Router czy UTM

Na pierwszy rzut oka soft wygląda dosyć skomplikowanie, aczkolwiek intuicyjnie. Waham się pomiędzy ASA 5506-X a tym Mikrotikiem, który zasugerowałeś.

Jako, że pracujesz już z tym routerem czy mogę mieć jeszcze jedno pytanie:
Mianowicie czy da się na nim zrobić różne zakresy dhcp?
10.0.0.1-100 /adresy statyczne z przypisanymi mac adresami/
10.0.1.1-100 /adresy dynamiczne bez przypisanych mac adresów/

Teraz odnośnie kształtowania pasma QoS: czy do zakresu 10.0.1.1-100 da się przypisać określoną prędkość, której dany użytkownik nie przekroczy, np. 256 KB/s?

Oczywiście, że obie rzeczy da się zrobić bez problemu.
Mikrotik ma bardzo duże możliwości co do kształtowania ruchu i co najważniejsze praktycznie wszystko da się wyklikać w GUI, trzeba tylko wiedzieć co chce się zrobić.

Tak. Na MT możesz mieć VLANy i tym samym musisz mieć wiele podsieci na routerze. DHCP obsłguje wszystkie podsieci jakie mu ustawisz. Pule możesz ustawiać jakie chcesz. Na MT masz bandwith limit i QoS. Na pierwszy rzut oka RouterOS może wydawać się skomplikowany, ale składnia CLI jest równie banalna jak CLI Cisco. Jak trochę popracujesz w GUI, to nic nie będzie dla Ciebie skomplikowane.

Dokładnie jak pisał kolega wyżej. Od siebie dodam tylko, że sky is the limit :wink:

Jedyne z czym MT ma problem to BGP. Mój znajomy jest ISP i narzekał na działanie BGP i musiał w tym celu postawić specjalnie Debiana z Quagga. Oprócz tego spotkałem się z opinią, że właśnie BGP średnio działa na MT. Tak poza tym, to z nie ma z nim żadnych problemów.

Chyba mnie przekonaliście. Widzę, że router ma wejście na kartę sd - czy można ją wykorzystać np. na zapisywanie logów połączeń użytkowników?
Czy do tego modelu dokupuje się jeszcze jakieś dodatkowe poziomy licencji?

mam jeszcze pytanie, może głupie. Gdzie są w tym routerze (Mikrtotik) wejścia WAN? Czy któryś ethernet przeznacza się na WAN?

Sam sobie konfigurujesz, który port ma być WAN, a który LAN.

1 polubienie

Dokładnie tak, a portów WAN możesz sobie skonfigurować ile chcesz, możesz ustawić też load balancing pomiędzy nimi. Dodam tylko, że takie rzeczy oferuje nawet router MT za 90 zł, więc cała magia tkwi w systemie i wcale nie trzeba wydawać tysięcy dla takiej funkcjonalności :slight_smile:

1 polubienie

wydaje mi się że jest inna klasa sprzętu też niż tylko funkcjonalność :wink: nie wiem czy obsłuży duży ruch sieciowy router za 90zł

dzięki za odpowiedzi. zamawiam miktotika :slight_smile:

MikroTik CCR1009-7G-1C-1S+ zakupiony. Rzeczywiście router daje duże możliwości, od kilku dni uczę się jego obsługi. Bardzo by mi zależało, aby na nim uruchomić m.in. hotspota. Do routera mam podłączone Ubiquity Unifi LR. Przeglądam różne tutoriale w internecie, ale nie mogę się natknąć na właściwą konfigurację, która pomogła by mi to zestawić.
Założenie jest takie, aby użytkownicy otrzymywali statyczne adresy ip autoryzowane po adresach mac. Natomiast osoby spoza sieci korzystały tylko z hotspota (panel logowania). W późniejszym etapie było by super, aby gdzieś dało się logować wszystkie połączenia użytkowników korzystających z hotspota. Czy mogę Was prosić o wskazówki jak to skonfigurować?

