Управление сетями в облаке не всегда просто — аппаратные маршрутизаторы плохо масштабируются, настройка VPN может занимать много времени, а небольшая ошибка конфигурации может нарушить связь во всей вашей инфраструктуре. Именно поэтому все больше команд переходят на виртуальные маршрутизаторы: их быстрее развертывать, проще управлять ими удаленно и зачастую они гораздо экономичнее, чем физическое оборудование. Согласно анализу рынка виртуальных маршрутизаторов от Mordor Intelligence в 2030 году он превысит 1 миллиард долларов США, увеличиваясь со среднегодовым темпом роста более20%.
В этом пошаговом руководстве вы узнаете, как установить MikroTik CHR на VPS и создать надежный виртуальный маршрутизатор для безопасной маршрутизации, управления трафиком и доступа к VPN в современных облачных средах.
MikroTik CHR (Cloud Hosted Router) — это виртуальная версия MikroTik RouterOS, предназначенная для работы на виртуальных машинах вместо физического оборудования. Он работает с большинством известных гипервизоров, таких как VMWare, Hyper-V, VirtualBox и KVM, и поддерживает 64-битную архитектуру x86. MikroTik CHR предлагает те же мощные функции — маршрутизацию, межсетевой экран, NAT, VPN, управление трафиком и мониторинг — но в полностью виртуализированном виде.
Запуск MikroTik CHR на VPS позволяет создать гибкий и масштабируемый виртуальный маршрутизатор в облаке. Такой подход исключает затраты на оборудование, обеспечивает быстрое развертывание и упрощает удаленное управление сетями. Он идеально подходит для VPN-шлюзов, облачных межсетевых экранов, многосерверной маршрутизации и современных программно-определяемых сетевых сред.
Перед установкой MikroTik CHR на VPS необходимо убедиться, что ваша среда удовлетворяет ряд технических требований. Ниже приведены некоторые предварительные требования, учитывание которых обеспечит стабильное сетевое соединение и предотвратит распространенные проблемы с настройкой.
Перед установкой MikroTik CHR проверьте, соответствует ли ваш VPS следующим требованиям:
Перед запуском MikroTik CHR так же необходимо, чтобы ваша VPS-сеть соответствовала следующим требованиям:
После проверки вашей сети и VPS можно приступать к установке и настройке виртуального маршрутизатора, а соблюдение этих базовых требований гарантирует более удобную настройку и надежную работу MikroTik CHR на VPS.
После того, как ваш VPS будет готов, необходимо загрузить и подготовить образ MikroTik CHR. Актуальные версии образа вы можете скачать с официального сайта MikroTik.
MikroTik VPS от is*hosting предоставляет вам уже готовое решение, быстрый доступ к надежной виртуализированной среде, которая позволяет быстро создавать сетевую инфраструктуру, управлять ею и масштабировать. Для установки MikroTik VPS от is*hosting достаточно минимального тарифа Linux Lite с выбором ОС Mikrotik CHR при заказе и пользователи могут сразу перейти к настройке.
Создавайте, управляйте и масштабируйте сетевую инфраструктуру в краткие сроки.
Начнем с входа в систему и основных настроек безопасности. Этот этап настройки MikroTik CHR на VPS очень важен, потому что при новой установке CHR могут использоваться настройки по умолчанию и сервисы, которые небезопасны для публичного доступа в интернете.
Сразу после создания виртуальной машины MikroTik CHR войдите в консоль через панель управления вашего провайдера. При первой загрузке вы увидите страницу входа в консоль. Имя пользователя по умолчанию — admin, пароль отсутствует.
Установите надежный пароль:
/user set admin password=YourStrongPassword
Для того чтобы уменьшить поверхность атаки, отключите службы, которые вы не будете использовать (telnet, ftp и т. д.):
/ip service print
/ip service disable [find name=telnet]
Для обеспечения стабильности RouterOS и устранения уязвимостей безопасности необходимо поддерживать RouterOS в актуальном состоянии.
Обновите RouterOS через CLI:
//system package update
check-for-updates
install
Перезагрузите систему, если потребуется.
