LINUX.ORG.RU

ARM- или MIPS-одноплатник с 2xGbE и PoE passthrough

 , , , ,


1

6

В общем, я окончательно наелся говна с OpenWRT и у меня появилась концепция.

Я ищу дешёвый одноплатник, который можно было бы использовать в качестве «компаньона» к роутеру Mikrotik, чтобы крутить на нём сервисы, которые нельзя крутить на RouterOS.

Почти все роутеры в моём распоряжении — это железки с одним Ethernet-портом и питанием через passive PoE. В двух из трёх случаев этот порт уже используется как аплинк. Идея в том, чтобы подключить «компаньона» в разрыв между роутером и аплинком, а дальше разруливать VLAN-ами. Ещё было бы классно, если бы я мог использовать тот же самый PoE для питания компаньона.

Отсюда вопрос: насоветуйте мне дешёвых одноплатников с двумя Ethernet (предпочтительно GbE и в виде свитча), питанием через passive PoE и «PoE passthrough» (я хз, есть ли такое в мире, но я верю, что есть). В идеале с поддержкой в OpenWRT.

Бюджет: до $60, с GbE до $80 (дальше проще купить второй микротик и перешить на OWRT).

P. S.: # cast @ncrmnt

★★★★★

Одноплатник с 2хGbE и PoE это собственно микротик и есть. Ну или еще какой роутер. Честный GbE, тем более два, на обычные одноплатники не ставят.

upcFrost ★★★★★ ()
Ответ на: комментарий от upcFrost

Ну или еще какой роутер

Works for me. Я предполагаю, что правильный ответ на мой вопрос — это какой-нибудь китайроутер с алиэкспресса. Второй микротик не хочу, чтобы не переплачивать за вторую копию RouterOS.

Я мог бы тупо перебрать все девайсы из https://openwrt.org/toh, но лоргугл проще :)

intelfx ★★★★★ ()
Последнее исправление: intelfx (всего исправлений: 1)

Концепция тянет на эпический костыль, когда уже отчаялся. Лучше расскажи чего не может микротик и в каком месте опенврт ты наступил на граблю. Ну и самое главное, что хочешь получить от этого сетапа

ncrmnt ★★★★★ ()
Ответ на: комментарий от ncrmnt

Концепция тянет на эпический костыль, когда уже отчаялся.

Так и есть, лол.

Лучше расскажи чего не может микротик

Самое очевидное — условный DNS forwarding (dnsmasq --server=/foo.lan/1.2.3.4 --server=/bar.lan/5.6.7.8). «Эпический костыль» это эмуляция такого поведения на микротике (см. сюда). Дальше туннели: OpenVPN не умеет в UDP, IPsec сделан не по RFC, про WireGuard вообще молчу.

и в каком месте опенврт ты наступил на граблю

Да во всех подряд. Я полгода тянул патч, без которого 3G через QMI не работал от слова совсем, пока господа не соизволили его отревьюить и смержить. Патч на uqmi, без которого раз через десять всё дедлочится на старте, до сих пор тяну. UCI — даже не протекающая абстракция, а абстракция типа «решето». Документации никакой, код говно, для юзкейсов сложнее «домашний роутер с DHCP in — DHCP out» милости просим патчить fw3. IPsec — будь добр выкорчевать UCI, ну и добро пожаловать в /etc/firewall.user, само собой. Про какой-то мониторинг, SNMP из коробки, телеметрию от 3G-модема (уровень сигнала и т. п.) вообще молчу.

Короче, просто неюзабельно, never again. Алсо, мне не хватает аналога WebFig (хочу натыкивать файрволл мышкой и смотреть на счётчики в реалтайме).

Ну и самое главное, что хочешь получить от этого сетапа

Роутер, который можно настраивать без матерных воплей на весь дом.

intelfx ★★★★★ ()
Последнее исправление: intelfx (всего исправлений: 6)
Ответ на: комментарий от ncrmnt

Плюсую этого оратора

Предложенные оратором стоят дороже, чем второй микротик, и при этом не умеют в PoE. Т. е. вообще не понятно, нахрен они такие нужны.

intelfx ★★★★★ ()
Последнее исправление: intelfx (всего исправлений: 1)
Ответ на: комментарий от NiTr0

Вообще уже думал про них. Там нет железа под мои юзкейсы. Мне в одно место нужна была всепогодная AP + роутер + mPCIe под 3G-модем в одном корпусе, в другое роутер с SFP для оптики, и так далее.

