前面提到了软路由实际上对普通用户来说是一种无用技能。但还是要写文章,因此咱们从选购一台MikroTik路由器做真正的教程开篇。
为什么不用WRT呢?简单的说WRT默认是给小白用的,你如果真的想了解网络,增加网络技能那么MikroTik是起点。
聊到这里,就会有人说了MikroTik的RouterOS系统有安全问题,这是一个很好的开头!要了解一个系统或者要部署一个系统,首先看到安全性的问题是最明智的做法,iN觉得如果首先能想到这个问题的人,是有网络系统的天赋的。
MikroTik的RouterOS在历史上有四次主要的安全事件:
2018年三月,Slingshot木马被发现感染了RouterOS路由器。其主要的运作方式是通过RouterOS的WinBox控制管理软件进行传播的。一个被名为的木马文件被放置于RouterOS路由器中,当管理员利用WinBox连接到被感染的路由器后,这个文件会在管理员的计算机上被运行,木马就干三件事,第一把自己伪装成系统应用;第二、截获被感染的计算机上的所有屏幕、按键和特定文件的信息;第三,当winbox再连到其他RouterOS路由器后,将一份文件放入路由器中。
这是一个长期威胁木马并不以感染RouterOS为目的,而是利用了其管理软件的漏洞通过RouterOS为介质感染其他安装了WinBox的计算机。
2018年五月,黑客组织FancyBear的VPNFilter蠕虫被发现存在于RouterOS路由器中,这是思科给出的报告,不过RouterOS路由器只是感染目标之一,这个蠕虫入侵的是所有嵌入式Linux系统的网络设备,因此,以Linux为内核的RouterOS也赶上了这轮病毒传播中镖了而已。在思科给出的报告中显示华硕、D-link、华为、中兴、linksys、网件、甚至微联通NAS都有感染蠕虫的报告。这个蠕虫的行为就比较可怕了,蠕虫在遭受感染的设备中对该设备所在网络位置的网络流量进行数据包分析,获取该网络下的密码、用户名、数字签名等安全认证信息,在某些时候还会执行数据篡改、对设备进行其它控制操作,包括作为往后使用这些窃取的认证信息进行攻击的中继点,并隐藏这些攻击行为。
2018年八月,还是利用了VPNFilter的相同机制,在RouterOS的路由器中发现了cryptojacking蠕虫。通过被感染的路由器浏览网页的时候,会在网页中添加一个JS脚本,使被入侵的设备为攻击者挖掘门罗币。
2021年6月,基于MikroTikRouterOS名为“Meris”的僵尸网络被发现,同年9月Yandex(俄罗斯人的百度)发布消息,声称成功击退了来自于Meris网络的DDos攻击。当时这是一个大新闻,Yandex的报告显示Meris的DDos攻击次数在9月5日达到峰值,其攻击次数达到每秒2200万次。这件事平息之后,人们的乐趣就成了究竟是多么强悍的设备可以达到这样的性能,反而给RouterOS一次逆向公关的机会。
其实相对于RouterOS的漏洞来说,WRT的漏洞更多。咱们说路由器的选购,这件事就暂时不展开说了。
下面我们来说一下如何获得一个RouterOS的路由器,
RouterOS是MikroTik的路由器操作系统品牌,一方面这个系统可以运行在MikroTik出产的一系列路由器中,另外一方面,这个系统也有可以下载的软件包,可以安装在基于X86的软路由系统中。同时,它还包括云主机版本(CHR),可以方便的安装在各种云平台的云主机中。
具体说:
和大家很熟悉的小米、华硕这类的家用路由器不同,MikroTik更倾向于商用网络。其产品家族很大。
虽然家用路由器业务MikroTik也在做,不过并不是这家公司发展的重点,单纯以家用为目的可以选择的型号其实并不多。
如果仅仅选择有线路由器,可以从HEX系列入手,这些路由器是MikroTik为小型办公室准备的产品,通常,网络接口数量并不多,内存量并不大,但是依旧包括了全部的RouterOS功能。
如果需要选用无线路由器的话,就可以从HaP系列入手
