У Телеграм-чаті часто бачу питання про те, як заощадити на покупці ліцензії від Mikrotik, або користуватися RouterOS взагалі на халяву. Як не дивно, але такі способи існують і в правовому полі.
У цій статті я не стосуватимусь ліцензування апаратних пристроїв Mikrotik, тому що в них із заводу встановлено максимальну ліцензію, яку може обслуговувати залізо.
Звідки взявся Mikrotik CHR?
Компанія Mikrotik випускає різне мережеве обладнання та встановлює на нього універсальну операційну систему власного виробництва – RouterOS. Ця операційна система має величезний функціонал і зрозумілий інтерфейс адміністрування, а обладнання на якому вона застосовується не дуже дорого, що пояснює його широке поширення.
Для використання RouterOS за межами їхнього обладнання компанія Mikrotik випустила версію x86, яку можна було встановити на будь-який ПК, що дозволяло дати друге життя стародавньому залізу. Але ліцензія прив'язувалася до апаратних номерів устаткування, яке воно встановлювалося. Тобто якщо здох HDD, то і з ліцензією можна було попрощатися.
обладнання та RouterOS x86 має 6 рівнів і містить купу параметрів:
Версія x86 мала ще одну проблему — вона не дуже дружила з гіпервізорами як гостьова система. Але якщо високих навантажень не очікувалося, цілком придатна версія.
Легальна RouterOS x86 у тріалі може працювати повноцінно лише 24 години, а безкоштовна має купу обмежень. Жоден сісадмін не зможе повноцінно оцінити весь функціонал RouterOS за 24 години.
З піратського ресурсу можна було легко завантажити образ віртуальної машини з уже встановленою RouterOS x86, безумовно, зі своїми милицями, але мені, наприклад, цього вистачало.
«Якщо не можеш перемогти натовп — очоли його»
Згодом грамотний менеджмент компанії Мікротик вирішив, що боротися з піратством неможливо і треба зробити невигідно красти їхню операційну систему.
Так з'явилося відгалуження від RouterOS - "Cloud Hosted Router", він же . Ця система оптимізована якраз під роботу на системі віртуалізації. Завантажити образ можна під усі поширені платформи віртуалізації: VHDX image, VMDK image, VDI image, OVA template, Raw disk image. Останній віртуальний диск можна розгорнути практично на будь-якій платформі.
Також змінилася система ліцензування:
Обмеження стосується лише швидкості мережевих портів. На безкоштовній версії вона становить 1 Мбіт/с, чого достатньо для побудови віртуальних стендів (наприклад, на )
Платна версія на офіційному сайті дуже сильно кусається, але у офіційних дилерів можна купити трохи дешевше:
А якщо Вас влаштовує швидкість в 1Гбіт/с на портах, Вам вистачить ліцензії P1:
Навіщо CHR потрібен? Мої приклади.Часто чую питання: нафіга потрібний цей віртуальний роутер? Ось кілька прикладів, для чого я особисто його використовую. Прошу не холіварити за цими рішеннями, оскільки вони не є темою цієї статті. Це лише приклад застосування.
Центральний роутер для об'єднання офісів
Іноді потрібно об'єднати кілька офісів на одну мережу. Офісу з жирним каналом інтернету та білим ip немає. Можливо, всі сидять на Yota або канал на 5 Мбіт/с. А ще провайдер може фільтрувати будь-які протоколи. Наприклад, я помічав, що L2TP через пітерського провайдера «Комфортел» просто не піднімається.
У цьому випадку я підняв CHR в датацентрі, де дають жирний стабільний канал на одну vds (зрозуміло, протестував з усіх офісів). Там дуже рідко відвалюється мережа зовсім, на відміну від «офісних» провайдерів.
Всі офіси та користувачі підключаються до CHR за протоколом VPN, який найоптимальніший для них. Наприклад, мобільні користувачі (Android, IOS) чудово почуваються на IPSec Xauth.
При цьому, якщо між офісом 1 і офісом 2 синхронізуватиметься база в кілька десятків гігабайт, то користувач, що дивиться камери на об'єкті, цього не помітить, оскільки швидкість упрається в ширину каналу на кінцевому пристрої, а не в CHR.
Шлюз для гіпервізора
Орендуючи невелику кількість серверів у ДЦ під кілька завдань, я використовую віртуалізацію VMWare ESXi (можна будь-яку іншу, принцип не змінюється), що дозволяє гнучко управляти наявними ресурсами та розподіляти їх по сервісах, піднятих у гостьових системах.
