Mikrotik Corner - Guide, informazioni e aiuti sugli apparati Mikrotik

Nell'ultima RC: 7.2rc1

*) ovpn - added SHA2 authentication algorithm support;
*) ovpn - added hardware acceleration support for IPQ4018/IPQ4019 and AL* series chipsets;
*) ovpn - added option to send disconnect message in UDP mode;
*) ovpn - fixed large option message parsing;

Adesso non ho sottomano una linea FTTH per fare una prova con 4018/4019 o Alpine..
Qualcuno riesce a verificare se veramente l'accelerazione hardware Ovpn funziona ?
Magari è la volta buona che anche con open vpn si satura la linea (anche con più client) senza mandare su di giri la cpu avendo una buona banda.

edofullo Magari non a breve ma prima o poi smetteranno di aggiornarla.

Mikrotik garantisce 5 anni di aggiornamenti dalla fine della commercializzazione del modello.. che però man mano diventano solo aggiornamenti di sicurezza.

Questi router creano dipendenza, ho da poco provato un hex e mi piacerebbe imparare RouterOS.

Vorrei sostituire l'MF286D ma sono indeciso se prendere lo chateau lte 12 oppure il wAP R ac + modem mpcie, cosa mi consigliate? Con la seconda soluzione risparmio qualcosa?
Grazie.

maggiore81 Ma anche no!!

barsigor Dovrei andare per forza su un RB4011 ? Oppure basterebbe anche un RB3011 ?

Vai sull'RB5009, ma non è sempre detto che i moduli GPON miniONT SFP funzionino. Per i modelli SFP/SFP+ ricorda di impostare la porta a 1G. Evita l'RB4011 che è schizzinosino sulla porta SFP+.

Per il costo che hanno e per l'ambito cui ti rivolgi, non ha senso andare a tirare il collo ad un povero hEX-S che se ci metti 4 regole di firewall in croce o una terminazione VPN remota lo mandi a tappo... OpenVPN poi su quel cosino lì ti farà venire il latte alle ginocchia (beh un po' dappertutto, non è che brilli esattamente per prestazioni, ma d'altronde è nato per la comodità).

Ricordo che ad ora su routerOS IPv6 non gode di fasttrack, se niente niente i NetEng italici si svegliano e iniziano ad assegnare connettività v6 lo stendi in 32 secondi netti.

@[cancellato] ma anche sì Io ho diversi HEX e HEXs su linee FTTH a 1G e vanno come delle viole.
ipv4 Fasttrack e 5-6 regole di firewall... problemi 0 e cpu minimo.

OpenVPN se è solo per una remote management, non lo inchioda affatto... MA SOLO se è per remote management, in quanto è totalmente in software.
La HEX ha anche ipsec offload, nel caso usassi L2TP per connetterti al router.
Concordo con Te che HEX sia un "cosino", perchè è minuscola, ma fa il suo sporco lavoro.

Io ti approvo a pieno la HEXs se ce l'hai lì da parte su uno scaffale, questo è il motivo per cui te la ho approvata.

La 5009 gira solo con ROS7 che non è ancora assolutamente sicura al 100% da usare... l'hanno messa stabile ma ancora ha parecchi bachi. Sicuramente è un hardware super nuovo.
Per IPv6... non c'è ancora traffico o attività che ti tirano al massimo il router, c'è ancora troppo poco.

La 3011 va più o meno dappertutto, con gli ultimi software non mi flappano più le porte...
Il 4011 in realtà mi ha dato problemi sulle porte in bridge e lo switch integrato, la SFP+ era schizzinosa all'inizio ma ora prende praticamente tutto, ma devi metterla in manuale il più delle volte. Per il resto funziona.

Per il GPON, non so che modulo ci voglia, concordo con te.

In v4 non hai mai problemi se hai il fasttrack e le giuste regole in raw.
Il v6 è in slow-path quindi fa quel che può.
Come vedi siamo di due pareri diversi, ma il bello è il confronto edificante. A presto!

Technetium Buonasera
Il pacchetto firewall default protegge bene ma effettivamente NON è per niente leggero e ha un impatto sulle prestazioni notevole se iniziamo a scaricare molto.
Non è tanto questione dei trick, diciamo che se conosci a fondo il loro funzionamento puoi sicuramente ottimizzare, ma alla fine non puoi fare miracoli contro i limiti fisici della combinazione hardware/software di una specifica Routerboard.

Se fai PPPoE unencrypted non è un grosso problema, se metti anche encryption allora c'è un impatto sulle prestazioni importante.

