בצ'אט בטלגרם לעתים קרובות אני רואה שאלות על איך לחסוך כסף בקניית רישיון ממיקרוטיק, או להשתמש ב-RouterOS, באופן כללי, בחינם. באופן מוזר, אבל יש דרכים כאלה בתחום המשפטי.
במאמר זה, לא אגע ברישוי של מכשירי חומרה של Mikrotik, שכן יש להם את הרישיון המקסימלי המותקן מהמפעל שהחומרה יכולה לשרת.
מאיפה הגיע Mikrotik CHR?
Mikrotik מייצרת ציוד רשת מגוון ומתקין עליו מערכת הפעלה אוניברסלית מייצור משלה - RouterOS. למערכת ההפעלה הזו יש פונקציונליות עצומה וממשק ניהול ברור, והציוד שבו היא משמשת לא יקר במיוחד, מה שמסביר את תפוצתה הרחבה.
כדי להשתמש ב-RouterOS מחוץ לחומרה שלהם, Mikrotik הוציאה גרסת x86 שניתן להתקין על כל מחשב, מה שנותן חיים שניים לחומרה עתיקה. אבל הרישיון היה קשור למספרי החומרה של הציוד עליו הוא הותקן. כלומר, אם ה- HDD מת, אז אפשר היה להיפרד מהרישיון ...
לחומרה ול-RouterOS x86 יש 6 רמות ומכילות שלל פרמטרים:
לגרסת x86 הייתה בעיה נוספת - היא לא הייתה ידידותית במיוחד עם היפרוויזורים כאורח. אבל אם לא היו צפויים עומסים גבוהים, אז גרסה מתאימה לחלוטין.
ה-RouterOS x86 החוקי בניסוי יכול לעבוד במלואו רק 24 שעות, ולחינמי יש הרבה הגבלות. אף מנהל מערכת לא יוכל להעריך באופן מלא את כל הפונקציונליות של RouterOS תוך 24 שעות...
ממשאב פיראטי היה קל להוריד תמונה של מכונה וירטואלית עם RouterOS x86 מותקן כבר, כמובן עם הקביים שלו, אבל לי, למשל, זה הספיק.
"אם אתה לא יכול לנצח את הקהל, הנהיג אותו"
עם הזמן, ההנהלה המוסמכת של מיקרוטיק החליטה שאי אפשר להילחם בפיראטיות ושיש צורך להפוך את גניבת מערכת ההפעלה שלהם ללא רווחית.
אז היה סניף של RouterOS - "Cloud Hosted Router", aka . מערכת זו מותאמת רק לעבודה על מערכת וירטואליזציה. אתה יכול להוריד את התמונה עבור כל פלטפורמות הוירטואליזציה הנפוצות: תמונת VHDX, תמונת VMDK, תמונת VDI, תבנית OVA, תמונת דיסק גולמית. את הדיסק הווירטואלי האחרון ניתן לפרוס כמעט בכל פלטפורמה.
מערכת הרישוי השתנתה גם:
ההגבלה חלה רק על מהירות יציאות הרשת. בגרסה החינמית, זה 1 Mbps, וזה מספיק כדי לבנות סטנדים וירטואליים (למשל, על )
הגרסה בתשלום באתר הרשמי נוגסת הרבה, אבל אתה יכול לקנות קצת יותר זול מהסוחרים הרשמיים:
ואם אתה מרוצה מהמהירות של 1 Gbit/s ביציאות, אז רישיון P1 מספיק לך:
בשביל מה CHR? הדוגמאות שלי.לעתים קרובות אני שומע את השאלה: בשביל מה אתה צריך את הנתב הווירטואלי הזה? הנה כמה דוגמאות למה אני אישית משתמש בו. נא לא להתייחס להחלטות אלו, מכיוון שהן אינן הנושא של מאמר זה. זו רק דוגמה ליישום.
נתב מרכזי לשילוב משרדים
לעיתים נדרש לשלב מספר משרדים לרשת אחת. אין משרד עם ערוץ אינטרנט שמן ו-ip לבן. אולי כולם יושבים על Yota, או ערוץ 5 Mbps. והספק יכול לסנן כל פרוטוקול. לדוגמה, שמתי לב ש-L2TP פשוט לא עולה דרך ספק סנט פטרסבורג Comfortel ...
במקרה הזה, גידלתי את CHR במרכז הנתונים, שם הם נותנים ערוץ יציב שמן ל-XNUMX vds (כמובן, בדקתי את זה מכל המשרדים). שם, לעתים רחוקות מאוד הרשת נופלת לחלוטין, בניגוד לספקיות "משרדיות".
Все офисы и пользователи подключаются к CHR по VPN протоколу, который самый оптимальный для них. Например, мобильные пользователи (Android, IOS) замечательно чувствуют себя на IPSec Xauth.
יחד עם זאת, אם מסנכרן מסד נתונים של כמה עשרות גיגה-בייט בין office 1 ל-office 2, אז המשתמש הצופה במצלמות במתקן לא ישים לב לכך, שכן המהירות תוגבל ברוחב הערוץ במכשיר הקצה. , ולא על ידי ערוץ CHR.
שער עבור היפרוויזר
כאשר שוכרים מספר קטן של שרתים ב-DC למספר משימות, אני משתמש בווירטואליזציה של VMWare ESXi (ניתן להשתמש בכל שרת אחרת, העיקרון לא משתנה), מה שמאפשר לנהל בצורה גמישה את המשאבים הזמינים ולהפיץ אותם בין השירותים שהועלו ב- מערכות האורחים.
