Vlákno názorů k článku
MikroTik přidal WireGuard do vývojové verze svého firmware od dsfghjzukztersdycx vbhgnjuzrte - MIkrotik s verzí 7 to pořádně rozjíždí. Na...

MIkrotik s verzí 7 to pořádně rozjíždí. Na jednom switchi, jehož chipset to umí, už mají (asi jako jediní?) HW akcelerovaný NAT, nově umí i (asi jen soft) VXLAN, vylepšují podporu BGP a teď umí i wireguard. Myslím že hvězda síťového světa pro příští roky je v cílovém segmentu jasná.

Já se jenom bojím, co na tom Wireguardu dokáží zkazit. Třeba podpora OpenVPN pouze pomocí TCP je legendární fail.

Ten firmware jede na kernelu 5.6.3, takže nejspíš používají jaderný WireGuard a ne nějakou DIY imitaci. Maximálně můžou zkazit konfiguraci :)

Ano, to mě napadlo, třeba by mohli blokovat konfiguraci IPv6 adres nebo více než jeden prefix v allowed addresses.

Myslím, že je teď správný čas, abys to vyzkousel a pripadne jim napsal dokud je to jeste beta:
https://forum.mikrotik.com/viewforum.php?f=1&sid=012154b9c0c1daf0c9e6a2b235ec7161

Verze 7 by měla UDP umět (a myslím, že už je to taky v nějaké betě).

On je celý OpenVPN totální fail. V době setkilobitových linek to bylo příjemné řešení. Postupem doby se stal k ničemu, bez ohledu na TCP nebo UDP. TCP varianta má ovšem jistou výhodu. Na vyhnilých linkách, kde nejde o rychlost ani latenci, dokáže aspoň zvýšit spolehlivost. Někdy se to pekelně hodí. (Kdysi, blahé paměti, jsem na toto měl raději daleko jednodušší vtun, ale ten skončil v propadlišti dějin.

Mikrotik si s verzí 7 dá pěkně na ústa. Už verzi 6 ohýbali až za hranice flexibility. Advanced konfigurace se dělají spíš metodou pokus-omyl, některé operace dokonce vyžadují reboot (ačkoliv se tváří, že ne). Přechod na sedmičku bude velmi bolestivý. (Ale ti, co na ní budou rovnou začínat, pro ně to bude určitě lepší).

Jsem zvědavý, jestli dokáží něco provést s akcelerací v případě použití VRF. To je pro bezpečnost důležité, ale zabiják výkonu. V šestce a na všech HW musí jít veškerý provoz přes CPU. Pokud s tímto nepohnou, zůstane to dál jen hračkou :(. Doba hraje proti nim, průtoky linek se zvyšují, bezpečnost se stále více akcentuje a mikrotiky nestíhají.

To mluvíte o stabilním releasu RouterOS 7, nebo o svých zkušenostech s betaverzí?

Mluvím o tom, jak moc je ROS 6 vzdálený od ROS 7 a jak jsou obtížně řešitelné některé technologické dluhy, které si při vývoji šestky nasekali. Táhli ji až příliš dlouho, proto bude přechod bolestivý.

Kdyz je podle vas Mikrotik natolik spatny, co jineho byste doporucil?
Mikrotik ma jak nejlevnejsi zarizeni v cene kolem 500 Kc (hAP lite), tak i vykonne routry do racku. Je z ceho vybirat.

Bohužel není z čeho moc vybírat, máte pravdu. Spíš jsem chtěl říct, že když už má dnes člověk 500 nebo 1000 mbit linku od UPC nebo jiného providera, tak už si nevystačí s Mikrotikem za 500, ale pohybuje se kolem 5000.

Mam sice jen 300/100Mbps ale skvele mi chodi MIkrotik hEX S za cca 1500 Kc.

https://www.abctech.cz/mikrotik-routerboard-rb760igs-hex-s-5xglan-sfp-usb-l4-psu_d36297.html

Kouknete na vysledky testu https://mikrotik.com/product/hex_s#fndtn-testresults

Jedina nevyhoda toho routeru je, ze nema WiFi.

Jinak jsem koukal a mistni ISP pouziva dokonce starsi verzei, nez hEX S pro cele panelaky.

Kdyby to mysleli do budoucna vážně, tak nebudou řešit „akcelerované NATy“, ale naimplementují NAT64/SIIT.

jo no, ale realita ukazuje, že akcelerované NATy tu s námi budou ještě nejmíň 20 let, takže to má smysl, navíc těch akcelerovaných věcí je tam víc.

Dle mého názoru 20 let už ne - rozšíření IPv6 se blíží hranici překlopení, po které začne rychle klesat vytížení NATu, takže 1. jeho rychlost už nikoho nebude zajímat (když to nedořešili doteď, tak už to řešit nebudou), 2. poskytovatelé se o to nebudou chtít starat, takže se to začne řešit pomocí NAT64.