В данной статье я не буду касаться лицензирования аппаратных устройств Mikrotik, так как в них с завода установлена максимальная лицензия, которую может обслужить железо.
Откуда взялся Mikrotik CHR?
Компания Mikrotik выпускает различное сетевое оборудование и устанавливает на него универсальную операционную систему собственного производства — RouterOS. Данная операционная система имеет огромный функционал и понятный интерфейс администрирования, а оборудование на котором она применяется стоит очень не дорого, что объясняет его широкое распространение.
Для использования RouterOS за пределами их оборудования компания Mikrotik выпустила версию x86, которую можно было установить на любой ПК, что позволяло дать вторую жизнь древнему железу. Но лицензия привязывалась к аппаратным номерам оборудования, на которое оно устанавливалось. То есть если сдох HDD, то и с лицензией можно было попрощаться…
Лицензирование оборудования и RouterOS x86 имеет 6 уровней и содержит кучу параметров:
У версии x86 была ещё одна проблема — она не очень дружила с гипервизорами в качестве гостевой системы. Но если высоких нагрузок не ожидалось, то вполне годная версия.
Легальная RouterOS x86 в триале может работать полноценно только 24 часа, а бесплатная имеет кучу ограничений. Ни один сисадмин не сможет полноценно оценить весь функционал RouterOS за 24 часа…
С пиратского ресурса можно было легко скачать образ виртуальной машины с уже установленной RouterOS x86, безусловно со своими костылями, но мне, например, этого хватало.
«Если не можешь победить толпу — возглавь её»
Со временем грамотный менеджмент компании Микротик решил, что бороться с пиратством невозможно и надо сделать невыгодно воровать их операционную систему.
Так появилось ответвление от RouterOS — «Cloud Hosted Router», он же CHR. Эта система оптимизирована как раз под работу на системе виртуализации. Скачать образ можно под все распространённые платформы виртуализации: VHDX image, VMDK image, VDI image, OVA template, Raw disk image. Последний виртуальный диск можно развернуть практически на любой платформе.
Так же изменилась система лицензирования:
Ограничение касается только скорости сетевых портов. На бесплатной версии она составляет 1 Мбит/с, чего достаточно для построение виртуальных стендов (например, на EVE-NG)
Платная версия на официальном сайте очень сильно кусается, но у официальных дилеров можно купить немного дешевле:
А если Вас устраивает скорость в 1Гбит/с на портах, то Вам хватит лицензии P1:
Центральный роутер для объединения офисов
Иногда требуется объединить несколько офисов в одну сеть. Офиса с жирным каналом интернета и белым ip нет. Возможно, все сидят на Yota, либо канал на 5 Мбит/с. А ещё провайдер может фильтровать какие-либо протоколы. Например я замечал, что L2TP через питерского провайдера «Комфортел» просто не поднимается…
В этом случае я поднял CHR в датацентре, где дают жирный стабильный канал на одну vds (разумеется, потестировал из всех офисов). Там крайне редко отваливается сеть совсем, в отличии от «офисных» провайдеров.
Все офисы и пользователи подключаются к CHR по VPN протоколу, который самый оптимальный для них. Например, мобильные пользователи (Android, IOS) замечательно чувствуют себя на IPSec Xauth.
При этом, если между офисом 1 и офисом 2 будет синхронизироваться база в несколько десятков гигабайт, то пользователь, смотрящий камеры на объекте, этого не заметит, так как скорость упрётся в ширину канала на конечном устройстве, а не в канал CHR.
Шлюз для гипервизора
Арендуя небольшое количество серверов в ДЦ под несколько задач, я использую виртуализацию VMWare ESXi (можно любую другую, принцип не меняется), что позволяет гибко управлять имеющимися ресурсами и распределять их по сервисам, поднятым в гостевых системах.
Управление сетью и безопасностью я доверяю CHR как полноценному маршрутизатору, на котором рулю всей сетевой активностью как контейнеров, так и внешней сетью.
Кстати, после установки ESXi физический сервер не имеет белого ipv4. Максимум что может появиться — ipv6 адрес. В такой ситуации обнаружить гипервизор простым сканером и воспользоваться «новой уязвимостью» просто не реально.