ניהול רשת ואבטחה אני סומך על CHR כראוטר מן המניין, עליו אני מנהל את כל פעילות הרשת, הן קונטיינרים והן הרשת החיצונית.
אגב, לאחר התקנת ESXi, לשרת הפיזי אין ipv4 לבן. המקסימום שיכול להופיע הוא כתובת ipv6. במצב כזה, איתור היפרוויזר עם סורק פשוט וניצול "פגיעות חדשה" הוא פשוט לא ריאלי.
חיים שניים למחשב ישן
אני חושב שכבר אמרתי את זה :-). בלי לקנות נתב יקר, אתה עדיין יכול להעלות CHR במחשב ישן.
CHR מלא בחינם
לרוב אני פוגש שהם מחפשים CHR בחינם לגיוס פרוקסי על אירוח זר של vds. והם לא רוצים לשלם 10 אלף רובל עבור רישיון מהמשכורת שלהם.
פחות נפוץ, אבל יש: מנהיגות חמדנית, מאלצת מנהלים לבנות תשתית מחרא ומקלות.
ניסיון 60 יום
עם כניסתו של CHR, הניסיון גדל מ-24 שעות ל-60 יום! תנאי מוקדם לאספקתו הוא אישור ההתקנה תחת אותו שם משתמש וסיסמה שיש לך
תיעוד של התקנה זו יופיע בחשבונך באתר:
האם המשפט יסתיים? מה הלאה???
אבל כלום!
היציאות יפעלו במלוא המהירות וכל הפונקציות ימשיכו לעבוד...
זה רק יפסיק לקבל עדכוני קושחה, מה שעבור רבים אינו קריטי. אם אתה שם מספיק תשומת לב לאבטחה בעת ההגדרה, אפילו לא תצטרך ללכת אליו במשך שנים. למה שאתה צריך לשים לב במיוחד כתבתי במאמר זה
ואם אתה עדיין צריך לעדכן את הקושחה לאחר סיום הניסיון?
אנו מאפסים את הניסיון באופן הבא:
1. אנחנו עושים גיבוי.
2. אנחנו לוקחים את זה למחשב שלנו.
3. התקן מחדש את CHR ב-vds לחלוטין.
4. התחבר
כך, מידע על ההתקנה הבאה של CHR יופיע בחשבון האישי באתר מיקרוטיק.
5. הרחב את הגיבוי.
ההגדרות שוחזרו ושוב נותרו 60 יום!
לא ניתן להתקין מחדש
תאר לעצמך שיש לך מאה חנויות שבהן מחשב עתיק עם CHR משמש כנתב. אתה מפקח על CVE ומנסה להגיב במהירות לפרצות שהתגלו.
אחת לחודשיים, התקנה מחדש של CHR על כל האובייקטים היא בזבוז של משאבי ניהול.
אבל יש דרך שדורשת לפחות רישיון CHR P1 שנרכש אחד. כמעט כל משרד יכול למצוא 2k רובל, ואם הוא לא יכול, אז אתה צריך לברוח משם ^_^.
הרעיון הוא להעביר את הרישיון באופן חוקי דרך החשבון האישי שלך ב-mikrotik.com ממכשיר למכשיר!
אנו בוחרים "מזהה מערכת" אנחנו צריכים נתב.
ולחץ על "העבר מנוי".
הרישיון "עבר" למכשיר חדש, והמכשיר הישן שאיבד את רישיונו קיבל ניסיון חדש תוך 60 יום ללא כל התקנה מחדש ומחוות נוספות!
כלומר, עם רישיון אחד בלבד תוכלו לתת שירות לצי CHR ענק!
מדוע מיקרוטיק הרפה כל כך את מדיניות הרישוי שלה?
בשל הזמינות של CHR, Mikrotik יצרה קהילה ענקית סביב המוצרים שלה. צבא של מומחים וחובבים בודק את המוצר שלהם, עושה דוחות על באגים שנמצאו, מייצר בסיס ידע על מקרים שונים וכו', כלומר הוא מתנהג כמו פרויקט קוד פתוח מוצלח.
לפיכך, לא רק מאגר של ידע כאוטי נצבר בסביבה וירטואלית, אלא מוכשרים מומחים בעלי ניסיון מספיק עם מערכת מסוימת ובהתאם לכך נותנים עדיפות לציוד של ספק מסוים. ומנהיגים עסקיים נוטים להקשיב למומחים העובדים עבורם.
למה אמנותоyat הדרכה במחיר סביר וכנסים מתמשכים של MUM! בקהילה מתמחה בטלגרם כעת ישנם יותר מ-3000 אנשים, שבהם מומחים דנים בפתרונות לבעיות שונות. אבל אלו נושאים למאמרים נפרדים.
לפיכך, ההכנסה העיקרית של מיקרוטיק מגיעה ממכירת ציוד, ולא רישיונות תמורת 45 דולר.
כאן ועכשיו אנו עדים לצמיחה המהירה של ענקית IT שהופיעה לאחרונה יחסית - ב-1997 בלטביה.
אני לא אתפלא אם בעוד 5 שנים יכריז D-Link על שחרורו של נתב נוסף שמריץ את RouterOS מבית Mikrotik. זה קרה פעמים רבות בהיסטוריה. זכור מתי אפל נטשה את ה-PowerPC שלה לטובת מעבדי אינטל.
אני מקווה שמאמר זה הפיג חלק מהספקות שלך בדרך השימוש במוצרים מבית Mikrotik.
מקור: www.habr.com
