Посоветуйте роутер. Выпуск 100500

x86 — виртуалка — pfsense — точка доступа 802.11ax

Это рабочий вариант, конечно, но хочется одну коробку вместо 2(х86 + свич) и не возиться со сборкой х86 машины.

Если на WiFi плевать и не напрягает возня с наркоманским интерфейсом (что web, что cli), то mikrotik.

pc engines + mpcie wifi модули. Стоит в пределах 20 тыщ. Но проще и надежнее завести виртуалку.

На вифи плевать ровно до той степени, чтобы он прокачивал 1080п с ютуба. Насчет микротика и интерфейса, если можно будет потрахаться и настроить один раз и больше не вспоминать, то ок.

там вместо openvpn лучше настроить ipsec

Виртуалку на текущем х86 серваке заводить не хочется, тк сервак не отличается 100% стабильностью и аптаймом. Как раз хочется слезть на такой конфиг сети, в котором от падения сервака из-за очередной панике в ядре(привет, zfs) домашняя сеть не ложилась.
Я морально готов и на микротик, и на бушную циску в стоечном исполнении.

«не вспоминать» до первой же выявленной дыры (привет vpnfilter). ну и в целом оно кастрированное и огороженное, хотя для дома может и хватит.

как вариант дешево и сердито - купить на таобао newifi3. обойдется баксов в 30 с доставкой, внутри 2-ядерный мипс, 512 рамы, 32 spi flash (не богомерзкий нанд), юсб3. опенврт живет неплохо, не считая вайфайки (50-60 мбит на 2.4ггц, на 5 ггц что-то не поднималась - может потому что регион не выставил).

Cast intelfx

настроить один раз и больше не вспоминать

При апгрейдах ничего не ломается обычно, но бывают нюансы. Например, рабочий VPN (L2TP/IPSec) у нас был настроен с «Use IPSec» «Yes», а потом ВНЕЗАПНО оказалось, что yes означало allow, и добавили вариант require. Всё это время важный пользователь с кривыми настройками на своей стороне ходил по голому L2TP без шифрования :) В целом с секурити и микротика дела обстоят плохо, особенно учитывая зоопарк велосипедов с неизвестными науке дырами. Keenetic в этом плане получше будет, но у них надо смотреть, всё ли нужное тебе есть (много чего доступно только в CLI, к слову, цископодобном и довольно приятном).

Производительность примерно одинаково низкая.

Как раз хочется уйти от врт и дешевых китаероутеров в сторону чего-то более серьезного и стабильного. Ситуации, когда из-за зависшего роутера теряется доступ к серваку(угу, я ССЗБ с подкроватным серваком, а не в датацентре), а ты за тысячи километров и дома никого, случаются редко, но не менее неприятны.

Посоветуйте современный Router (комментарий)

Я два года назад искал точку доступа 802.11ac wave 2, микротиков тогда не было (наверно и сейчас нет, лол), ubiquiti стоили по 37 тысяч рублей, к тому-же они без свичей.

Keenetic не выглядят как надежная альтернатива.

На моем тплинке 5 портов, но да, это и точка, и свич.
А вот переткнуть кабель возможности зачастую нет, в этом и проблема.

Неплохой вариант, да. Особенно если на него накатить подходящий дистр

возможности зачастую нет

Т.е. У тебя сервак крашится без внешнего воздействия? Или ты по удалёнке эксперементы ставишь на хосте?

Я удаленно всякое собираю и, как оказалось, ошибки в памяти без ецц(бератино, исправил) и внезапные кернел краши в кишках zfs(не исправил) могут случаться.

watchdog в помощь (аппаратный, да). и да, некротик более непредсказуемый чем опенврт (внезапно). лично я сталкивался с тем, что у некротиков, работающих в тепличных условиях радиомостами (индастриал линк на пару сот метров на пром.объекте в нескольких км от ближайшего населенного пункта), тупо отсыхала сеть, аппаратный вочдог не срабатывал (т.е. ядро/юзерспейс жили). на AP - раз в неделю, на клиенте - раз в месяц. да, подпер тогда временно костылем, заставив их пинговать шлюз и ребутаться при потере связи, может апдейт фирмвари и помог бы - но там с интернетом было туго, да и до запуска в продакшн было еще далеко, отложили на потом, но потом случился форсмажор и проект так и не завершили.

