Перейти к содержимому
Blog

MikroTik hEX с управлением в облаке MKController

Кратко
Узнайте, как MikroTik hEX (RB750Gr3) вписывается в сети SOHO и SMB, каковы его реальные ограничения и как облачное управление MKController помогает развертывать, защищать и обслуживать парки таких маршрутизаторов с меньшими рисками и ручной работой.

MikroTik hEX с облачным управлением MKController

Topology with MikroTik hEX routers managed centrally by MKController cloud

Познакомьтесь с MikroTik hEX RB750Gr3

MikroTik hEX (RB750Gr3) — это компактный пятипортовый гигабитный маршрутизатор с двухъядерным процессором 880 МГц, 256 МБ оперативной памяти и пассивным бесшумным охлаждением. Он работает на полной функциональности RouterOS, включая расширенную маршрутизацию, брандмауэр, VPN, QoS и даже небольшой экземпляр сервера Dude для базового мониторинга.

Вы получаете пять Ethernet-портов 10/100/1000 Мбит/с, порт USB 2.0 и слот microSD для дополнительного хранения и логов. Потребление энергии составляет всего несколько ватт, устройство может питаться от стандартного адаптера DC или пассивного PoE на Ether1, что удобно для компактных или удалённых установок.

В отличие от линии hAP, hEX не оснащён встроенным Wi-Fi. Он предназначен для проводного использования как маршрутизатор или брандмауэр на границе сети, часто в паре с отдельными точками доступа. Внутри интегрированный коммутатор позволяет осуществлять коммутацию на скорости порта при бриджировании, в то время как маршрутизация и тяжелая обработка зависят от CPU.

Примечание: Такая гибкость мощна, но конфигурация не для новичков. RouterOS имеет множество настроек, поэтому лучше доверять его специалистам или опытным пользователям, а не ожидать работу «включи и работай».

Для подробных технических характеристик можно ознакомиться с официальной страницей продукта MikroTik hEX.

Производительность в реальных сетях

В простых сценариях маршрутизации и NAT hEX способен приблизиться к гигабитной скорости на одной паре портов, используя FastPath и FastTrack для установленных потоков. В идеальных условиях тесты с большими пакетами показывают пропускную способность выше 900 Мбит/с с достаточным запасом CPU для нормального трафика SOHO и SMB.

С увеличением нагрузки на каждый пакет ситуация меняется. Добавление десятков правил брандмауэра, сложных очередей или продвинутой QoS быстро снижает максимальную пропускную способность. При множестве фильтров производительность для мелких 64-байтовых пакетов может существенно упасть, что ожидаемо для малого CPU, обрабатывающего каждый пакет в медленном пути.

Хорошая новость: при сбалансированном наборе правил и использовании FastTrack для доверенного трафика hEX легко справляется с типичными широкополосными каналами (100–500 Мбит/с) и даже многими гигабитными соединениями для офисных задач, VoIP и удаленного доступа.

На стороне VPN аппаратное ускорение IPsec позволяет RB750Gr3 удивительно эффективно работать с зашифрованными туннелями для своего ценового сегмента. С AES-128 и крупными пакетами вы можете достичь нескольких сотен мегабит в секунду шифрованной пропускной способности, что достаточно для большинства филиалов, торговых точек и нужд удалённых пользователей при WAN-соединении ниже гигабита.

Риски безопасности, которые нельзя игнорировать

RouterOS мощен и гибок, но это также значит, что он имел свои уязвимости и истории ошибок конфигурации. Исторически устройства поставлялись с дефолтными админскими учетками и открытыми сервисами управления, что делало их легкой мишенью при использовании старой прошивки или открытых портов WinBox и WebFig.

Сегодня новые версии RouterOS требуют установки пароля при первом запуске и поставляются с более безопасным базовым файрволом. Тем не менее, ошибки по-прежнему возникают из-за устаревшей прошивки, слабых паролей и открытых сервисов управления на WAN-интерфейсе.

Основные правила безопасности hEX:

  1. Используйте актуальные стабильные или долгосрочные релизы RouterOS и следите за объявлениями безопасности MikroTik.
  2. Закрывайте входы WinBox, WebFig и API на WAN; предпочитайте SSH по VPN или облачному контроллеру для доступа к маршрутизатору.
  3. Используйте надежные уникальные пароли или SSH-ключи и включайте двухфакторную аутентификацию, где возможно.
  4. Логируйте подозрительную активность и отправляйте логи в централизованную систему для выявления попыток брутфорса и аномалий.