Управління мережею та безпекою я довіряю CHR як повноцінному маршрутизатору, на якому керую всією мережевою активністю як контейнерів, так і зовнішньою мережею.
До речі, після інсталяції ESXi фізичний сервер не має білого ipv4. Максимум, що може з'явитися - ipv6 адреса. У такій ситуації виявити гіпервізор простим сканером та скористатися «новою вразливістю» просто не реально.
Друге життя старому ПК
Здається, я це вже казав :-). Не купуючи дорогий маршрутизатор, досі можна на старенькому пк можна підняти CHR.
Повноцінний CHR безкоштовно
Найчастіше зустрічаю, що халявний CHR шукають для підвищення проксі на закордонному vds хостингу. І платити 10к рублів за ліцензію зі своєї зарплати не хочуть.
Рідше, але зустрічаються: дико жадібне керівництво, що змушує адмінів будувати інфраструктуру з г***а та палиць.
Тріал 60 днів
З появою CHR тріал збільшився з 24 години до 60 днів! Обов'язковою умовою його надання є авторизація інсталяції під тим самим логіном та паролем, що у Вас на
Запис про цю інсталяцію з'явиться у Вашому обліковому записі на сайті:
А тріал скінчиться? Що далі???
А нічого!
Порти працюватимуть на повній швидкості і всі функції продовжать працювати.
Тільки отримувати оновлення прошивки перестане, що для багатьох не є критичним. Якщо приділити достатньо уваги безпеці при налаштуванні, навіть заходити на нього не знадобиться роками. На що треба особливо звернути увагу я писав у цій статті
А якщо все ж таки потрібно оновити прошивку після закінчення тріалу?
Скидаємо тріал у такий спосіб:
1. Робимо бекап.
2. Забираємо його собі на комп.
3. Встановлюємо CHR на vds повністю.
4. Авторизуємося
Таким чином у ЛК на сайті Mikrotik з'явиться інформація про чергову інсталяцію CHR
5. Розгортаємо бекап.
Налаштування відновлено і знову 60 днів у запасі!
Можна не встановлювати заново
Уявимо, що у Вас сотня магазинів, де як роутер використовується стародавній ПК з CHR. Ви стежите за CVE і намагаєтесь оперативно реагувати на виявлені вразливості.
Раз на два місяці встановлювати заново CHR на всіх об'єктах — тупа витрата ресурсів адміну.
Але є спосіб, у якому потрібна хоча б одна куплена ліцензія CHR P1. 2к рублів може знайти практично будь-яка контора, а якщо не може, то варто звідти бігти ^_^.
Ідея полягає в тому, щоб ліцензію легально через особистий кабінет на mikrotik.com передавати з пристрою на пристрій!
Вибираємо System ID потрібно нам роутера.
І тиснемо "Transfer subscription".
Ліцензія «переїхала» на новий пристрій, а старий пристрій, що втратив ліцензію, без жодних переустановок і додаткових рухів тіла отримав новий тріал в 60 днів!
Тобто, маючи лише одну ліцензію, можна обслуговувати величезний парк CHR!
Навіщо компанія Mikrotik так послабила політику ліцензування?
За рахунок доступності CHR компанія Mikrotik створила величезне ком'юніті довкола своїх продуктів. Армія фахівців та ентузіастів тестує їх продукт, робить репорти з виявлених баг, генерує базу знань з різних кейсів і т.д., тобто поводиться як успішний opensource проект.
Таким чином, напрацьовується не просто пул хаотичних знань у віртуальному середовищі, а готуються фахівці, які мають достатній досвід роботи з конкретною системою і, відповідно, надають перевагу обладнанню конкретного вендора. А керівники підприємств схильні прислухатися до фахівців, які у них працюють.
Чого стоят доступне навчання та проведені конференції MUM! У спеціалізованій спільноті у Телеграм Нині складається понад 3000 чоловік, де фахівці обговорюють розв'язання різноманітних завдань. Але це теми окремих статей.
Таким чином, основний дохід компанії Mikrotik приносить продаж обладнання, а не ліцензій за $45.
Тут і зараз ми спостерігаємо швидке зростання IT гіганта, яке з'явилося нещодавно — 1997 року в Латвії.
Не здивуюсь, якщо через 5 років компанія D-Link оголосить про вихід чергового роутера під керуванням RouterOS від Mikrotik. Подібне історія було неодноразово. Згадайте хоча б коли Apple відмовилася від власних PowerPC на користь процесорів Intel.
Сподіваюся, що ця стаття розвіяла ваші сумніви на шляху використання продукції від Mikrotik.
Джерело: habr.com