Наша почта:
В Москве:
РФ (звонок бесплатный):
BDSM - Безопасность для самых маленьких
{ DevOps инженер, Mikrotik Ninja }
Дмитрий Бубнов
Видео доклада
Презентация спикера
RouterOS 7:
Операционная система RouterOS v7 — это не просто косметический апдейт, а фундаментальная смена «движка». За последние два года MikroTik проделал огромную работу, переписав ядро и ключевые протоколы. Если раньше система воспринималась как решение для малого офиса, то сегодня она всерьез заходит на территорию серьезного корпоративного оборудования. Это совершенно другой уровень производительности и возможностей, который требует нового подхода к настройке.
Жизненный цикл системы: что ставить в прод?
В седьмой версии логика релизов изменилась. Раньше всё было понятно: есть ветка Long-term для максимальной стабильности и Stable для свежих функций. В «семерке» ветки Long-term пока не существует.
- StableЭто основная рабочая ветка. Сюда попадают все исправления и новый функционал. Для большинства задач в корпоративном секторе стоит выбирать именно её.
- Testing (Beta)Полигон для обкатки самых свежих идей. Ставить это на боевые роутеры — затея для очень смелых, так как риск поймать неожиданный баг всё еще велик.
- DevelopmentЭто специфические сборки, которые техподдержка выдает под конкретные запросы, если нужно пофиксить какой-то уникальный баг.
На заметку: Сейчас вышло уже более 45 релизов седьмой версии. Темп разработки очень высокий, ошибки исправляются быстро.
Особенности нового железа
Все современные устройства MikroTik, которые выходят с завода последние год-полтора, поставляются исключительно с предустановленной RouterOS v7.
Важные нюансы по железу:
- 1.Официального способа откатиться на v6 для новых моделей не существует.
- 2.Новые процессоры (особенно ARM64) раскрываются только на седьмой версии.
- 3.Если ваше старое устройство имеет всего 16 МБ памяти, переход на v7 может быть болезненным — места для новых функций может просто не хватить.
Лайфхак:
Про фильтры маршрутизации В седьмой версии полностью переписали движок фильтров. Старые скрипты BGP не взлетят. Теперь всё работает по логике if-then, что гораздо удобнее для сложных конфигураций.
Про фильтры маршрутизации В седьмой версии полностью переписали движок фильтров. Старые скрипты BGP не взлетят. Теперь всё работает по логике if-then, что гораздо удобнее для сложных конфигураций.
Дорожная карта обновления
Чтобы обновление не привело к сбоям, рекомендуется следовать проверенному алгоритму перехода с версии 6 на 7:
Подготовка:
обновитесь до актуальной версии 6.49.x и создайте бэкапы (файл и экспорт).
Промежуточный этап:
установите версию 7.12. Она содержит наиболее стабильные механизмы конвертации конфигурации.
Финальный шаг:
переходите на актуальный стабильный релиз после проверки работы всех сервисов.
Проверка синтаксиса:
обратите особое внимание на правила BGP и фильтры, так как их логика значительно изменилась.
Лайфхак:
SNI в туннелях Используйте параметр SNI в настройках SSTP. Это позволяет «подсунуть» провайдеру имя реального сайта. Для фильтров провайдера ваше соединение будет выглядеть как обычный просмотр веб-страницы.
SNI в туннелях Используйте параметр SNI в настройках SSTP. Это позволяет «подсунуть» провайдеру имя реального сайта. Для фильтров провайдера ваше соединение будет выглядеть как обычный просмотр веб-страницы.
VPN-революция: UDP, WireGuard и ZeroTier
Сфера VPN в MikroTik изменилась до неузнаваемости. Начнем с того, что OpenVPN наконец-то «повзрослел». В шестой версии он работал только по TCP, что превращало работу с голосом или видео в туннеле в сущий кошмар из-за задержек.
Что изменилось в VPN:
Что изменилось в VPN:
- OpenVPN на UDP:Теперь всё летает. Добавили поддержку UDP, возможность «пушить» маршруты клиентам и аппаратное ускорение AES-GCM. Для современных офисов это «маст-хэв».
