В малых предприятиях остро стоит вопрос экономии при закупке оборудования, зачастую этот вопрос решается отказом от закупки, если можно заставить работать имеющиеся. В этой статье я хочу поделится своим опытом в этом вопросе и осветить основные причины, почему многие делают именно так.
История и причины
Начнем с истории, для чего вернемся на 7-10 лет назад. В те времена выбор был не богат:
- Домашние роутеры от уважаемых сейчас китайских производителей до 2500 р., функционал достаточный для микрокомпании на 5 человек в одной комнате. Программная составляющая подобных роутеров крайне скупая, хотя железо бывало и довольно резвым.
- Роутеры для малых предприятий от именитых производителей, цена уже от 8000р., но вот функционал не намного богаче. Где-то поддержка dual-wan, где-то даже IPSec.
- Старый ПК под спец. Linux или с самостоятельно настроенным дистрибутивом общего назначения (встречались и апологеты Windows, но это не мой выбор). Тут уже возможностей много, а железо, хоть и старое, для нужд шлюза было очень даже годным. А кроме шлюза он может быт и АТС, и почтовым сервером, а до кучи еще и файлопомойкой!
Начнем с истории, для чего вернемся на 7-10 лет назад. В те В большинстве случаев (и я сам придерживался такой политики из-за отсутствия достойной альтернативы по деньгам) выбор падает на ПК. За такой выбор и низка цена (условно бесплатно, за старичком уже никто работать не хочет, а выкидывать: амфибиотропная асфиксия (Жаба душит)), и безграничные возможности по работе с напильником.
Последствия выбора
В случае домашних роутеров, проблема одна: он почти ничего умного не может, ни QoS (а VoIP то уже тогда начинал шагать по стране), ни туннели с приличным шифрованием (PPtP по сути не защищен никак), ни Dual-WAN failover. Тут уже, даже если сильно извращаться с альтернативными прошивками, но начинаешь смотреть в сторону Linux, особенно, когда за 8000 р. счастья большого тоже нет, и вот он, выбор многих.
Старый ПК с Linux: мощь CPU (а он значительно мощнее того, что в домашних роутерах (да и в начальном уровне не домашних тоже)), много дискового пространства, можно замутить proxy и учет трафика и много всего, и ОЗУ вдоволь.
Но проблемы приходят с другого фронта: старое железо склонно глючить, а самописные скрипты для Dual-WAN & Failover зачастую очень хрупкие (написать устойчивый скрипт — не простая задача). Доп. сервисы тоже не добавляют стабильности.
И проблем особых конечно нет, пока компания все еще маленькая, и филиалов тоже мало, и нет большой зависимости сервисов одного филиала от сервисов в другом, особенно, если интернет не является важной частью бизнеса (ага, сейчас да и без интернета). Но чем дальше, тем ситуация становится хуже. Неожиданные отвалы связи из-за железа или софта (к примеру, у LXC есть нехорошая бага, после того как через интерфейс контейнера пробежит большой объем трафика, интерфейс впадает в deadlock, что выражается в частичной доступности контейнера, а при попытке перезапуска к deadlock lo интерфейса хоста контейнеризации, а затем необходимости полного перезапуска машины). И тут уже привет от недовольного начальства, сотрудников и клиентов: письма не ходят, АТС молчит, файлы недоступны, а админ грустит.
Наши дни, что можно сделать?
Маршрутизаторы Mikrotik и RoS привлекли меня первоначально своей ценой: за 3500 р. легко приобрести маршрутизатор, в котором будет:
- Пакетный фильтр как и во взрослом Linux (ну почти, кой чего нет, а кое-что есть и своё: глобальная очередь, к примеру)
- Хорошее железо, и оно действительно хорошее, не быстрее чем у старичка ПК, но зато вполне стабильное
- Туннели разных видов, жаль немного, что OpenVPN старый, но и без него все хорошо получается
- Отличная штука: winbox. Благодаря ему я стал понимать пакетный фильтр в Linux на порядок лучше. Хорошая визуализация настроек очень полезная вещь. Да и вообще визуализация ряда моментов (отслеживание соединений в реальном времени, к примеру) очень сильно помогают
- Хороший CLI, в отличии от многих других (Zyxel и D-Link мне сильно не нравятся), я в нем освоился очень быстро
- Контроллер WiFi сети (CAPsMAN): конечно, до уровня Cisco еще далеко, но уже умеет многое, даже сеть получается с весьма гладкими швами
- По сравнению с ПК, выход на рабочий режим за 8-12 сек, в то же время ПК может еще только BIOS прогрузить. Это важно для ситуаций, если от интернета и доступа к другим филиалам зависит бизнес, тут каждая секунда запуска разрывает телефон звонками: ну когда-же! У нас тут клиент! Нам работать надо!
- Без особых затруднений строится Multi-WAN с балансировкой и Failover
- Очень хорошее WiFi железо. Разворачивал WiFi на выставке (для павильона компании с применением RB951U2nd), в итоге, при 600 WiFi клиентов в округе (к нашей точке подключено было около 20 сотрудников и 15-20 гостей) и 40 чужих точек в округе, удавалось прокачать около 2 Мбит/сек. Я считаю, что это хороший результат для точки, не предназначенной для таких условий, да при такой зашумлености эфира
- Оперативно работающая тех. поддержка, несколько багов они исправили после моих обращений.
- MetaROUTER (не на всех моделях работает): если что, можно запустить несколько виртуальных роутеров или OpenWRT.
- Довольно продвинутый скриптинг
- Большинство питается от источников питания с вольтажом от 7В до 30В и поддерживает Static POE с таким-же разбросом вольтажа. Это очень помогает, когда надо поменять БП, подходит почти любой :)
К недостаткам можно отнести:
- Отсутствие DNS proxy
- Встроенный RADIUS сервер не умеет авторизовывать WiFi
- IPv6 есть, но его поддержка довольно скупа, что пока еще не очень критично
- IPSec, который не работает в ряде специфических случаев (вот один из таких: Mikrotik L2TP/IPSec за NAT: ipsec,error failed to pre-process ph2 packet)
- CAPsMAN не умеет работать в качестве промежуточного контроллера, что не позволяет управлять всем WiFi компании по всем филиалам. Если связь с контролером пропадает, то WiFi отключается :(
- Возможно еще что-то, но это я пока наверно не использую
Эпилог
Конечно, это сильно не техничеcкая статья, а больше сборник моих впечатлений от RoS и RouterBoard. В свою компанию я купил уже много роутеров Mikrotik, и пока мне не пришлось сожалеть об этом. Уход от старых ПК устранил львиную долю проблем с сетью. Если вы все еще используете старые ПК в качестве шлюзов, задумайтесь, возможно, стоит вынести роль шлюза на отдельное, предназначенное для этого решение. К вашему выбору и 5-ти портовые вариации, и 24-х портовые (с аппаратным VLAN) и много других, включая модели с аппаратным ускорением шифрования. Отдельного внимания, для небольшого офиса, заслуживает MIKROTIK CRS125-24G-1S-2HND-IN, тут вам и 24 порта и WiFi на боту, CPU способный прокачать до 50 Мбит/с с QoS как в этой статье: Mikrotik: Балансировка в КПСС и соблюдение скоростного режима или до 20 Мбит/с через VPN с шифрованием (к сожалению, нет аппаратного ускорения шифрования).