza a través da túa conta persoal en mikrotik.com dun dispositivo a outro.
Seleccionamos "ID do sistema" necesitamos un enrutador.
E fai clic en "Transferir subscrición".
A licenza "moveuse" a un dispositivo novo e o dispositivo antigo, que perdeu a súa licenza, recibiu unha nova proba en 60 días sen ningunha reinstalación e xestos adicionais.
É dicir, con só unha licenza, podes dar servizo a unha enorme flota de CHR.
Por que Mikrotik relaxou tanto a súa política de licenzas?
Debido á dispoñibilidade de CHR, Mikrotik creou unha enorme comunidade arredor dos seus produtos. Un exército de especialistas e entusiastas proba o seu produto, fai informes sobre erros atopados, xera unha base de coñecemento sobre varios casos, etc., é dicir, compórtase como un proxecto de código aberto exitoso.
Así, non só se acumula un conxunto de coñecementos caóticos nun ambiente virtual, senón que se forman especialistas que teñan experiencia suficiente cun sistema en particular e, en consecuencia, dan preferencia aos equipos dun provedor particular. E os líderes empresariais tenden a escoitar aos especialistas que traballan para eles.
Por que o artоcon formación asequible e conferencias MUM en curso! Nunha comunidade especializada en Telegram agora son máis de 3000 persoas, onde os expertos discuten solucións a diversos problemas. Pero estes son temas para artigos separados.
Así, os ingresos principais de Mikrotik proceden da venda de equipos, non de licenzas por 45 dólares.
Aquí e agora estamos asistindo ao rápido crecemento dun xigante das TIC que apareceu relativamente recentemente: en 1997 en Letonia.
Non me sorprenderá se dentro de 5 anos D-Link anuncia o lanzamento doutro enrutador que executa RouterOS de Mikrotik. Isto ocorreu moitas veces na historia. Lembra cando Apple abandonou o seu propio PowerPC en favor dos procesadores Intel.
Espero que este artigo disipe algunhas das súas dúbidas sobre a forma de usar produtos de Mikrotik.
Fonte: www.habr.com