klink0v (klink0v) wrote,
klink0v
klink0v

И снова вяло хаю микротики

Лично я уже "слез" с микротиков. Мой выбор сейчас — OpenWRT. Год в production, полёт нормальный. Из замеченных багов OpenWRT за всё это время могу отметить только два.


  1. Иногда 842-й TP-Link самостоятельно не выходит из soft-ребута. То есть ты ему удалённо говоришь "перезагрузись". А он вместо этого берёт и превращается в свитч. Передёргивание питания решает вопрос. С чем это связано, я не разобрался.

  2. После флапа линков иногда становится в ступор DNSMasq и перестаёт resolv-ить домены по условиям (conditional forwarding). Лечится перезапуском демона. У меня такое случалось всего пару раз, с чем было связано, — я тоже так и не понял. Возможно, какие-то баги в RC-версиях прошивки.

Но конкретно мне это не критично. Всегда можно попросить пользователя перезагрузить весь роутер целиком есличо. Тем более, что во всём остальном OpenWRT мне милее и привычней любых других изделий.

Теперь собственно про микротики.

Производитель гордо замахивается на Enterprise-сегмент. Бьёт себя пяткой в грудь, кричит какой он крутой. Но! В микротиках не предусмотрено простое и понятное клонирование конфигурации на несколько устройств. Если нужно быстро подготовить N одинаковых маршрутизаторов (например, в удалённые офисы в регионах), то для этого существует два способа.


  1. Копировать бинарные конфиги. Но тут есть нюанс. У всех устройств должны быть одинаковые версии hardware (вплоть до ревизии), одинаковые версии firmware и одинаковые же версии RouterOS. Иначе жди неиллюзорных гальюнов. Вдобавок при таком подходе клонируется даже то, что по-хорошему клонировать совсем не стоило бы. Например, MAC-адреса сетевых интерфейсов.

  2. Сделать экспорт конфигурации в текстовом виде и попытаться импортировать его (также в текстовом виде) на другом устройстве. Но тут наблюдается перекос в другую сторону. Таким образом невозможно скопировать X509-сертификаты, в том числе и открытые ключи. Кроме того, успешное клонирование конфигурации, опять-же, гарантируется только для полностью идентичных устройств. Даже в пределах одной и той же линейки модельного ряда могут найтись малю-ю-ю-юсенькие различия в железках, и вы уже не сможете "подтянуть" ваш конфиг на реципиенте.

Ситуация усугубляется ещё и идеологией обработки пользовательских скриптов. При возникновении ошибки в какой-либо строчке выполнение скрипта сразу же терминируется. Но все команды до ошибочной строки отработают, а после неё — уже нет. То есть никакого механизма транзакций, как в том же Juniper-е, не предусмотрено. Поэтому написание и отладка любых скриптов, которые так или иначе изменяют конфигурацию устройства, превращается в адовый адЪ.

А на днях вообще произошёл прикол. Одна дружественная фирма попросила у нас в аренду все имеющиеся в наличии микротики. Это около 10 штук. Я взялся их всех проверить, обновить прошивку, сбросить до factory defaults. Дык вот, один роутер из этой партии после сброса настроек превратился в кирпич. Я полез разбираться что же случилось.

Оказывается, проблемный аппарат был чуть-чуть другой модели: не 951G-2HnD, а 951Ui-2HnD. Казалось бы, при чём тут Лужков сброс настроек? Дело в том, что в последних стабильных (!) выпусках RouterOS разработчики что-то напортачили в так называемом "Default Configuration Script", который делает первичную инициализацию настроек роутера. И на 951G он (скрипт) отрабатывает нормально, а вот на 951Ui — вываливается с ошибкой, не успев назначить интерфейсам IP-адресов. Как результат, до роутера никак нельзя достучаться "традиционными" способами.

Беглый гуглёж показал, что в RouterOS 6.32.2 было всё нормально, а вот в следующей версии производитель устранил старые неработающие баги и добавил новых работающих. Так что я с бубном и танцами восстановил "окирпиченный" экземпляр, после чего налепил на него большую жирную наклейку с надписью "настройки не сбрасывать!!!". Смешно, да.

Зато понимаешь как же хорошо иметь дело с OpenWRT. Одной кнопкой "пыщь" из него извлекается GZIP-архив со всеми текстовыми конфигами внутри. Меняется то, что нужно (ip-адреса, сертификаты, закрытые ключи). Запаковывается обратно и заливается на следующий чистенький экземпляр. Красота! Всем Linux-оидам рекомендую.

И да, специально для mindfactor. Микротики мы продавать не будем. У нас их уже "увели".

Tags: mikrotik, баги
Subscribe
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 15 comments