Разве что если развернуть идею из ОП задом наперёд и юзать EdgeRouter-ы как роутеры, а микротики (которые уже куплены) тупо как мост в другие сети (3G, Wi-Fi, оптика). Вот только дохрена дорого это.

intelfx ★★★★★ ()
Последнее исправление: intelfx (всего исправлений: 2)
Ответ на: комментарий от Nastishka

Загуглил. Трешовенько. Но всё равно остаётся проблема выбора железки с двумя Ethernet, хоть и без PoE.

А бывают сплиттеры, которые оставляют PoE на выходе?

intelfx ★★★★★ ()
Последнее исправление: intelfx (всего исправлений: 1)
Ответ на: комментарий от intelfx

Я полгода тянул патч, без которого 3G через QMI не работал от слова совсем, пока господа не соизволили его отревьюить и смержить.

Последний раз когда щупал qmi, у меня все взлетало без проблем парой кликов в luci. Сейчас не актуально, так как перешил модем в хилинк, он сидит с веб-мордой на cdc_net, который сбриджен в локалку. Соответственно уровень сигнала, настройки, SMS-сообщения - все через веб-морду.

условный DNS forwarding

На OpenWRT делается штатно в luci, просто добавляешь форвардинг: типа /home/192.168.143.1 и все. То что микротика его не умеет, почему-то меня не удивляет, но может местные фанбои микротика чего подскажут.

UCI — даже не протекающая абстракция, а абстракция типа «решето». Документации никакой, код говно, для юзкейсов сложнее «домашний роутер с DHCP in — DHCP out» милости просим патчить fw3

Понимаю, что не разобрался и пробомбило, бывает ;)

IPsec — будь добр выкорчевать UCI, ну и добро пожаловать в /etc/firewall.user, само собой

IPSec настраивать не пробовал на опенврт, а вот wireguard и openvpn (tap) взлетели у меня в пару щелчков мышой в люське за полчаса, хотя ожидал больше трахов с роутингом в т.ч. Для роутинга я не стал прописывать правила руками, а кинул VPN в отдельную фаервол зону. Не могу сходу представить, где мог возникнуть затык. firewall.user у меня чист на всех роутерах.

SNMP

Больное место, все никак руки не доходят поднять заббикс, и курнуть настройку SNMP. Хотя суда по докам он поддерживается, надо только врубить в menuconfig'е.

телеметрию от 3G-модема (уровень сигнала и т. п.) вообще молчу.

Как показал опыт граблей, на которые я наступил с 3г\4г - от моего 4г-модема телеметрия бесполезна. в 99% процентах случаев показывает 5 палок сигнала, а вот разница скорость/пинги различаются от положения антенны/наличия внешней очень здорово. Приходится запускать пинг и крутить антенной, причем делать это желательно в рабочий денб днем, когда нагрузка на сеть не очень на даче. Но еще бОльшую роль играет питание. Включение вайфая на одном из роутеров (Bpi-R1) при общей с модемом земле у меня вызывает просадку скорости. А вот питание оного от отдельного хаба с отдельным питанием и побольше керамики на соплях - большой баф к скорости и ни единого разрыва. Но т.к. земля общая вайфай все равно на Bpi-R1 лучше не включать (лол). На Mercury MW4530R такой фигни не было, но там слабое питание на USB, перегревается при большом трафике. В общем для модема у меня в планах сделать тупую платку c HLK-RM04 и питанием усб со всевозможными фильтрами по всем аудиофильским канонам. (Кстати, если хочешь - поделюсь)

ncrmnt ★★★★★ ()
Последнее исправление: ncrmnt (всего исправлений: 1)

PoE в микротике ( в частности домашних моделях) уныл - там макcмимум 500мА - вряд ли это хватит на питание. Да и железки с этой фичей уже выходят из твоего бюджета. Так что лучше пользоваться пассивными инжекторами на вход-выход, коих полно на алиэкспрессе.

Jopich1 ()
Последнее исправление: Jopich1 (всего исправлений: 2)
Ответ на: комментарий от ncrmnt

O_o У тебя какой-то другой алиэкспресс, потому что на моей первой странице по этому запросу ничего подобного не видно (а также на второй, третьей и пятнадцатой). Я вообще этот лот не вижу, там всего 51 результат.

intelfx ★★★★★ ()
Ответ на: комментарий от Jopich1

PoE в микротике ( в частности домашних моделях) уныл - там макcмимум 500мА - вряд ли это хватит на питание

Что значит «максимум»? Максимальная потребляемая мощность PoE-in? Или максимальная выходная мощность PoE-out? И 500mA при 24V — это, я извиняюсь, 12W. В каком месте мне не хватит 12W?

