Skip to content
Blog

MikroTik hEX koos MKController pilvehaldusega

Kokkuvõte
Õpi, kuidas MikroTik hEX (RB750Gr3) sobitub SOHO ja SMB võrkudesse, millised on selle tegelikud piirid ja kuidas MKController pilvehaldus aitab hallata nende ruuterite parve turvalisemalt ja mugavamalt.

MikroTik hEX koos MKController pilvehaldusega

Topology with MikroTik hEX routers managed centrally by MKController cloud

Tutvu MikroTik hEX RB750Gr3-ga

MikroTik hEX (RB750Gr3) on väike viiepordiline Gigabit Ethernet ruuter, millel on kahetuumaline 880 MHz protsessor, 256 MB mälu ja vaikne passiivjahtimine. See töötab täisväärtusliku RouterOS-i funktsioonikomplektiga, sealhulgas täiustatud marsruutimise, tulemüüri, VPN, QoS ja isegi väikese Dude serveri baasjärelevalve jaoks.

Saad viis 10/100/1000 Mbps Etherneti porti, USB 2.0 pordi ja microSD pesa lisamälu ja logide jaoks. Võimsus tarbib vaid mõne vati ja seda saab toita tavalise alalisvoolu adapteri või passiivse PoE-ga Ether1 pordist, mis sobib kitsastesse või kaugetesse paigaldustesse.

Erinevalt hAP sarjast ei ole hEX-il sisseehitatud Wi-Fi-d. See on mõeldud traadiga ruuteriks või tulemüüriks servas, sageli koos eraldiseisvate juurdepääsupunktidega. Seesmiselt võimaldab integreeritud lülituskiip teha pordide vahel traadikiirusel lülitamist sildistamisel, samal ajal kui marsruutimine ja rasked protsessid sõltuvad protsessorist.

Märkus: See paindlikkus on võimas, kuid tähendab ka seda, et seadistamine pole algajale lihtne. RouterOS pakub palju seadistusi, seega on parem, kui sellega tegelevad tehnikud või kogenud kasutajad, mitte otsepistikuga oodatavad lahendused.

Täpsemate riistvaraspetsiifikatsioonide jaoks võid tutvuda ametliku MikroTik hEX tootelehega.

Jõudlus reaalses võrgus

Lihtsates marsruutimise ja NAT olukordades suudab hEX ühe pordipaariga FastPath ja FastTrack tehnoloogiat kasutades saavutada peaaegu Gigabiti liinisageduse. Ideaalses olukorras näitavad suured paketid testides läbilaskevõimet üle 900 Mbps, jättes palju protsessori ressursse tavapäraseks SOHO ja SMB liikluseks.

Kui hakkad paketile lisama rohkem tööd, muutub olukord. Firewalli reeglite lisamine, keerukad järjekorrad või täiustatud QoS poliitikad vähendavad kiiresti maksimaalset läbilaskevõimet. Mitme filtrireegliga võib väga väikeste (64-baidiste) pakettide jõudlus märkimisväärselt langeda, mis on ootuspärane väikese CPU puhul, mis tegeleb kõigi pakettidega aeglasel teel.

Hea uudis on see, et tasakaalustatud reeglistiku ja FastTrack’i kasutamisega usaldusväärsele liiklusele suudab hEX mugavalt hakkama saada tüüpiliste lairibaühendustega (100–500 Mbps) ning paljude Gigabit ühendustega kontori töökoormuste, VoIP ja kaugjuurdepääsu jaoks.

VPN poolel lubab riistvaratoetusega IPsec RB750Gr3-l krüpteeritud tunnelite koormust hinnatavas klassis üllatavalt hästi hallata. AES-128 ja suuremate paketiga võib saavutada mõnesaja Mbps krüptitud läbilaske, mis katab enamiku harukontorite, jaemüügikohtade ja kaugekasutajate vajadused situatsioonides, kus WAN-ühendus ei ole Gigabit kiirusel.

Turvariskid, mida ei tohiks ignoreerida

RouterOS on võimas ja paindlik, mis tähendab ka seda, et sellel on oma turvanõrkuste ja valede konfiguratsioonide ajalugu. Varem saadeti seadmeid vaikeadmini kasutajanimega ning avatud haldusteenustega, mis tekitasid hõlpsa ründepinna vananenud püsivara, avatud WinBox- või WebFig-portide korral.

Täna nõuavad uued RouterOS versioonid parooli seadistamist esimesel käivitamisel ja tarnitakse turvalisema vaike-tulemüüriga. Probleemide retsept on siiski sama: aegunud püsivara, nõrgad paroolid ja avatud haldusliidesed WAN poolel.

Hea hEX turvapraktika näeb välja nii:

  1. Hoia RouterOS alati värskes stabiilses või pikaajalises versioonis ja jälgi MikroTik turvateateid.
  2. Lõpeta WinBoxi, WebFigi ja API ligipääs WAN poolelt; eelistatavalt kasuta SSH-d VPN-i kaudu või pilvekontrollerit ruuteri halduseks.
  3. Kasuta tugevaid unikaalseid paroole või SSH võtmeid ning võimalusel aktiveeri kahefaktoriline autentimine.
  4. Logi ebatavalist tegevust ja saada logid kesksele süsteemile, et jõurünnakud ja anomaaliad oleks nähtavad.

