самосбор
/thread
только нужна отказоустойчивость, а ну как ssd помрёт или сетевуха.

Настраиваем бекапы виртуалок на стойку с проксмоксом, которая и будет стоять за этой конструкцией. И в случае аварии свитч перенастраиваем на основной виртуальный хост, а сами бежим в магаз за следующей микроитх платой или сетевухой.. Не?

не, как хочешь конечно, у тебя там «авария», а ты весь рабочий день бегаешь по магазинам. тем более, если помрёт через пяток лет, там всякое может быть. например стойки с проксмоксом уже не будет или ssd будут от 100500к, да что угодно может быть.
я как-то находил «не внесённые в проектную документацию» маршрутизаторы на первом пне, там бежать надо было в музей, а не в магаз.

Но зачем же тогда кто-то покупает микротики??

1. за wireless systems
2. за контроллерами для wireless systems
3. за мощными дофигаядерными роутерами за меньше денег, чем аналогичные циски или что-там-сейчас-в-моде-в-ынтырпрайзе
4. за вебфигом, винбоксом и изкоробочностью

По магазинам весь день бегать не придётся :) это я утрировал - ведь подойдёт любое железо поддерживающее Linux/kvm/lxc...
Кроме того, стоимость дублирующего комплекта =около 100$(циска и компухтер). Поэтому если результат себя хорошо проявит, то можно потратиться и на резерв.

за wireless

В 3011 этого вроде как и нету :)

за мощными дофигаядерными роутерами за меньше денег, чем аналогичные циски или что-там-сейчас-в-моде-в-ынтырпрайзе

Ну эта очевидная ситуация... Просто мне казалось, что есть какая-то ситуация когда применимо только циска, например.. Можно ведь 20 тонн кирпичей и на москвиче перевезти, а можно на камазе, а ещё можно на рено магнуме - кирпичам в общем-то пофигу, а вот водиле и заказчику перевозки - нет :)
Думаю и с аппаратным роутерами та же фигня...

за вебфигом, винбоксом и изкоробочностью

Ну это такое.. Я несколько часов дуплил на домашнем роутере в винбокс и в этот фиг, а потом плюнул и за пол часа настроил все из консоли.

Но зачем же тогда кто-то покупает микротики??

потому что кто-то неосилил консоль.

качество, кхм, ихней фирмвари где-то на уровне длинка/асуса. ну т.е. работает - и ладно, а не работает - это у вас неправильные настройки/не надо включать 100500 функций на одной железке вместо покупки 100500 железок/прочие подобные отмазки.

за мощными дофигаядерными роутерами за меньше денег, чем аналогичные циски или что-там-сейчас-в-моде-в-ынтырпрайзе

«мощный дофигаядерный роутер» - ну тот что на целых 72 ядрышка - 2 бгп фуллвью при флапе втягивает 20 минут, и при работе в роли PPPoE терминатора с натом загибается на 2 гбитах траффика. ну т.е. где-то как тазик на целероне.

ну и да, там где серьезный энтерпрайз - там кроме циски/джунипера/экстрима/брокады ничего не ставят. даже в неответственных местах, типа этажного л2 свича.

Ок, верю. Я с ними дела не имел — так, вангую.

Значит, ты не ЦА микротика — радуйся и ставь x86 железку с линуксом.

если помрет тазик через пяток лет - все легко и непринужденно заводится на любой новой железке. которая покупается за пару часов.

если помрет микротик через пяток лет, а эту модель уже сняли с производства и близкие (на той же аппаратной платформе) тоже - начинается веселый секас по переносу конфигов (а они слабо совместимы, да - тупо залить конфиг с одной железки на другую не получится, могут всплывать самые разнообразные баги).

2 бгп фуллвью при флапе втягивает 20 минут, и при работе в роли PPPoE терминатора с натом загибается на 2 гбитах

Папа, а с кем ты только что говорил? :)))
ну а по факту, эти «бгп на флапе с фуллвью», видимо меня не коснутся :) у меня за шлюзоим будет максимум десятка 3-4 хостов с виндами.. «прикладуха» типа..
Хотя понимаю, что по цене одного 3011 получаю 2 комплекта с большим потенциалом :) разве что «фапать на бгп» не придется :)

если помрет тазик через пяток лет - все легко и непринужденно заводится на любой новой железке. которая покупается за пару часов.

Вово! я ж про то же!

маршрутизаторы на первом пне, там бежать надо было в музей, а не в магаз.

А зачем куда-то бежать? Слить его в qcow и запустить на гипервизоре... пусть себе дальше живет и роутит :)

Хотя понимаю, что по цене одного 3011 получаю 2 комплекта с большим потенциалом

то в чем проблема? если руки заточены к консоли - собирайте тазик и не морочьте голову.