Вторая жизнь старому ПК
Кажется я это уже говорил :-). Не покупая дорогой маршрутизатор до сих пор можно на стареньком пк можно поднять CHR.
Полноценный CHR бесплатно
Чаще всего встречаю, что халявный CHR ищут для поднятия прокси на зарубежном vds хостинге. И платить 10к рублей за лицензию из своей зарплаты не хотят.
Реже, но встречаются: дико жадное руководство, заставляющее админов строить инфраструктуру из г***а и палок.
Триал 60 дней
С появлением CHR триал увеличился с 24 часов до 60 дней! Обязательным условием его предоставления является авторизация инсталляции под тем же логином и паролем, что у Вас на mikrotik.com
Запись об этой инсталляции появится в Вашем аккаунте на сайте:
А триал кончится? Что дальше???
А ничего!
Порты будут работать на полной скорости и все функции продолжат работать…
Только получать обновления прошивки перестанет, что для многих не является критичным. Если уделить достаточно внимания безопасности при настройке, то даже заходить на него не понадобится годами. На что надо особо обратить внимание я писал в этой статье habr.com/ru/post/359038
А если всё же нужно обновить прошивку после окончания триала?
Сбрасываем триал следующим способом:
1. Делаем бэкап.
2. Забираем его себе на комп.
3. Переустанавливаем CHR на vds полностью.
4. Авторизируемся
Таким образом в ЛК на сайте Mikrotik появится информация об очередной инсталляции CHR
5. Разворачиваем бэкап.
Настройки восстановлены и снова 60 дней в запасе!
Можно не переустанавливать
Представим, что у Вас сотня магазинов, где в качестве роутера используется древний ПК с CHR. Вы следите за CVE и стараетесь оперативно реагировать на обнаруженные уязвимости.
Раз в два месяца переустанавливать CHR на всех объектах — тупая трата ресурсов админа.
Но есть способ, при котором требуется хотя бы одна купленная лицензия CHR P1. 2к рублей может найти фактически любая контора, а если не может, то стоит оттуда бежать ^_^.
Идея в том, чтобы лицензию легально через личный кабинет на mikrotik.com передавать с устройства на устройство!
Выбираем «System ID» нужно нам роутера.
И жмём «Transfer subscription».
Лицензия «переехала» на новое устройство, а старое устройство, лишившееся лицензии, без всяких переустановок и дополнительных телодвижений получило новый триал в 60 дней!
То есть, имея всего одну лицензию, можно обслуживать огромный парк CHR!
Зачем компания Mikrotik так ослабила политику лицензирования?
За счёт доступности CHR компания Mikrotik создала огромное комьюнити вокруг своих продуктов. Армия специалистов и энтузиастов тестирует их продукт, делает репорты по обнаруженным багам, генерирует базу знаний по различным кейсам и т.д., то есть ведет себя, как успешный opensource проект.
Таким образом, нарабатывается не просто пул хаотичных знаний в виртуальной среде, а подготавливаются специалисты, имеющие достаточный опыт работы с конкретной системой и, соответственно, отдающие предпочтению оборудованию конкретного вендора. А руководители предприятий склонны прислушиваться к работающим у них специалистам.
Чего стоят доступное обучение и проводимые конференции MUM! В специализированном сообществе в Телеграм @router_os сейчас состоит более 3000 человек, где специалисты обсуждают решения различных задач. Но это темы отдельных статей.
Таким образом основной доход компании Mikrotik приносит продажа оборудования, а не лицензий за $45.
Здесь и сейчас мы наблюдаем быстрый рост IT гиганта, который появился относительно недавно — в 1997 году в Латвии.
Не удивлюсь, если через 5 лет компания D-Link объявит о выходе очередного роутера под управлением RouterOS от Mikrotik. Подобное в истории было не раз. Вспомните хотя бы когда Apple отказалась от собственных PowerPC в пользу процессоров Intel.
Надеюсь, что данная статья развеяла долю Ваших сомнений на пути использования продукции от Mikrotik.
MixaSg
Нечто подобное было у компании Cisco, когда на 11.х, 12.х IOS можно было подниматься с IPBASE до ADVENTSERVICE практически на всех железках, где хватало flash и ram. Ну и не было так огорожено непосредственно скачивание этих IOS.