- WireGuard:Главная звезда седьмой версии. Он невероятно простой в настройке (буквально пара ключей) и выдает сумасшедшую скорость. Если вам нужно объединить филиалы — это решение №1.
- ZeroTier:Это вообще магия для тех, кто сидит за NAT. Позволяет объединить до 25 устройств в виртуальную сеть через облако. Даже если у вас нет «белого» IP, ваши роутеры будут видеть друг друга как в одной локальной сети.
- SSTP и SNI:Теперь SSTP-сервер понимает доменные имена и может выдавать разные сертификаты. Это позволяет маскировать VPN под обычный HTTPS-трафик, обходя многие блокировки.
Лайфхак:
Ловушка QinQ Если вам очень хочется навесить больше двух меток QinQ (пять, например), остановитесь. Каждая метка съедает MTU. Если в голову пришла идея о третьей метке — скорее всего, вы делаете что-то не так с архитектурой.
Ловушка QinQ Если вам очень хочется навесить больше двух меток QinQ (пять, например), остановитесь. Каждая метка съедает MTU. Если в голову пришла идея о третьей метке — скорее всего, вы делаете что-то не так с архитектурой.
L3 Hardware Offloading: когда свитч становится роутером
Это, пожалуй, самая крутая техническая фишка v7. Раньше, если вы хотели гонять трафик между VLAN на больших скоростях (например, 10 Гбит/с), вам нужен был безумно мощный процессор. В седьмой версии MikroTik научился перекладывать эту задачу на плечи свитч-чипа.
Как это работает:
Как это работает:
- Аппаратная разгрузка:Трафик между подсетями обрабатывается прямо в чипе коммутатора (Marvell на сериях CRS3xx, CRS5xx и CCR).
- Производительность:Процессор роутера при этом отдыхает (нагрузка 0-1%), а данные летят на полной скорости порта.
- Аппаратный FastTrack:Система автоматически определяет установленные соединения и «выплевывает» их сразу в чип, минуя обработку ядром.
Это превращает бюджетные коммутаторы MikroTik в полноценные L3-ядра сети, способные переваривать огромные потоки данных без зависаний.
Продвинутая коммутация и аппаратный QoS
Развитие L3-технологий притянуло за собой функции, которые раньше были только у «взрослых» вендоров. Теперь MikroTik в седьмой версии умеет делать вещи, необходимые для построения отказоустойчивых сетей.
- MLAG:Позволяет подключить сервер или другой коммутатор двумя кабелями к двум разным физическим MikroTik-ам. Для сервера это будет один канал, и если один роутер выйдет из строя, связь даже не моргнет.
- MVRP:Протокол, который сам прокидывает VLAN-ы по цепочке коммутаторов. Больше не нужно руками прописывать ID на каждом промежуточном узле.
- Аппаратный QoS:Начиная с версии 7.15, на чипах Marvell появилась честная приоритезация. Теперь вы можете на уровне железа гарантировать, что трафик телефонии всегда будет идти первым, даже если кто-то рядом качает огромные файлы.
Wi-Fi 6 и перерождение старых точек
Беспроводная связь в v7 была переписана практически полностью. Появился новый пакет драйверов wifi-qcom (ранее wifiwave2), который принес поддержку современных стандартов безопасности и скорости.
Главные фишки Wi-Fi:
Главные фишки Wi-Fi:
- 802.11ax (Wi-Fi 6):Полноценная поддержка новых скоростей и методов кодирования сигнала. Это актуально для новых моделей hAP ax2, ax3 и подобных.
- WPA3 и OWE:Современные стандарты шифрования, которые делают вашу сеть защищенной от большинства атак по воздуху.
- Вторая жизнь старого железа:Удивительно, но новые драйверы можно накатить на старые точки (например, hAP ac2 или Cap ac). Вы не получите Wi-Fi 6 физически, но получите поддержку WPA3 и стабильный роуминг (802.11r/k/v), который теперь работает гораздо лучше.
- SSTP и SNI:Теперь SSTP-сервер понимает доменные имена и может выдавать разные сертификаты. Это позволяет маскировать VPN под обычный HTTPS-трафик, обходя многие блокировки.