Если на WiFi плевать и не напрягает возня с наркоманским интерфейсом (что web, что cli), то mikrotik

Упортоый что ле?

https://openwrt.org/toh/views/toh_available_864

Выбирай :)

Mikrotik. Хотите узнать как оно - скачайте x86 виртуалку - бесплатный демо-режим работает безлимитно с ограничением скорости в 1Мбит на сетевуху, сможете покрутить, понять что к чему. Потом определитесь по модели, wifi там, все такое. А конфиг (при желании) можно и с виртуалки перенести (хоть полностью, хоть частями, только настройки vpn, например. Вся конфигурация микротиков переносима между абсолютно всеми устройствами).

При апгрейдах ничего не ломается обычно, но бывают нюансы.

На LTS-ветке это сейчас вроде как исключили, но Changelog надо почитывать, да.

микротик же, ни разу еще не видел, чтобы зависал «просто так сам по себе». вот домашний, за 1500 рублей из ближайшего ларька https://ibb.co/HxsxtR0 , щитаю более чем достойный результат для домашнего роутера с вай-вай. Порты только 100 мбит/сек, а так все устраивает

В 2014 как собрал массив, так и живу с ним и никак не смигрирую. Может, в рамках апгрейда домашней сети, дойдут руки и до того, чтобы сервак обновить и вычистить все неприятные моменты.

нет ipsec там до400мбит доходит

виртуалку в DataCentrе

внезапные кернел краши в кишках zfs

Сказки какие-то... Держу zfs и в проде и дома и на серваке на коло с как раз 2014 года (zfs/zpool upgrade делал несколько раз) всё вообще отлично. Даже когда сильно пьяный зачем-то залез - и то не смог убить (утром разрулил всё)

К тому же сам китаероутер может подвисать по невыясненным причинам(вздулись конденсаторы?).

Так перепаяй, в чём дело то.

А так, внезапно посоветую ubnt er-x, забавная вещица.

Буквально вчера поймал очередной упс, когда удалял файлы в директории на дебиане9.8 и 0.6.5 зфс:

[201121.635187] kernel tried to execute NX-protected page - exploit attempt? (uid: 1000)
[201121.635234] BUG: unable to handle kernel paging request at ffffffffc0ab7274
[201121.635274] IP: [<ffffffffc0ab7274>] func.25632+0x1e4/0xffffffffffffef70 [spl]
[201121.635325] PGD 91b40d067 
[201121.635338] PUD 91b40f067 
[201121.635352] PMD ff897b067 
[201121.635361] PTE 80000007f8559161