这类的路由器和普通家用的无线路由器外观基本相同,不仅仅提供了5个左右的有线接口,还依据不同的Wi-Fi标准提供了无线接入能力。
如果要选择更高端的路由器来扩展自己家的网络,还可以选择L系列或者RB系列,其中L系列的路由器是RB系列的简化版,主要是MikroTik做高端家用市场的尝试。
而RB系列则是基于MikroTik的他家RouterBroad(路由电路板)的产品实现。
最新版的RB系列路由器和L系列路由器没什么太大外观差别,但内部采用的SoC不同,性能也比L系列高出一截(价格亦然)。
再往上走就是CCR系列的企业级路由器了,一般这种路由器在家里用得就比较少了。
好在MikroTik本身在RouterOS的系统进行统一,哪怕你使用一台价格200块钱的入门路由器,你也可以体验到RouterOS的大部分功能。
路由器会挑花眼吗?也并不会,记住两个要点:
第一,他家的路由器有性能测试报告,到官网上,进入任何一个路由器的产品介绍页面中都可以看到相应的产品的性能信息。
这个部分不掺假、也不会有任何广告话术上的忽悠,就是实打实的测试数据。可以根据自己的预算来选择一个合适性能的路由。
第二,型号规则,尤其是RB系列的路由器,在型号中已经说明了路由器的特点,MikroTik的规则为:
板名称板功能-内置无线无线卡功能-连接器类型-外壳类型
例如:RB912UAG-5HPnD
表示了RB(路由器板)
912-第9系列板,带有1个有线(以太网)接口和2个无线接口(内置和miniPCIe)
UAG-具有USB端口、更多内存和千兆以太网端口
5HPnD-内置5GHz高功率双链无线卡,支持802.11n。
这样的标识就相当清晰明了了。
如果你选用稍微高一点的路由器,对你更有意义的是外壳类型:
BU-板单元(无外壳)-适用于需要仅板选项但主要产品已装在箱中的情况
RM——机架式外壳
IN——室内外壳
EM--扩展内存
LM--精简内存
BE-黑色版外壳
TC-塔式(立式)案例
PC-被动冷却外壳(用于CCR)
TC-塔式(垂直)外壳(适用于hEX、hAP和其他家用路由器。)
OUT——室外外壳
以及端口类型:
F100M以太网端口数量
Fi100M以太网端口数量,带PoE输出注入器
具有受控PoE输出的100M以太网端口的Fp数量
Fr具有反向PoE(PoE-in)的100M以太网端口数量
G个1G以太网端口
P具有PoE输出的1G以太网端口数量
C组合1G以太网/SFP端口数量
S1GSFP端口数量
G+2.5G以太网端口数量
P+具有PoE输出的2.5G以太网端口数量
C+组合10G以太网/SFP端口数量
S+10GSFP+端口数量
XG5G/10G以太网端口数量
XP具有PoE输出的5G/10G以太网端口数量
XC组合10G/25GSFP+端口数量
XS25GSFP+端口数量
Q+40GQSFP+端口数量
XQ100GQSFP+端口数量
例如我们刚刚提到的CCR2216-1G-12XS-2XQ
后面的1G-12XS-2XQ代表了有1个1G端口,12个10G光口,和2个100G光口。
通过型号,你就可以更清晰的看到这台路由器的基本配置了。
还有一点和家用路由器不同,RouterOS并不一定要求安装在MikroTik的产品中,你可以在官网下载RouterOS的安装包:
如果家里有旧电脑,或者软路由,我们可以采取这种方式自行构建一个RouterOS兼容的软路由。
只不过,要注意的一点是,官方生产的路由器产品是带有许可证的。而自己构建的兼容软路由是没有任何许可证的。很多人使用自己的系统安装RouterOS或者在云主机上安装CHR会表示觉得RouterOS运行速度慢,网络卡顿。其实就是没有更新许可证,这也是很多人刚刚接触RouterOS的时候觉得不好用的一个主要原因。
不过要注意的一点是,RouterOS系统虽然本身免费下载,但许可证是要收费的,所以X86软路由弄个RouterOS,还真的不如直接购买一个MikroTik的硬件来的划算一些。