Hoiatus: Kompromiteeritud servaruuter pole lihtsalt “veel üks seade.” See võib saada sisenemispunktiks LAN-ile, kuuluda botnetti või toimida vaikiva man-in-the-middle positsioonil kasutajate liikluses.

Miks kasutada pilvekontrollerit nagu MKController

Ühe hEX haldamine laual on lihtne. Kuid kui neid on kümneid klientide kontorites, filiaalides ja kodukontorites, on olukord teine. Siis tulebki kasuks pilvekontroller nagu MKController.

Selle asemel, et avada avatud WinBox või WebFig internetis, loob iga hEX väljuva krüpteeritud tunneli MKControllerisse. Sealt saad brauserist otse avada proxy’tud WinBox või WebFig sessioone, jälgida seadmete seisundit, näha võrguühenduse katkemist ja saada automaatseid konfiguratsiooni varukoopiaid ilma pordi suunamiseta või avaliku IP aadressita.

Kus MKController aitab: MKController hoiab MikroTik parved turvalises krüpteeritud tunnelis kättesaadavana, koondab järelevalve ja automatiseerib varukoopiad. See tähendab vähem turvariske seest avatud portide näol, vähem manuaalseid sisselogimisi ja palju kiiremat muudatuste juurutamist paljudes väikestes ruuterites.

Tüüpiline töövoog näeb välja nii:

  1. Paiguta hEX esmase turvalise malliga: uuendatud RouterOS, piiratud tulemüür ja VPN või MKController tunnel aktiveeritud.
  2. Käivita MKControlleri võtmiskäsk ruuteril, mis registreerib selle automaatselt pilves.
  3. Kasuta MKControlleri paneeli WebFigi või WinBoxi avamiseks, CPU, mälu ja liideste kontrollimiseks ning hoiatuste saamiseks, kui seade on võrguühenduseta või läbib seatud künniseid.
  4. Lase MKControlleril regulaarselt konffi eksportida ja varundada, et vajadusel kiirelt taastada või kloonida konfiguratsioon teise masinasse.

Päevarutiini juurdepääs ja haldus pilvekontrolleris vähendab vajadust staatiliste IP-de, dünaamiliste DNS-i trikkide või kontorpõhiste VPN-ide järele keerukate seadmete haldamiseks.

Millal on hEX õige valik (ja millal mitte)

RB750Gr3 sobib suurepäraselt mitmes olukorras:

  • Väikesed kontorid ja kodukontorid, millel on vaja usaldusväärset traadiga servaruuterit koos eraldiseisvate WiFi juurdepääsupunktidega.
  • Filiaalid ja jaemüügikohad, mis vajavad turvalist VPN-ühendust kesksele võrgule kuni mõõdukate ribalaiuste vajadustega.
  • Halduse teenusepakkujad, kes otsivad madala hinnaga, skriptiga juhitavaid CPE seadmeid, mida saab tsentraalselt jälgida ja haldada.
  • Laborid, koolitusasutused ja kodulaborid, kus tehnikud saavad RouterOS omadusi praktiseerida ilma kallist riistvara ostmata.

On olukordi, kus tuleks mõelda suurema seadme kasuks:

  • Keskkonnad, mis vajavad püsivat Gigabiti läbilaskevõimet koos rohke tulemüüriga, paljude VPN-ide või keerukate QoS poliitikatega.
  • Võrgud, mis nõuavad sisseehitatud Wi-Fi, 10G ülesvõrke või täiendavaid turvaomadusi nagu IDS või sisufiltreerimine.
  • Suured marsruudivaldkonnad täis BGP tabelite või tohutute dünaamiliste marsruudibaasidega, mis ei mahu mugavalt 256 MB RAM-i peale.

Nõuanne: Mõtle hEX-ile kui kompaktsele Šveitsi taskunugale servaruuteriteks. See töötab hiilgavalt oma piirides, kuid ei asenda täisfunktsionaalset tulemüüri ega andmekeskuse ruuterit.

Paljude organisatsioonide jaoks on magus koht selge: kasuta hEX-i kuluefektiivseks servaruuteriks ja VPN-iks väikestes kohtades ning MKControllerit selle parve nähtavaks, turvaliseks ja hästi hooldatavaks muutmiseks. Kui vajadused kasvavad, saab vahetada suuremate MikroTik mudelite vastu, säilitades samas pilvehalduse.

MKControllerist

Loodame, et ülaltoodud teadmised aitasid sul MikroTik-i ja interneti universumis paremini orienteeruda! 🚀
Olgu sa siis seadistusi täpsustamas või lihtsalt võrgusemadus korda seadmas, MKController on olemas, et muuta su elu lihtsamaks.

Keskse pilvehalduse, automatiseeritud turvavärskenduste ja kasutajasõbraliku juhtpaneeliga oleme valmis sinu võrguhaldust uuendama.

👉 Alusta tasuta 3-päevast prooviperioodi kohe aadressil mkcontroller.com — ja saa aru, kuidas näeb välja tõeline muretult juhtimine.