intelfx ★★★★★ ()
Ответ на: комментарий от intelfx

максимальная выходная мощность PoE-out

микротик-микротик у тебя уже не будет работать через POE ( или глючить т к там этих 12W впритык ) - нужно использовать внешний инжектор

Jopich1 ()
Последнее исправление: Jopich1 (всего исправлений: 3)
Ответ на: комментарий от intelfx

Медленно,

схуяп? метароутер - это же типа контейнера, а то и вообще тупо чрут в развернутый опен-врт образ - судя по тому, что reboot в опен-врт в метароутере через раз (не всегда) перезагружает сам микротик

anonymous ()
Ответ на: комментарий от ncrmnt

Последний раз когда щупал qmi, у меня все взлетало без проблем парой кликов в luci

Я не представляю, как у тебя всё взлетало, если там в интерфейсе поле device (в котором devnode) затиралось из hotplug обработчика именем интерфейса и удачи потом что-то сделать? Это работает сразу после настройки, а после ребута хер.

Сейчас не актуально, так как перешил модем в хилинк

O_o зачем? это же убогая убогость, я не представляю, как и зачем можно пользоваться таким режимом. Плюс у меня mPCIe-модем, какой там хилинк?

условный DNS forwarding

На OpenWRT делается штатно в luci

Я прекрасно знаю, что на OpenWRT это делается штатно, я там вообще-то про RouterOS расписывал.

Понимаю, что не разобрался и пробомбило, бывает ;)

Ну если прочесть доку, черновик доки, сырцы, коммитлоги, пнуть автора и запатчить — это «не разобрался», тогда я даже не знаю.

IPSec настраивать не пробовал на опенврт, а вот wireguard и openvpn (tap) взлетели

Я ничего и не говорил про WG и OVPN на OpenWRT.

Не могу сходу представить, где мог возникнуть затык.

Например, скипнуть маскарад для пакетов, уходящих в IPsec. Это tunnel mode, если что.

Но еще бОльшую роль играет питание.

mPCIe-модем. Но кулстори оценил.

intelfx ★★★★★ ()
Ответ на: комментарий от intelfx

Если бы это был контейнер, там бы не было патчей на ведро.

не факт. но спорить не буду. почему я считаю что это не полноценная ВМ я уже сказал, больше мне добавить нечего, разве что то что halt и shutdown тоже иногда действуют не на метароутер, а на сам микротик. и я уже несколько лет ребутаю опенврт в микротике «снаружи» - стоп-стартом метароутера. ибо были неприятные прен-цен-ден-ты

а сам опенврт в метароутере гоняю именно по той же самой причине - нужен отсутствующий в роутерОС функционал.

были нужны опенВПН сервера (причем одновременно два - tap и tun) по udp и с компрессией, плюс клиент по udp - сейчас уже остановлены, больше не нужны

висит socks-сервер с ssh-туннелем к моей впс-ке

висит крохотный веб-сервачок, который настройки прокси всем домашним машинкам раздает - куда прямо ходить, а куда - мимо роскомзабора через этот самый сокс

он же раньше был моим сайтом-визиткой (тоже уже нужды нет, зато приобрел бесценный ненужный опыт борьбы с DDoS моего dns на этом же микротике - внешний днс домена сайта на нем висел, что бы не платить за него)

городить ради этого отдельную железку - как-то неправильно ИМХО

anonymous ()
Ответ на: комментарий от intelfx
BusyBox v1.19.4 (2014-03-08 22:06:51 CET) built-in shell (ash)
Enter 'help' for a list of built-in commands.

  _______                     ________        __
 |       |.-----.-----.-----.|  |  |  |.----.|  |_
 |   -   ||  _  |  -__|     ||  |  |  ||   _||   _|
 |_______||   __|_____|__|__||________||__|  |____|
          |__| W I R E L E S S   F R E E D O M
 -----------------------------------------------------
 ATTITUDE ADJUSTMENT (12.09, r36088)
 -----------------------------------------------------
root@metarouter:~# uname -a
Linux metarouter 3.3.8 #2 Tue Mar 11 13:05:25 CET 2014 mips GNU/Linux

root@metarouter:~# cat /etc/opkg.conf
src/gz packages http://openwrt.wk.cz/attitude_adjustment/mr-mips/packages
anonymous ()
Ответ на: комментарий от intelfx

O_o зачем? это же убогая убогость, я не представляю, как и зачем можно пользоваться таким режимом. Плюс у меня mPCIe-модем, какой там хилинк?