[201121.635386] Oops: 0011 [#1] SMP
[201121.635402] Modules linked in: rpcsec_gss_krb5 vhost_net vhost macvtap macvlan tun ebtable_filter ebtables ip6table_filter ip6_tables bridge stp llc iptable_filter ipt_MASQUERADE nf_nat_masquerade_ipv4 iptable_nat nf_conntrack_ipv4 nf_defrag_ipv4 nf_nat_ipv4 nf_nat nf_conntrack binfmt_misc zfs(PO) amd64_edac_mod edac_mce_amd zunicode(PO) zavl(PO) zcommon(PO) znvpair(PO) edac_core spl(O) kvm_amd kvm ftdi_sio cp210x usbserial joydev sg shpchp serio_raw evdev irqbypass ast ttm pcspkr drm_kms_helper drm k10temp fam15h_power sp5100_tco ipmi_si button ipmi_msghandler acpi_cpufreq crct10dif_pclmul crc32_pclmul ghash_clmulni_intel nfsd auth_rpcgss oid_registry nfs_acl lockd grace sunrpc w83795 loop ip_tables x_tables autofs4 ext4 crc16 jbd2 fscrypto ecb mbcache raid10 raid456 async_raid6_recov async_memcpy
[201121.635821]  async_pq async_xor async_tx xor raid6_pq libcrc32c crc32c_generic raid0 multipath linear raid1 md_mod hid_generic usbhid hid sd_mod ata_generic ohci_pci crc32c_intel aesni_intel aes_x86_64 glue_helper lrw gf128mul ablk_helper cryptd ahci pata_atiixp libahci psmouse ehci_pci ohci_hcd ehci_hcd libata igb i2c_algo_bit e1000e i2c_piix4 dca usbcore ptp scsi_mod usb_common pps_core
[201121.636039] CPU: 6 PID: 12021 Comm: ld Tainted: P           O    4.9.0-8-amd64 #1 Debian 4.9.144-3
[201121.636076] Hardware name: empty empty/S8226, BIOS 'V1.03    ' 11/22/2012
[201121.636104] task: ffff8c3f39178080 task.stack: ffff9b5de77ac000
[201121.636128] RIP: 0010:[<ffffffffc0ab7274>]  [<ffffffffc0ab7274>] func.25632+0x1e4/0xffffffffffffef70 [spl]
[201121.636175] RSP: 0018:ffff9b5de77afa28  EFLAGS: 00010246
[201121.636198] RAX: 0000000000000001 RBX: ffff8c3e7ef487e0 RCX: 0000000000000000
[201121.636227] RDX: 0000000080000000 RSI: ffffffffc0d99c20 RDI: ffff8c410e8cae70
[201121.636256] RBP: 0000000000000001 R08: ffff8c43ba924a80 R09: ffff8c43032f0000
[201121.636286] R10: 0000000000000003 R11: 0000000000000014 R12: ffffffffc0d99c20
[201121.636315] R13: 0000000000000001 R14: ffff8c3d9d17d9c0 R15: ffff8c3e7ef487e0
[201121.636345] FS:  00007f759ae7bb40(0000) GS:ffff8c43bfd80000(0000) knlGS:0000000000000000
[201121.636378] CS:  0010 DS: 0000 ES: 0000 CR0: 0000000080050033
[201121.636402] CR2: ffffffffc0ab7274 CR3: 000000075bfe6000 CR4: 00000000000406f0
[201121.636431] Stack:
[201121.636442]  d7f6986b3ef0c0ba ffff8c3e323f3148 ffff8c43a3882000 ffff8c43a33ac000
[201121.636481]  ffff8c43a3882348 ffffffff8c81673e ffff8c3e323f3148 ffffffffc0d0213f
[201121.636518]  ffff8c3e323f3148 ffff8c43a33ac000 ffff8c3e7ef48860 ffff8c3c18a99100
[201121.636558] Call Trace:
[201121.636574]  [<ffffffff8c81673e>] ? mutex_lock+0xe/0x30
[201121.636661]  [<ffffffffc0d0213f>] ? dnode_setdirty+0x8f/0x180 [zfs]
[201121.636691]  [<ffffffff8c4074ba>] ? check_object_size+0xfa/0x1d8
[201121.636747]  [<ffffffffc0cf02e5>] ? dmu_buf_rele_array.part.5+0x35/0x60 [zfs]
[201121.636803]  [<ffffffffc0cf133b>] ? dmu_write_uio_dnode+0xfb/0x140 [zfs]
[201121.636855]  [<ffffffffc0cf24c5>] ? dmu_write_uio_dbuf+0x45/0x70 [zfs]
[201121.636912]  [<ffffffffc0d76aab>] ? zfs_write+0xa3b/0xb40 [zfs]
[201121.636967]  [<ffffffffc0d6b796>] ? zfs_range_unlock+0x156/0x250 [zfs]
[201121.637024]  [<ffffffffc0d8af01>] ? zpl_write_common_iovec+0x91/0xf0 [zfs]
[201121.637082]  [<ffffffffc0d8b810>] ? zpl_iter_write+0xb0/0xe0 [zfs]
[201121.637111]  [<ffffffff8c40ac30>] ? new_sync_write+0xe0/0x130
[201121.637138]  [<ffffffff8c40b3b0>] ? vfs_write+0xb0/0x190
[201121.637164]  [<ffffffff8c40c7f2>] ? SyS_write+0x52/0xc0
[201121.637189]  [<ffffffff8c203b7d>] ? do_syscall_64+0x8d/0xf0
[201121.637216]  [<ffffffff8c81924e>] ? entry_SYSCALL_64_after_swapgs+0x58/0xc6
[201121.637245] Code: 6c 69 6e 75 78 2d 68 65 61 64 65 72 73 2d 34 2e 39 2e 30 2d 38 2d 63 6f 6d 6d 6f 6e 2f 61 72 63 68 2f 78 38 36 2f 69 6e 63 6c 75 <64> 65 2f 61 73 6d 2f 75 61 63 63 65 73 73 2e 68 00 00 00 00 01 
[201121.637428] RIP  [<ffffffffc0ab7274>] __func.25632+0x1e4/0xffffffffffffef70 [spl]
[201121.637467]  RSP <ffff9b5de77afa28>
[201121.637482] CR2: ffffffffc0ab7274
[201121.643880] ---[ end trace d0d239e07e5471cb ]---
[/ccode]