а в идеале - впихнуть туда какой-нить роутерный дистр на флэшке, который бутится с нее и работает из памяти (я к примеру у себя на тазиках LEAF юзаю) - получается неубиваемый софтроутер, бекап которого делается за минуту (смонтировать флэш + scp), апгрейд софта - тоже элементарно (при сомнениях - заменил флэшку на подготовленную заранее и ребутнул, если что-то пошло не так - вернул старую), железо сменить - тоже раз плюнуть (переткнул флэшку в первую попавшуюся офисную машину - и все работает).

по-ходу тема начинает сливаться в холивар...
я в своей идее попробовать стартануть с того что есть утвердился...
если не сломает - отпишу что получилось.
Респект всем кто откликнулся! :)
ЗЫ: если есть какие-то советы - с удовольствием выслушаю.

я к примеру у себя на тазиках LEAF юзаю

Спасибо - почитаю что енто такое :)

http://leaf.zetam.org/bering-uclibc/ - актуальный сайт.

Зависит от желаемых плюшек, прямоты рук, количества свободного времени, наличия места под оборудование и желаемого потребления электричества.

RB3011UiAS-RM

фаервол

Нормальный

влан-

Свои термины, но работает.

дхцп

убогий

впн- сервер

Крайне убогий.

VPN server микротика хорошо вяжется с виндовым AD или где там в виндовом колхозе учетки хранятся.

как только начинаешь думать о виртуалках, то сразу же думаешь о резервном сервере который стоит рядом включенный и заряженный нужным железом - на который льются бекапы виртуалок, работа которых на этом сервере протестирована. в итоге можно кластер.
«на любом железе» - быстро? только на проверенном железе можно быстро развернуть. быстрая дорога - знакомая дорога.

убогий - для каких задач убогий?

bird куда то делся

убогий - для каких задач убогий?

В DHCP не работает опция 66 и еще много проблем. А в VPN`ах больше половины настроек нет.

читать rfc лень. что эта 66 опция делает?

каких настроек нет, для чего эти настройки? Что не позволяет реализовать отсутствие конкретной настройки?

Это один из примеров, там абсолютное большинство не работает нормально.

Ну например domain name нет в VPN. Это только конченные дауны могли забыть про это.

всё что я загуглил, это типа next-server, только не очень понятно в чём различия. и вроде даже пишут какой синтаксис писать, чтобы работало. вот только зачем, если есть next-server нипанятна.

Бле, да элементарный обмен ключами с DNS, где он там?

элементарный обмен ключами с DNS

а это ещё чё такое? какими ключами и зачем? тред загадок какой-то, в конце приз штоле выдают?

DHCP передаёт DNS серверу информацию для регистрации A записи компьютера с выданным ip адресом.

это скрипт, который, даже в официальной вики кажется есть. или тебе не функционал интересен а чисто похейтить что кнопки нужной в интерфейсе нет?

PC Engines

APU.2C4 + вафля + SSD гигов на 16 + коробка + антенны + питание - выйдет примерно как ваш RB3011UiAS-RM. Только там четырёхъядерный x86 с поддержкой AES-NI, 4 гига памяти, coreboot искаропки, ставь хоть openwrt, хоть любой дебиан. Вот фигли вам ещё надо?

В локалке настроили VPN сервер на микротике. Микротик связывается c windows AD по radius(я не настраивал). С VPN сервером микротика устанавливаю связь с Windows ppp клиента с галочкой - «Включать домен входа в Windows»
это не то?
Вы какие домены имели ввиду?

microitx

Зачем? Обычную бери, вдруг захочешь потом дополнительную сетевую поставить и raid.

atom n330+2gb ram
на итх все можно завернуть в виртуалках

Это как-то совсем не серьезно. Бери atx тазик с любым приличным процем и 16гб ram.

а зачем здоровый тазик и столько памяти?

странно, собрал мастер гита на днях - все на месте:

# ls package/i486-unknown-linux-uclibc/bird*
package/i486-unknown-linux-uclibc/bird6.lrp   package/i486-unknown-linux-uclibc/birdcl6.lrp  package/i486-unknown-linux-uclibc/birdc.lrp
package/i486-unknown-linux-uclibc/birdc6.lrp  package/i486-unknown-linux-uclibc/birdcl.lrp   package/i486-unknown-linux-uclibc/bird.lrp

в списке пакетов на сайте что то не нашел

плюсую. обычную mATX мать + целерон. и гиг памяти.

ну с сайтом там все сложно. наполняется по остаточному принципу. я от активного мэйнтейнерства отошел уже несколько лет (основная работа уже с админством не связана, хоть и админю еще), другие девелоперы мэйнтенят скорее в качестве хобби (не, есть конечно и интересные новшества, но в целом - 90-95% коммитов это апдейты версий софта).

у меня уже давно идея есть запилить squashfs root + overlayfs + завести это на какой-то сохо железке - но пока все никак не созрею найти время, хоть и железку (wt3020h) под это уже давненько прикупил...

