Názory k článku
MikroTik přidal WireGuard do vývojové verze svého firmware

MIkrotik s verzí 7 to pořádně rozjíždí. Na jednom switchi, jehož chipset to umí, už mají (asi jako jediní?) HW akcelerovaný NAT, nově umí i (asi jen soft) VXLAN, vylepšují podporu BGP a teď umí i wireguard. Myslím že hvězda síťového světa pro příští roky je v cílovém segmentu jasná.

Já se jenom bojím, co na tom Wireguardu dokáží zkazit. Třeba podpora OpenVPN pouze pomocí TCP je legendární fail.

Ten firmware jede na kernelu 5.6.3, takže nejspíš používají jaderný WireGuard a ne nějakou DIY imitaci. Maximálně můžou zkazit konfiguraci :)

Ano, to mě napadlo, třeba by mohli blokovat konfiguraci IPv6 adres nebo více než jeden prefix v allowed addresses.

Myslím, že je teď správný čas, abys to vyzkousel a pripadne jim napsal dokud je to jeste beta:
https://forum.mikrotik.com/viewforum.php?f=1&sid=012154b9c0c1daf0c9e6a2b235ec7161

Verze 7 by měla UDP umět (a myslím, že už je to taky v nějaké betě).

On je celý OpenVPN totální fail. V době setkilobitových linek to bylo příjemné řešení. Postupem doby se stal k ničemu, bez ohledu na TCP nebo UDP. TCP varianta má ovšem jistou výhodu. Na vyhnilých linkách, kde nejde o rychlost ani latenci, dokáže aspoň zvýšit spolehlivost. Někdy se to pekelně hodí. (Kdysi, blahé paměti, jsem na toto měl raději daleko jednodušší vtun, ale ten skončil v propadlišti dějin.

Mikrotik si s verzí 7 dá pěkně na ústa. Už verzi 6 ohýbali až za hranice flexibility. Advanced konfigurace se dělají spíš metodou pokus-omyl, některé operace dokonce vyžadují reboot (ačkoliv se tváří, že ne). Přechod na sedmičku bude velmi bolestivý. (Ale ti, co na ní budou rovnou začínat, pro ně to bude určitě lepší).

Jsem zvědavý, jestli dokáží něco provést s akcelerací v případě použití VRF. To je pro bezpečnost důležité, ale zabiják výkonu. V šestce a na všech HW musí jít veškerý provoz přes CPU. Pokud s tímto nepohnou, zůstane to dál jen hračkou :(. Doba hraje proti nim, průtoky linek se zvyšují, bezpečnost se stále více akcentuje a mikrotiky nestíhají.

To mluvíte o stabilním releasu RouterOS 7, nebo o svých zkušenostech s betaverzí?

Mluvím o tom, jak moc je ROS 6 vzdálený od ROS 7 a jak jsou obtížně řešitelné některé technologické dluhy, které si při vývoji šestky nasekali. Táhli ji až příliš dlouho, proto bude přechod bolestivý.

Kdyz je podle vas Mikrotik natolik spatny, co jineho byste doporucil?
Mikrotik ma jak nejlevnejsi zarizeni v cene kolem 500 Kc (hAP lite), tak i vykonne routry do racku. Je z ceho vybirat.

Bohužel není z čeho moc vybírat, máte pravdu. Spíš jsem chtěl říct, že když už má dnes člověk 500 nebo 1000 mbit linku od UPC nebo jiného providera, tak už si nevystačí s Mikrotikem za 500, ale pohybuje se kolem 5000.

Mam sice jen 300/100Mbps ale skvele mi chodi MIkrotik hEX S za cca 1500 Kc.

https://www.abctech.cz/mikrotik-routerboard-rb760igs-hex-s-5xglan-sfp-usb-l4-psu_d36297.html

Kouknete na vysledky testu https://mikrotik.com/product/hex_s#fndtn-testresults

Jedina nevyhoda toho routeru je, ze nema WiFi.

Jinak jsem koukal a mistni ISP pouziva dokonce starsi verzei, nez hEX S pro cele panelaky.

Kdyby to mysleli do budoucna vážně, tak nebudou řešit „akcelerované NATy“, ale naimplementují NAT64/SIIT.

jo no, ale realita ukazuje, že akcelerované NATy tu s námi budou ještě nejmíň 20 let, takže to má smysl, navíc těch akcelerovaných věcí je tam víc.

Dle mého názoru 20 let už ne - rozšíření IPv6 se blíží hranici překlopení, po které začne rychle klesat vytížení NATu, takže 1. jeho rychlost už nikoho nebude zajímat (když to nedořešili doteď, tak už to řešit nebudou), 2. poskytovatelé se o to nebudou chtít starat, takže se to začne řešit pomocí NAT64.