Предупреждение: Скомпрометированный граничный маршрутизатор — это не просто «ещё одно устройство». Он может стать точкой входа в локальную сеть, участником ботнета или тихим посредником в трафике пользователей.

Зачем добавлять облачный контроллер, вроде MKController

Управлять одним hEX на столе просто. Управлять десятками на клиентских площадках, филиалах и домашних офисах — совсем другое дело. Именно здесь пригодится облачный контроллер MKController.

Вместо того чтобы выставлять WinBox или WebFig в публичный интернет, каждый hEX устанавливает исходящий зашифрованный туннель с MKController. Оттуда можно запускать проксированные сессии WinBox или WebFig через браузер, отслеживать состояние устройств, видеть офлайн-состояния и получать автоматические резервные копии без настройки проброса портов или публичных IP.

Где помогает MKController: MKController обеспечивает доступ к MikroTik-маршрутизаторам через безопасные туннели, централизует мониторинг и автоматизирует бэкапы. Это значит меньше рисков из-за открытых портов, меньше ручных входов и значительно быстрее внесение изменений на множестве малых устройств.

Типичный рабочий процесс:

  1. Развернуть hEX с базовым безопасным шаблоном: обновлённый RouterOS, закрытый файрвол и включенный VPN или туннель MKController.
  2. Запустить скрипт подключения MKController на маршрутизаторе, чтобы он связался и зарегистрировался в облаке.
  3. Использовать панель MKController для открытия WebFig или WinBox, мониторинга CPU, памяти и интерфейсов, получать оповещения при офлайн-статусе или выходе параметров за допустимые пороги.
  4. Позволить MKController регулярно делать экспорт конфигураций и бэкапы, чтобы быстро восстановить маршрутизатор или клонировать настройки на резервное устройство.

Перенос ежедневного доступа и контроля в контроллер снижает необходимость в статических IP, динамическом DNS и VPN для управления устройствами.

Когда hEX — подходящий инструмент (и когда нет)

RB750Gr3 отлично подходит для ряда задач:

  • Малые офисы и домашние офисы, которым нужен надежный проводной граничный маршрутизатор с отдельными Wi-Fi-точками.
  • Филиалы и торговые точки с необходимостью безопасного VPN-подключения к центральной сети и умеренной пропускной способностью.
  • Поставщики управляемых услуг, желающие недорогой и скриптуемый клиентский CPE с центральным мониторингом и управлением.
  • Лаборатории, учебные среды и домашние лаборатории, где техники могут практиковать функции RouterOS без дорогого оборудования.

Есть ситуации, где стоит выбрать устройство крупнее:

  • Среды с постоянной гигабитной пропускной способностью, большим количеством правил файрвола, множеством VPN или сложным QoS.
  • Сети, где необходим интегрированный Wi-Fi, 10G uplink или продвинутые функции безопасности, такие как IDS или контент-фильтрация.
  • Крупные маршрутизируемые домены с полными таблицами BGP или очень большими динамическими базами маршрутизации, что неудобно на 256 МБ ОЗУ.

Совет: Считайте hEX компактным швейцарским ножом для граничной маршрутизации. Он великолепен в пределах своих возможностей, но не заменит полноценный брандмауэр или дата-центрский маршрутизатор.

Для многих организаций оптимальный выбор очевиден: использовать hEX для недорогой граничной маршрутизации и VPN на маленьких площадках, а затем применять MKController для обеспечения видимости, безопасности и удобства обслуживания этого парка с течением времени. Если потребности выросли — можно перейти на более мощные модели MikroTik, сохранив при этом ту же концепцию облачного управления.

Об MKController

Надеемся, приведённые выше сведения помогают лучше ориентироваться в мире MikroTik и Интернета! 🚀
Будь то тонкая настройка или упорядочивание сетевого хаоса, MKController здесь, чтобы сделать вашу жизнь проще.

С централизованным облачным управлением, автоматическими обновлениями безопасности и понятной панелью управления — у нас есть всё необходимое, чтобы улучшить вашу инфраструктуру.

👉 Попробуйте бесплатно 3 дня на mkcontroller.com — и увидьте, как выглядит настоящий простой контроль сети.