Так перепаяй, в чём дело то.

Я думал это сделать уже после того, как заменю роутер и сделаю из нынешнего простую точку доступа.
Эдж роутеры мне тоже кто-то советовал, тем более там есть варианты на 8 портов, присмотрюсь, спасибо.

0.6.5 зфс

А ничего, что актуальная версия - 0.7.13?

Так то ж штабильный дебиан. Ночью обновился до 4.19 ядра и 0.7.12 зфс, посмотрим, как оно поведет себя.

Mikrotik.

Еще один упоротый....

микротик же,

И еще один упоротый... В отличие от OpenWRT и всяких других WRT, ты в своем микротике не способен сделать простейших вещей, что не заложили в него тормозные эстонцы... Подними мне там простейшие вещи типа udpxy, dnscrypt ну или nginx с php ?

Пля, да они IGMP Spoofing добавили меньше года назад :)))) Хотя их просили об этом с 2012 года...

А вайфай там полное говно, у меня hAP ac2 - так он льет по покрытию старому ASUS WL500gp, Linksys E4200 и дешманскому Xiaomi mi WIFI mini.

Но предвижу, я рукожоп и не смог осилить микротик... У вас же такая мантра ?

И еще задачка, а ну ка пусти через микротик по вафле udp iptv хотя бы в SD :)))))

ну ка пусти через микротик по вафле udp iptv хотя бы в SD

И еще один упоротый..

Вась, с модулем вафли ну очень толсто! Hap ac2 умеет все диапазоны, каналы и регулируемую мощность излучателя. У меня на даче бьет 20 соток и дом. Пришлось даже открутить децибел, чтобы соседи не снифали. Мразиш не умеет doh и dot на сегодняшний день это да. Остальное толстоты и ниасиляторство.

И еще один упоротый..

Тут согласен, я внял совету упоротых и взял этот гребаный микротик, который умеет все и даже больше :)))

Но пля, надо признать, что микротик - это говно! Годится только для vpn между офисами малого и микробизнеса. Для дома оно не пригодно.. Для нормального бизнеса тоже не годно, SLA нет, а на форуме их клиенты годами ждут ответа на вопросы. WIFI у них говно говном... Ну и в чем прикол этого говна ???