1. У него есть рутовый шелл по adb, соответственно правила по установке правильного ttl для опсоса, блоклист хостов для йопты можно держать прямо в модеме и еще пачку скриптов держать можно прямо в модеме, в т.ч. втыкать его в виндовую машину без проблем. Впринципе, OpenVPN можно тоже в нем таскать, но на это уже производительности не хватает, увы. Может на новых лучше. Сейчас у меня из кастома там только костыльный ватч-дог, который рапортует на pushover, если сеть за модемом легла по питанию прежде чем вырубиться (на даче иногда отключают свет).

2. SMS-ки. Я номер который использую для интернета на даче использую для регистрации всяких дисконтных карт и/или прочего шлака, которые любят спамить. Соответственно морда для SMS нужна. Существующими линуксовые решения на сток-прошивке не взлетели. А так зашел по VPN на IP внутренней сети, выцепил нужное сообщение.

Ну если прочесть доку, черновик доки, сырцы, коммитлоги, пнуть автора и запатчить — это «не разобрался», тогда я даже не знаю.

Табличка «сарказм» отклеилась, видимо ;)

Плюс у меня mPCIe-модем, какой там хилинк?

Оно может по USB коннектится, кстати, а не по PCIe, так деляют большинство модемов. Уверен, что там именно PCIe?

Например, скипнуть маскарад для пакетов, уходящих в IPsec. Это tunnel mode, если что.

Ничего не могу сказать, к сожалению. Пока не столкнешься, не узнаешь. Поверю твоему опыту ;)

mPCIe-модем. Но кулстори оценил.

Для mPCIe тоже имеет значение. Я думаю, наиболее привередлива к питанию именно радиочасть. Разве больше шанс, что на minipcie питание не пожалели катушек и кондеров.

ncrmnt ★★★★★ ()
Ответ на: комментарий от intelfx

Х.з. Может потому, что я много лет али вместо радиорынка и заказываю только отладочные платы и компоненты в основной массе оттуда. Да и он требует теперь логиниться для поиска (3.14дорасы!)

ncrmnt ★★★★★ ()
Ответ на: комментарий от ncrmnt
  1. У него есть рутовый шелл по adb, соответственно правила по установке правильного ttl для опсоса, блоклист хостов для йопты можно держать прямо в модеме и еще пачку скриптов держать можно прямо в модеме, в т.ч. втыкать его в виндовую машину без проблем. Впринципе, OpenVPN можно тоже в нем таскать, но на это уже производительности не хватает, увы. Может на новых лучше. Сейчас у меня из кастома там только костыльный ватч-дог, который рапортует на pushover, если сеть за модемом легла по питанию прежде чем вырубиться (на даче иногда отключают свет).

Не-не-не, вопрос был «зачем он вообще нужен», а не «как героически решить пачку проблем, которые из-за него возникают» :)

  1. SMS-ки. Я номер который использую для интернета на даче использую для регистрации всяких дисконтных карт и/или прочего шлака, которые любят спамить. Соответственно морда для SMS нужна. Существующими линуксовые решения на сток-прошивке не взлетели. А так зашел по VPN на IP внутренней сети, выцепил нужное сообщение.

O_o ок. Ну это через QMI элементарно делается, если сам модем умеет.

Оно может по USB коннектится, кстати, а не по PCIe, так деляют большинство модемов. Уверен, что там именно PCIe?

Нет, там, разумеется, USB. mPCIe — это всё-таки формфактор, а не шина :) Я к тому, что это промышленный встраиваемый модем, у него нет прошивок с вебмордой и прочей подобной фигни.

intelfx ★★★★★ ()
Ответ на: комментарий от ncrmnt

QMI в современных реалиях работает даже не через жопу. MBIM ещё хуже. Особенно если надо уметь использовать разные модули.

Как ни печально, но работает либо кастомная настройка wwan0 с помощью at команд, либо старый добрый pppd.

Dark_SavanT ★★★★★ ()
Ответ на: комментарий от intelfx

эджроутеры есть с сфп к примеру.

а по сабжу - мож вам Ubiquiti AirGateway подойдет? там 2в1 - PoE инжектор + роутер на атеросе (да, довольно ископаемый, гдето как тплинк 740 по железу, но все же - сервисы на нем покрутить можно). стоит копейки, немногим дороже обычного PoE инжектора...

NiTr0 ★★★★★ ()
Ответ на: комментарий от anonymous

Дорого / медленно, опять же проигрывает второму микротику.

На самом деле я не нашёл passive PoE сплиттеров, которые оставляют PoE на выходе.

intelfx ★★★★★ ()
Последнее исправление: intelfx (всего исправлений: 1)