OpenVPN se è solo per un remote management o altro.. ok, se è per qualcosa di più è tutto in software e vai pianissimo... sconsiglio per trasferire file o altro... povera bestia di router

L'idea del ROS 7 è sicuramente interessante, alcuni hw nuovi come la 5009 sono nati solo con il 7. Personalmente ne ho un paio di apparati in ROS7 e in generale funzionano, ma sono pieni ancora di bachi, tante cose da GUI non funzionano e devi andare da CLI (anche se da gui sono impostate correttamente). Il BGP nuovo funziona ed è veloce, ma non sempre risponde come deve... insomma ho avuto esperienze diverse, ad esempio proprio degli HEX si sono upgradati e aggiornati bene alla 7.1.1, mentre dei 2004, pari configurazione, con la 7 mi danno mille problemi.
Sicuramente direi che per una situazione SOHO, la 5009 con il ROS 7 andrà... nel senso che non ci sarà niente di particolarmente complicato. Ti suggerisco uno script di auto reboot ogni 7/14gg ad esempio, se ci fossero dei memory leak nel ROS nuovo.

L2TP è un ottima scelta per molti router MT perchè hanno l'ipsec hardware offload, ma ipsec a volte non passa se sei dietro nat. OpenVPN dovrebbe passare ovunque.
Con ROS7 c'è anche wireguard, che non ho ancora provato, e dovrebbe andare dappertutto.
@barsigor la vera domanda è: hai già qualcosa in casa da usare, o devi comprarlo per l'occasione?

PS: e come si dice... just my two cents..

x_term Molto bene a sapersi.

La configurazione la hai fatta da zero con la 7.1.1 pulita ho hai importato la 6 con un upgrade? Io importando sono andato quasi bene sempre, tranne con i 2004 (che avrebbero goduto ampiamente della ROS7) ove ho avuto sempre problemi di vario tipo (legati al bgp).
Altre RB minori, upgradate da 6.x al 7.1.1 sono andate senza problemi, ma fanno poca roba e sono esperimenti diciamo. Le RB che ho in produzione hanno a bordo rigorosamente la long-term v6.

maggiore81 ma anche sì Io ho diversi HEX e HEXs su linee FTTH a 1G e vanno come delle viole.

Vanno, ma dipende dalle condizioni... e dalle regole. Visto che si parla di un ufficio, dove immagino che non siano i 100€ a far la differenza quanto più l'impatto sulle prestazioni e il tempo uomo perso a fare configurazione e debug (ok, divertente quando si tratta di smanettare, ma se si hanno rogne "in produzione" basta un'ora persa e i 100€ li abbiamo già bruciati). Ricorda poi che Voda è in PPPoE anche per le smallbiz, quindi hai ancora altro overhead che si somma al mero forwarding + NAT.

Poi certo, se uno ce l'ha sulla scrivania a metterlo e configurarlo ci sta, dovesse fare cambio di hardware fa un export-import e adatta al più i nomi delle interfacce, 5 minuti e via. Se lo deve comprare ex novo, nel 2022 non andrei mai a consigliare roba MIPS...

In fasttrack, NAT e PPPoE siamo al limite al gigabit anche con l'AC2 che è ARM su SoC decisamente più performante (IPQ4018).

maggiore81 Per IPv6... non c'è ancora traffico o attività che ti tirano al massimo il router, c'è ancora troppo poco.

Dipende... finché Vodafone non lo offre chiaramente il traffico è zero dove c'è non credere sia così poco. Dipende dagli use case, ma inizia a vedersi. Tutte le principali CDN e servizi di conferenze hanno anche supporto v6, e se possibile gli stack di rete preferiscono usare v6 prima del v4.

maggiore81 se hai il fasttrack e le giuste regole in raw.

Ecco appunto, hai detto niente... per chi è alle prime armi è tanto se riesce a capire le chain input e forward, non andrei a consigliare di toccare la raw. Poi oh, ognuno la vede a suo modo, se per aver le performance che mi servono devo iniziare a mettere troppi GOTO e bypass, per me ha molto più senso salire di classe di hardware, tanto ci puoi mettere la pezza ora ma tra 6 mesi esce la nuova killer application che ti fa più traffico e di nuovo la macchina si siede.
Se poi iniziamo a parlare di QoS o policer che escludono per definizione il fasttrack ma possono servire in un ambiente SOHO appena mediamente complesso, impacchettiamo tutto e andiamo a casa.

4011 e 5009 costano essenzialmente uguale, non vedo motivo (se non le due porte in più, ma IMHO un router deve fare da router, lo switching lasciamolo fare allo switch) di preferire il primo ora.

maggiore81 Come vedi siamo di due pareri diversi, ma il bello è il confronto edificante. A presto!

Beh ci sta. Sai che palle se tutti avessimo la stessa idea?