U WireGuardu nic jako klient a server neexistuje. Jsou jen partneři (peers), kteří mezi sebou postaví tunel. Kdo komu pak nabízí jakou službu a kdo komu případně routuje dál, to jde mimo WireGuard.

Konečně něco užitečného místo nekonečného ladění molochu IPSec.

Chyby. Stačí se podívat do oprav ROS, snad v každé verzi řeší něco s IPSec, je to snad nejopravovanější funkcionalita. Nasadit IPSec je náročné.
Myslím si, že dobře zapracovaný Wireguard je velkým krokem vpřed pro Mikrotik, tak dobrý tunel ještě neměl.

No Mikrotik nemá ani tak problémy s IPSecem jako takovým, ale spíš s tím, jak se s tím packetem pracuje. On na jednu stranu přichází šifrovaný a router Vám chce dát možnost s ním i tak pracovat. Pak se odšifruje a router Vám chce dát znovu šanci s ním pracovat (resp. toto není potřeba, ale nutnost). A oni strašně bojují (ostatně stejně jako čistý Linux) s tím, že pak je ten flow packetu docela zapeklitý. Už jen to, aby Vám skrz bridge a IMQ/HTB neprošel dvakrát apod. Pokud používáte VRF, musí se nejprve odšifrovat a pak teprve otagovat a zařadit do správné tabulky.., .... Velmi často se IPSec používá s GRE - další klička navíc...

Takže v praxi to je opravdu peklo. Peklo, které pramení z absolutní univerzálnosti Linuxu.

Wireguard by to opravdu usnadnit mohl a ztráta univerzálnosti by mohla být jen minimální.

I když je to dost smutné, pár komerčních produktů co uměj ipsec má pod kapotou Linux taky a až tolik problémů nevykazují.

Vždycky se říkalo, že nejvyšším standardem jsou chyby Cisca :). Myslím, že je to přiléhavé a situaci vysvětlující rčení. Každý vendor dá svému zařízení do vínku určité možnosti a v rámci nich pak nastavujete. Mikrotik se snaží o tak moc velkou univerzálnost, že se komplikacím nemůže vyhnout. Osobně raději VPN terminuju na jiném Mikrotiku, než na kterém routuji. Značně to pak usnadňuje pravidla a po započtení stráveného času to vyjde i levněji.

Další kouzelná kapitola je třeba BGP. Když máte navíc rozchozené VRF, tak se BGP používá pro injektování cest mezi jednotlivými VRF. To zkombinovat dohromady do něčeho rozumného taky vytvoří prakticky nečitelnou (= nepoužitelnou) konfiguraci.

HTB/IMQ je v ROS6 jen jedno centrální, takže nelze oddělit toky ven (do internetu) od toků dovnitř (z internetu) pomocí dvou odlišných HTB. Takže se to musí řešit pomocí markování. Pokud potřebujete řídit např. přípojky (plus jeden uplink), jsou to čtyři třídy. To celé krát dva směry = osm tříd. Pokud přidáte TOS/DSCP - třeba jen rozlišený na další čtyři pásma, už jste na dvaatřiceti třídách. ... Potřebujete connmark pro odlišení VRF (zejména pro vystavení interních služeb ven) a teprve po connmarku můžete provést packetmark. Celé Vám to pak vyjde třeba na víc než 100 různých connmarků, které musíte použít, abyste provoz nastrkal do HTB. Na to už si musíte udělat script, který toto všechno nageneruje (ručně to konfigurovat je nemyslitelné), který pak vytvoří v bratru 400 řádků pravidel do mangle. ...a teď se podívejte do testů výkonu, co s Mikrotikem dělá i blbých 25 pravidel, na kterých to testují.

Myslím, že např. v této oblasti si strašně nechali ujet vlak. Linux opravdu umí jeden connmark na spojení a jeden packet mark na paket. Pokud ale něco od routeru očekávám je, že mi poskytne k těmto low level funkcím (omezením) rozhraní, kde budu moci např. pracovat s více značkami na packet (a router si to interně převede do značek, které vyžaduje jádro).

Chápu, že 99,9% uživatelů nic takového nepotřebuje a nikdy potřebovat nebude. Jen mi to celé nesedí do strategie. Na jedné straně chtějí podprovat opravdu advanced funkce, na druhé straně je přinášejí tak nesmírně blbě, že jsou až na hranici použitelnosti.

Děkuji za článek.
Oprášil jsem nepoužívaný RouterBOARD 433 a WireGuard si vyzkoušel.