Замените имя хоста на понятное для упрощения идентификации:
/system identity set name="CHR-VPS"
Настройте часовой пояс в соответствии с вашим регионом:
/system clock set time-zone-name=Europe/Warsaw
/system ntp client enable
Теперь ваш VPS MikroTik CHR готов к дальнейшей настройке сети и брандмауэра.
После первоначальной настройки следующим шагом является настройка сети и IP-адресов.
Интерфейсы CHR обычно называются ether1, ether2 и т. д. Назначьте свой публичный IP-адрес соответствующему интерфейсу:
/ip address add address=YOUR_PUBLIC_IP/32 interface=ether1
Замените YOUR_PUBLIC_IP на IP-адрес, предоставленный вашим VPS-хостингом.
Определите маршрут по умолчанию, чтобы трафик корректно покидал ваш маршрутизатор:
/ip route add gateway=YOUR_GATEWAY_IP
Замените YOUR_GATEWAY_IP на IP-адрес шлюза, предоставленный вашим VPS-хостингом.
Переименуйте интерфейсы для большей ясности:
/interface ethernet set ether1 name=WAN
/interface ethernet set ether2 name=LAN
Настройте LAN с внутренней подсетью, например:
/ip address add address=192.168.1.1/24 interface=LAN
Для того чтобы включить доступ к Интернету, необходимо разрешить устройствам вашей локальной сети доступ к интернету:
Включите Source NAT (маскировка):
/ip firewall nat add chain=srcnat out-interface=WAN action=masquerade
Это поможет скрыть адреса локальной сети за публичным IP-адресом.
Для проверки подключения непосредственно к маршрутизатору, выполните следующую команду:
/ping 8.8.8.8
Положительные ответы подтверждают, что доступ к интернету работает.
Для базовой настройки и защиты вашего маршрутизатора, необходимо выполнить следующее:
Добавьте простые правила для защиты вашего маршрутизатора:
/ip firewall filter add chain=input connection-state=invalid action=drop
/ip firewall filter add chain=input connection-state=established,related action=accept
/ip firewall filter add chain=input in-interface=WAN protocol=tcp dst-port=22 action=drop
Это отбрасывает недействительные пакеты, разрешает установленные сессии и блокирует SSH в WAN по умолчанию (настройте, если вам нужен удаленный SSH).
Для защиты доступа к маршрутизатору можно разрешить управление только с определенных IP-адресов, используя правило разрешения перед отклонением других:
/ip firewall filter add chain=input src-address=YOUR_ADMIN_IP action=accept
/ip firewall filter add chain=input in-interface=WAN action=drop
Замените YOUR_ADMIN_IP на ваш доверенный IP-адрес.
После того как ваша сеть CHR заработает, не лишним шагом станет настройка VPN.
VPN обеспечивает безопасный доступ к вашей сети удаленным пользователям или офисам.
Наиболее распространенные случаи использования VPN включают:
Безопасное подключение для сотрудников, работающих удаленно.
Соединения, которые существуют между центрами обработки данных.
Безопасный доступ к внутрикорпоративным услугам.
Два популярных протокола VPN для RouterOS:
WireGuard — современный, простой и быстрый протокол VPN. Идеально подходит для соединений с низкой задержкой и удаленного доступа.
IPsec — популярная универсальная поддержка VPN для корпоративных и домашних сетей.
Пример минимальной конфигурации WireGuard:
/interface wireguard add name=wg0 listen-port=13231
/ip address add address=10.10.10.1/24 interface=wg0
Использование готового VPS-сервера MikroTik от is*hosting облегчает многие из этих действий, поскольку VPS поставляется предварительно настроенным для MikroTik CHR, развертывается быстро и поддерживается службой технической поддержки. При наличии базовых сетевых настроек и безопасности ваш виртуальный маршрутизатор готов к реальному использованию.
При использовании MikroTik CHR на VPS отдельным важным аспектом является лицензирование MikroTik CHR.Понимание принципов работы лицензий MikroTik CHR имеет решающее значение для максимизации потенциала и предотвращения непредвиденных ограничений.