Вась, все говно. И даже кошка и даже жунипёр. Нормальные бизнесы нормально юзают. Аутдор особенно. Про вафлю говно чем докажешь? Может у них какие-то свои уникальные контроллеры или антенны? Пошукай эфир на предмет коллизии и интерференций.

Hap ac2 умеет все диапазоны, каналы и регулируемую мощность излучателя.

Вот ты мое чудо!

А теперь расскажи подробнее, как мне через ac2 пробросить iptv в соседнюю комнату, которая вот прям в 3 метрах, через одну стенку по 5GHz ac ? Я там и мощность крутил в 30dbi, и multicast-helper=full, и на бридже IGMP Spoofing включил, и IGMP Proxy поставил. И прошивку обновил до 6.44.1, а чет не выходит каменный цветок...

Че еще надо ?

А вот старый Linksys e4200 крутит iptv норм... Мне странно..

use hls

Прежде всего я не сторонник игмп по вафле. Как обстоит дело со снуппингом? В чем в принципе затык? Проводился ли мониторинг пакетов?

Нормальные бизнесы нормально юзают. Аутдор особенно

Нормальные бизнесы юзают ?? Ха, насмешил :)) Юзает эту хрень мелкота, потому что дешево. Как там у Микротика с SLA ??

Про вафлю говно чем докажешь?

Пля, ну я юзал hAP, hAP Lite, hAP ac2 - это говно. Сегодня всунули на тест rb4011igs+5hacq2hnd-in - это еще не пробовал, потом отпишу.

Пошукай эфир на предмет коллизии и интерференций.

Шукал, хули толку.. Еще раз, Linksys e4200 и mi wifi mini нормально работают, а микротики нет...

use hls

Ну раз микротики не умеют udp, то отговорка норм! А еще варианты с udp не ?

Нормальные бизнесы юзают ?? Ха, насмешил :)) Юзает эту хрень мелкота, потому что дешево.

Ну например крокус нормально юзает вполне. Да много кто вообще. Не в ядре исесн. Микротик вполне себе инструмент для своих задач. Надежен, дешев, неприхотлив.

Как там у Микротика с SLA ??

Что Вы в данном контексте подразумеваете под сервис лэйер агримент? Сгорел бп у рутера дорого...ммм незадача. Мы вам скидку на следующий дадим, да не из Вашего интереса!? Или отмазку вида: да это ваш сетевик вася с похмела все рас*ячил...

Пля, ну я юзал hAP, hAP Lite, hAP ac2 - это говно

И? Я тоже юзал и юзаю. Прямо сейчас пишу через него Ну это не аргумент. Чем их вайфай отличается от вайфая конкурентов? У них своя элементная база? Или слюникс ведро в эстонской оси как то по особенному с ним раьотает?

Шукал, хули толку.. Еще раз, Linksys e4200 и mi wifi mini нормально работают, а микротики нет...

Не имея доступа ничего добавить к сказанному ранее нечего.

Нормальные бизнесы юзают ?? Ха, насмешил :)) Юзает эту хрень мелкота, потому что дешево.

У меня есть несколько «мелкотных» юрлиц. Я теперь ненормальный или как?

Как обстоит дело со снуппингом? В чем в принципе затык? Проводился ли мониторинг пакетов?

снуппинг вкл на бридже.

Затык в том, что через рандомное время изображение начинает сыпать квадратами, а потом фризиться.. Ну больше чем 30 минут хрен что посмотришь, но правда по проводу все норм! Инет по той же вафле в этот момент работает хорошо!

Если смотреть в этот момент мониторинг IGMP Proxy или firewall по этому правилу, то пакеты тоже стопорятся.. Но если я ставлю другой роутер, то такой проблемы нет :(

Че делать, кэп ?

Никогда не доводилось дружить иптв с вафлей, не было задачи. Но спросив у гугла нашел это https://toster.ru/q/304749 Народ сталкивался. Посмотрите в сторону времени аренды пипи адреса. Ну и остальное о чем там пишут. И все же по фен шую игмп лучше проводом.