APU.2C4 + вафля + SSD гигов на 16 + коробка + антенны + питание - выйдет примерно как ваш RB3011UiAS-RM

Вафли в нем нет. И поставить не выйдет, miniPCI-E не распаяно. Вот есть занятная железка https://ru.aliexpress.com/item/Qotom-Q355G4-Fanless-Mini-PC-Broadwell-Core-i5... супротив неё кривотик - в пролёте.

Вот фигли вам ещё надо?

Гребли на байдарках им надо. С помирающими NAND флешами из-за которых оно потом не грузиться, с выяснением, что заявленные фичи - работают процентов на 50% в лучшем случае. Зато опыт может будет, что чипсеты для домашних говнороутеров, как и не обвешивай перделками и свистелками - остаются тем-же говном, с медленным I/O по SPI, с отсутствием irq moderation, с неспособностью держать большой PPS. 76 дохлых процессоров - не заменят одного но хорошего. Как домашний/офисный wifi - млопригодно, дешевле взять xiaomi 3g и влить туда lede - и 2 диапазона и ставь чего хочешь.

с неспособностью держать большой PPS
xiaomi 3g и влить туда lede

чё? в одном посте про большой pps и сяоми с леде?
насколько большой pps и какого типа пакеты кто-то там (а я кстати не понял) неспособны держать?

чё? в одном посте про большой pps и сяоми с леде?

речь про wifi же.

насколько большой pps и какого типа пакеты кто-то там (а я кстати не понял) неспособны держать?

PPPoE, NAT, simple queue - 2000 PPPoE сессий/2 гбит трафика превращают CCR1072 в тыкву, лаги начинаются где-то на 1-1.5 гбитах. для сравнения - столько же без проблем жует обычный офисный целерон под линуксом... который, на минутку, стоит не 3 штуки баксов (как CCR), а баксов за 300 собирается с десяточной сетевкой.

ну и да, советую посмотреть на то, на чем реализована сеть в CCR1016. дешманские сохо сетевушки от qualcom/atheros. типа тех что на самых бюджетных материнках распаивают.

ну у тиков целевой сегмент в первую очередь wifi (есть там интересные вещи типа 5/10 МГц каналов, относительно вменяемого хотспота и т.п.), ну и + для мышкотыков гламурный гуй.

ну а по какчеству - собссно сохо оно и есть сохо.

2000 PPPoE сессий/2 гбит трафика превращают CCR1072 в тыкву

ок, а что не превращается в тыкву с такими сессиями? может вы поставили какую-то модель циски и ты поделишься опытом?

Зачем? Обычную бери, вдруг захочешь потом дополнительную сетевую поставить и raid

это ж роутер будет... надо шоб мало жрал и из того что есть под рукой :)
ну и сетевух на матери 2 есть... зачем еще, если рядом циска л2 на 24 порта.
Рейд тоже не надо к роутеру подключать... кроме того он уже у меня есть... 3 полки подключены к специально предназначенному для этого серверу :)

вайфай мне не нужен... точнее нужен, но чтобы в офисе работали телефоны по вайфаю :) думаю с этим справится любая точка доступа
а одновременных входящих и исходящих сессий - дай-то боженька чтобы всех на сотню-другую набежало... и это не торренты, а в основном рдп сессии, думаю что у атома 330 мощей хватит все это разруливать, еще и останется на клиент для заббикса :)

уточню параметры серверочка:
mb: zotac ionitx-g-e
ram: 2gb
pci-e: lan 1gbit marvell
вместо вифи в мать воткнул pci-e ssd 30gb
к 4м сата портам будет подключена импровизированная дисковая полка на 4 винта по пол-терабайта (запилю рейд10 на мдадме (или на чем это делается в пфсенсе) и будет эдакая файлопомоечка для пары пользователей)
в качестве поставщика интернет каналов будет циска прокидывать их (каналы) по вланам прямо в мой роутер.

по системе:
1) попытаюсь запилить пфсенс (никогда его не юзал, но по-моему это то что мне надо)
2) если не понравится пфсенс - втулю убунту или дебиан и все настою ручками :) не так уж у меня много правил и хостов :))

вот как-то так...
ЗЫ: угадал таки про холивар :)

Вафли в нем нет. И поставить не выйдет, miniPCI-E не распаяно.

Зачем неправду пишешь? Там два miniPCI-E слота, один с сокетом для сим-карты.

Вот готовая зборка с вайфаем и 4G: https://www.daanauctions.com/NL/Lot/1426109/pFsense-Router-Wifi-4G-Embedded-m...

Вафли в нем нет. И поставить не выйдет, miniPCI-E не распаяно.

Зачем неправду пишешь? Там два miniPCI-E слота, один с сокетом для сим-карты.

Вот готовая зборка с вайфаем и 4G: https://www.daanauctions.com/NL/Lot/1426109/pFsense-Router-Wifi-4G-Embedded-m...

Хотя твоя железка тоже интересная.