MikroTik — латвийский производитель сетевого оборудования, разрабатывает проводное и беспроводное сетевое оборудование, в частности маршрутизаторы, сетевые коммутаторы (свитчи), точки доступа, а также программное обеспечение — операционные системы и вспомогательное программное обеспечение.
RouterOS - гибкая и многофункциональная операционная система. RouterBoard (Роутербоард) - платформа, на которой работает микротик.
1. x86 - отдельная версия с привязкой лицензии к железу (HDD). Соответственно умеет работать на голом железе (без всяких виртуальных машин) и не требует регулярной(раз в месяц) проверки лицензии на сайте микротка.
2. CHR - версия для виртуальных сред не привязанная к железу и проверяющая лицензию периодически на сайте микрота.
3. Родные (mipsbe, mmips и тп.) версии для железок Микротика. не успеваю за своими мыслями......
Иван, я написал выше. Берешь любой сервер любого бренда. И поднимаешь на нём pfsense. Получаешь гораздо большую свободу по настройкам и функциям, а также у тебя нет зависимости от железа, потому что систему можно поднять на любом сервере или ПК. Например, если сервер сломался, то просто есть бекап конфига. Поднимаешь за 10 минус систему и восстанавливаешь конфиг. А найти новый сервер или комп проще чем найти какой то конкретный микрот. А еще лучше взять два сервера и получить резервирование через pfsync и CARP.
А еще я до этого писал про netgate, но вы невнимательно смотрели. Но сейчас трудно достать. Проще установить на своё железо.
( IPsec ) это шифрование сопроцессором основного чипа. по ссылке приведена таблица c различными чипами и поддерживаемыми ими шифрованием: ( MD5, SHA1, SHA256, SHA512 ) DES and 3DES // AES-CBC // AES-CTR // AES-GCM https://help.mikrotik.com/docs....eration
------------------------------
в даташите на MT7986 в графе "Security" указано:
1) 64-bit WEP (WEP-40) and 128-bit WEP (WEP-104) encryption with hardware TKIP and CKIP processing 2) AES-CCMP hardware processing 3) GCMP hardware processing
----------------------------------
в даташите на rk3576 в графе "Security", подраздел "Supports one cipher engine" - указано:
Supports Symmetrical algorithms: 1) AES-128, AES-192, AES-256, DES, 3DES, SM4 2) ECB/CBC/OFB/CFB/CTR/CTS/XTS/CCM/GCM/CBC-MAC/CMAC mode for AES and SM4 3) ECB/CBC/OFB/CFB mode for DES/TDES
Hash algorithm: 1) SHA-1, SHA-256/224, SHA-512/384, SHA-512MD5, SM3 with hardware padding 2) HMAC of SHA-1, SHA-256, SHA-512, MD5, SM3 with hardware padding
Asymmetrical algorithms: 1) RSA (up to 4096 bits), ECC (up to 256 bits), SM2 и т.д.
NAT с волосковым контуром (или NAT Loopback) ( Hairpin NAT ) это когда вы можете обращаться к устройствам в вашей собственной домашней сети через внешний IP-адрес, который обычно используется для доступа из интернета.
------------------------------------------------
Когда вы с домашнего компьютера пытаетесь получить доступ к веб-серверу в вашей сети, вы используете внешний IP-адрес роутера.
Роутер "понимает", что вы хотите подключиться к устройству внутри сети и направляет запрос к нужному устройству.
Ответ от сервера возвращается обратно на ваш компьютер, как если бы вы обращались к нему напрямую по внутреннему IP-адресу.
Но если кто-то попытается подключиться к этому же внешнему IP-адресу, находясь внутри вашей сети, могут возникнуть проблемы без дополнительных настроек:
Ваш запрос будет перенаправлен непосредственно на сервер, минуя роутер, и сервер ответит напрямую, что может вызвать путаницу в сети.
В RouterOS существует 2 типа резервных копий: *.backup (бинарный файл с конфигурацией) *.rsc (файл в котором вся конфигурация представлена в текстовом виде команд консоли).
Тип .rsc нельзя экспортировать или импортировать в графическом режиме, а импортировать можно только через диалог сброса конфигурации.
Можно легко попасться на грабли, не указав фильтр источника пакетов (src-address=192.168.1.0/24). Все запросы (включая те, что идут из интернета) на сервер назначения будут идти от адреса маршрутизатора, что в итоге может сломать фильтрацию на базе адресов источника на сервере назначения. Серверу назначения не будет видно IP адрес источника, так как им будет являться маршрутизатор
**************************
Исходящий NAT (srcnat) работает с данными, которые отправляются из вашей сети в интернет. Ваш роутер заменяет ваш внутренний адрес на общедоступный, когда данные проходят через него. А для данных, идущих обратно, происходит обратное действие.
Входящий NAT (dstnat) нужен для того, чтобы данные из интернета могли достичь определённого устройства в вашей сети. Это полезно, например, если вы хотите, чтобы ваш домашний сервер был доступен извне.