Стоит помнить, что новые драйверы «тяжелее» и требуют больше оперативной памяти. На устройствах с 128 МБ RAM их нужно использовать с осторожностью.
Новый стек маршрутизации: BFD и BGP
Внутренняя логика маршрутизации в v7 теперь модульная. Каждый протокол (OSPF, BGP, RIP) работает как отдельный процесс. Это колоссально повышает стабильность: если «упал» OSPF, это не затронет таблицу BGP.
Важные инструменты:
Важные инструменты:
BFD (Bidirectional Forwarding Detection):
Технология, которую ждали годами. Она проверяет живость линка за миллисекунды. Как только провод отошел или связь моргнула, BFD сообщает об этом протоколу маршрутизации, и тот мгновенно переключает трафик на резерв. Пользователи этого просто не замечают.
BGP:
Стек BGP стал работать быстрее и эффективнее. Теперь он потребляет меньше памяти при приеме полных таблиц интернета (Full View) и поддерживает современные атрибуты вроде Large Communities.
IPv6 NAT66:
В мире IPv6 теперь тоже можно делать трансляцию префиксов. Это полезно, если у вас несколько провайдеров и вы хотите сохранить внутреннюю адресацию независимой.
Мониторинг и диагностика: NetWatch на стероидах
Инструмент NetWatch в седьмой версии превратился в мощную систему мониторинга, которая может заменить простые внешние чекеры. Раньше он умел только пинговать адрес, а теперь его возможности впечатляют.
Что теперь умеет NetWatch:
Что теперь умеет NetWatch:
- HTTP-проверки:Роутер может сам «стучаться» на сайт, проверять код ответа (например, 200 OK) и даже искать определенный текст на странице.
- TCP и DNS:Можно проверять, открыт ли конкретный порт на сервере или правильно ли работает DNS-резолвер.
- Гибкие сценарии:При падении сервиса роутер может не просто выполнить скрипт, а отправить уведомление в Telegram или переключить маршруты, используя конкретный исходящий адрес для проверок.
Это позволяет строить очень гибкие схемы резервирования каналов, которые срабатывают не только на «обрыв провода», но и на деградацию сервиса у провайдера.
Docker и дополнительные сервисы: роутер как сервер
Благодаря новому ядру Linux, на MikroTik с архитектурой ARM стало возможным запускать контейнеры. Это открывает дверь для функций, которые раньше требовали отдельного сервера или Raspberry Pi.
- Контейнеры (Docker):Вы можете запустить прямо на роутере AdGuard Home для блокировки рекламы, сервер точного времени, небольшую базу данных или Zabbix-агент для глубокого мониторинга.
- ROSE Storage:Новая система работы с дисками. Теперь MikroTik может выступать в роли простого NAS-хранилища. Пока это выглядит как эксперимент, но для хранения бэкапов или общих файлов внутри небольшого офиса этого вполне достаточно.
- Поддержка Ampere:MikroTik адаптирует систему под сверхмощные ARM-процессоры Ampere, что намекает на появление в будущем устройств, способных переваривать терабитные потоки данных.
Winbox 4 и будущее платформы
В завершение стоит сказать о Winbox — главном инструменте любого инженера. Четвертая версия Winbox стала настоящим подарком. Она кроссплатформенная (теперь нативно работает на macOS и Linux), поддерживает темную тему и имеет гораздо более отзывчивый интерфейс.
Финал
Система стала взрослой. Да, переход на неё требует внимательности и чтения документации, но те преимущества, которые она дает в плане производительности и гибкости, перекрывают все сложности миграции. Аппаратное ускорение, современные VPN-протоколы и контейнеризация делают MikroTik одним из самых универсальных инструментов на рынке сетевого оборудования. Главное — подходить к настройке с умом, использовать промежуточные версии при обновлении и всегда тестировать новые функции на стендах перед внедрением в рабочую среду.
В Москве:
РФ (звонок бесплатный):
Наша почта:
GetNet
Остались вопросы?
Группа компаний VoxLink © 2011-2026