Mikrotik Corner - Guide, informazioni e aiuti sugli apparati Mikrotik

Technetium Buonasera
Il pacchetto firewall default protegge bene ma effettivamente NON è per niente leggero e ha un impatto sulle prestazioni notevole se iniziamo a scaricare molto.
Non è tanto questione dei trick, diciamo che se conosci a fondo il loro funzionamento puoi sicuramente ottimizzare, ma alla fine non puoi fare miracoli contro i limiti fisici della combinazione hardware/software di una specifica Routerboard.

Se fai PPPoE unencrypted non è un grosso problema, se metti anche encryption allora c'è un impatto sulle prestazioni importante.

OpenVPN se è solo per un remote management o altro.. ok, se è per qualcosa di più è tutto in software e vai pianissimo... sconsiglio per trasferire file o altro... povera bestia di router

L'idea del ROS 7 è sicuramente interessante, alcuni hw nuovi come la 5009 sono nati solo con il 7. Personalmente ne ho un paio di apparati in ROS7 e in generale funzionano, ma sono pieni ancora di bachi, tante cose da GUI non funzionano e devi andare da CLI (anche se da gui sono impostate correttamente). Il BGP nuovo funziona ed è veloce, ma non sempre risponde come deve... insomma ho avuto esperienze diverse, ad esempio proprio degli HEX si sono upgradati e aggiornati bene alla 7.1.1, mentre dei 2004, pari configurazione, con la 7 mi danno mille problemi.
Sicuramente direi che per una situazione SOHO, la 5009 con il ROS 7 andrà... nel senso che non ci sarà niente di particolarmente complicato. Ti suggerisco uno script di auto reboot ogni 7/14gg ad esempio, se ci fossero dei memory leak nel ROS nuovo.

L2TP è un ottima scelta per molti router MT perchè hanno l'ipsec hardware offload, ma ipsec a volte non passa se sei dietro nat. OpenVPN dovrebbe passare ovunque.
Con ROS7 c'è anche wireguard, che non ho ancora provato, e dovrebbe andare dappertutto.
@barsigor la vera domanda è: hai già qualcosa in casa da usare, o devi comprarlo per l'occasione?

PS: e come si dice... just my two cents..

x_term Molto bene a sapersi.

La configurazione la hai fatta da zero con la 7.1.1 pulita ho hai importato la 6 con un upgrade? Io importando sono andato quasi bene sempre, tranne con i 2004 (che avrebbero goduto ampiamente della ROS7) ove ho avuto sempre problemi di vario tipo (legati al bgp).
Altre RB minori, upgradate da 6.x al 7.1.1 sono andate senza problemi, ma fanno poca roba e sono esperimenti diciamo. Le RB che ho in produzione hanno a bordo rigorosamente la long-term v6.

maggiore81 ma anche sì Io ho diversi HEX e HEXs su linee FTTH a 1G e vanno come delle viole.

Vanno, ma dipende dalle condizioni... e dalle regole. Visto che si parla di un ufficio, dove immagino che non siano i 100€ a far la differenza quanto più l'impatto sulle prestazioni e il tempo uomo perso a fare configurazione e debug (ok, divertente quando si tratta di smanettare, ma se si hanno rogne "in produzione" basta un'ora persa e i 100€ li abbiamo già bruciati). Ricorda poi che Voda è in PPPoE anche per le smallbiz, quindi hai ancora altro overhead che si somma al mero forwarding + NAT.

Poi certo, se uno ce l'ha sulla scrivania a metterlo e configurarlo ci sta, dovesse fare cambio di hardware fa un export-import e adatta al più i nomi delle interfacce, 5 minuti e via. Se lo deve comprare ex novo, nel 2022 non andrei mai a consigliare roba MIPS...

In fasttrack, NAT e PPPoE siamo al limite al gigabit anche con l'AC2 che è ARM su SoC decisamente più performante (IPQ4018).

maggiore81 Per IPv6... non c'è ancora traffico o attività che ti tirano al massimo il router, c'è ancora troppo poco.

Dipende... finché Vodafone non lo offre chiaramente il traffico è zero dove c'è non credere sia così poco. Dipende dagli use case, ma inizia a vedersi. Tutte le principali CDN e servizi di conferenze hanno anche supporto v6, e se possibile gli stack di rete preferiscono usare v6 prima del v4.

maggiore81 se hai il fasttrack e le giuste regole in raw.

Ecco appunto, hai detto niente... per chi è alle prime armi è tanto se riesce a capire le chain input e forward, non andrei a consigliare di toccare la raw. Poi oh, ognuno la vede a suo modo, se per aver le performance che mi servono devo iniziare a mettere troppi GOTO e bypass, per me ha molto più senso salire di classe di hardware, tanto ci puoi mettere la pezza ora ma tra 6 mesi esce la nuova killer application che ti fa più traffico e di nuovo la macchina si siede.
Se poi iniziamo a parlare di QoS o policer che escludono per definizione il fasttrack ma possono servire in un ambiente SOHO appena mediamente complesso, impacchettiamo tutto e andiamo a casa.

4011 e 5009 costano essenzialmente uguale, non vedo motivo (se non le due porte in più, ma IMHO un router deve fare da router, lo switching lasciamolo fare allo switch) di preferire il primo ora.

maggiore81 Come vedi siamo di due pareri diversi, ma il bello è il confronto edificante. A presto!

Beh ci sta. Sai che palle se tutti avessimo la stessa idea?

Perfetto, allora nel pomeriggio apporto le modifiche e vediamo se migliora

Technetium pc x86_64
comunque attivato licenza level1 (free) e adesso non vado oltre i 180Mbs in download.
potrebbe essere che sia da impostare meglio regole e filtri sul firewall?