Filtrowanie MAC od niedawna jest zaimplentowane w Unifi Controller. Masz VMkę czy Unifi Cloud Key? W kontrolerze jest coś takiego jak guest portal i tam można uruchomić hotspot. Jeśli potrzebujesz, możesz też postawić serwer RADIUS, np. FreeRADIUS i wskazać go w kontrolerze.

Z RADIUSem można spiąć też MT. Jednak to rozwiązanie ma jedną wadę - MT uwierzytelnia się za pomocą CHAP, więc na RADIUSie musisz trzymać hasła w postaci jawnej i niestety nie zepniesz tego z np. LDAP czy AD. Choć podobno da się przy pomocy RADIUS Proxy. Dotyczy to przynajmniej logowania do Winbox. Przy SSH spokojnie można korzystać z RADIUS + LDAP.

IPki przydzielam z MT i tam przypisuje je użytkownikom.

Ciekawy temat!
Ostatnio myślałem o wymianie mojego UBIQUITI EdgeRouter Lite 3 na coś od Mikrtika.

Jakieś problemy z EdgeRouter? Na grupach FB spotkałem się raczej z opinią, że Edge zjada MT. Pytam z ciekawości, bo nigdy nie miałem do czynienia z ER.

Ja bardziej chciałem zakupić MT żeby poznać te urządzenia.
Nie miałem nigdy styczności z Mikrotikiem.
Ale dobrze wiedzieć, że EdgeRouter zjada MT :slight_smile:

Podobno :wink: tak tylko czytałem :slight_smile:

MT robi naprawdę fajne urządzenia. Zawsze możesz poznać system na VBox :wink:

Przepraszam, że w tym miejscu, ale nie chcę zakładać nowego wątku.
Niestety przez swoją nieprzemyślaną decyzję zablokowałem sobie dostęp do routera standardowymi kanałami (przeglądarka, WinBox). Na routerze mam już pewną konfigurację, do której dojście zajęło mi trochę prób i czasu - nie chciałbym jej stracić. Poprzez ssh też mnie nie wpuszcza. Pozostaje port szeregowy - podłączyłem komputer z routerem kablem RS-232 lecz nie za bardzo mogę nawiązać komunikację (może coś źle wykonuję?)
Router ma jeszcze wejście mini USB - może tutaj jest jakaś możliwość zalogowania się do niego? Czy mogę prosić o wskazówki jakim jeszcze sposobem mogę dostać się do routera?

Spróbuj netinstall. Winbox do przesyłania hasla używa protokołu chap. Istnieją apki, które przechwytują hasło, ponieważ chap wysyła je otwartym tekstem.

Na przyszłość, wysyłaj sobie konfigurację na maila. Jeśli masz zachowany backup na dysku MT, to możesz śmiało go resetować i przywrócić backup, o ile nie zrobiłeś go na hasło :wink:

Raz byłem zmuszony resetować MT i backup mnie uratował :wink:

Znalazłem inny sposób, może rozwiązanie przyda się dla kogoś innego: istnieje oficjalne narzędzie na stronie Mikrotika o nazwie Neighbour viewer for Windows, które wyszukuje urządzenia Mikrotika i pozwala podłączyć się do nich poprzez telnet - niezależnie od blokujących reguł w firewallu, tak jak to miało miejsce w moim przypadku. Przy pomocy linii poleceń można wiele odkręcić, a w zasadzie całe zło jakie się samemu sobie wyrządziło :slight_smile:

Backup też by pomógł, tylko go nie zrobiłem. Teraz przed każdą większą zmianą trzeba będzie zapisać konfigurację routera.

A widzisz, całkowicie z głowy wyleciał mi mactelnet. Tu faktycznie omijasz firewall, bo to druga warstwa.

Do tego nawet nie jest potrzebny neigbor viewer, bo winbox też pokaże Ci wszystkie MT jakie wyczai razem z ich mac adresami.