МикроTik CHR использует программную модель лицензирования, которая регулирует максимальную пропускную способность виртуального маршрутизатора, влияя тем самым на производительность. Лицензии варьируются от бесплатного начального уровня до высокопроизводительных лицензий, которые стоят больше денег.
MikroTik CHR имеет собственные уровни лицензирования, которые включают в себя бесплатные и платные лицензии:
Бесплатная лицензия (бесплатно навсегда) – позволяет CHR работать неограниченно долго с ограничением интерфейса в 1 Мбит/с. Все остальные функции работают в обычном режиме.
Платные лицензии MikroTik CHR:
P1 – обеспечивает более высокую пропускную способность для использования в условиях низкой нагрузки.
P10 – поддерживает умеренные уровни трафика.
P-Unlimited – полностью снимает ограничения пропускной способности.
|
Лицензия |
Скоростные ограничения |
Цена |
|
Бесплатная |
1 Мбит |
Бесплатно |
|
P1 |
1 Гбит |
45$ |
|
P10 |
10 Гбит |
95$ |
|
PU |
Безлимитный |
250$ |
Все лицензии MikroTik CHR доступны в 60-дневном пробном режиме, и вы можете использовать пробную версию перед покупкой для тестирования более высоких уровней лицензирования.
В отличие от RouterBOARD и x86, где уровни лицензий снимают функциональные ограничения, лицензии MikroTik CHR отличаются в основном лимитом пропускной способности. При этом все функции RouterOS доступны — выбор лицензии зависит от вашей сетевой нагрузки.
Если вы купили устройство RouterOS, лицензия уже предустановлена и никаких действий с лицензией предпринимать не нужно.
Для x86-систем требуется лицензионный ключ, привязанный к уникальному Software ID. Ключ можно скопировать из аккаунта mikrotik.com или письма и вставить в роутер.
Для того чтобыприобрести лицензионный ключ RouterOS, выполните следующие шаги:
Зарегистрируйтесь и войдите в свою учетную запись на mikrotik.com.
В меню вашего аккаунта слева перейдите в раздел «WEB ORDERS» → «Purchase a RouterOS license key».
Выберите желаемый уровень лицензии CHR (P1, P10 или P-Unlimited).
Выберите тип «License key».
Введите свой Software ID (идентификатор ПО) MikroTik, используемый для привязки лицензии.
Нажмите «Place key in card».
Завершите оформление заказа с помощью кредитной карты или PayPal.
После покупки скопируйте лицензионный ключ из своей учетной записи и примените его к экземпляру CHR с помощью:
WinBox, предварительно скачанного с официального сайта MikroTik.
В меню «System» → «License» WinBox нажмите «Past key».
Так же вы можете вставить ключ в любое место терминала CLI.
Для вступления ключа в силу требуется перезагрузка.
В этом разделе вы найдете несколько полезных советов по оптимизации производительности и безопасности MikroTik CHR для того, чтобы ваш VPS-маршрутизатор оставался быстрым, стабильным и легко восстанавливаемым в случае возникновения проблем.
Рекомендации для VPS-среды:
Используйте VPS на базе KVM для наилучшей совместимости и производительности CHR.
Обеспечьте ограничение доступа к WinBox/SSH, разрешив только надежные IP-адреса.
Отключите неиспользуемые сервисы, такие как Telnet, FTP и т. д., и, где это возможно, используйте надежные пароли и многофакторную аутентификацию.
Проверяйте использование ЦП/ОЗУ — правила брандмауэра и VPN могут быстро увеличить нагрузку.
Общие настройки оптимизации:
Включите FastTrack, если он совместим с вашей настройкой брандмауэра/VPN, чтобы увеличить скорость пропуска.
Поддерживайте чистоту и функциональность правил брандмауэра, удаляя недействительные соединения и разрешая установленные/связанные соединения.
Резервное копирование и обслуживание:
Регулярно создавайте резервные копии, чтобы помочь маршрутизатору быстро восстановиться после изменений или сбоев.
Создайте резервный файл RouterOS:
/system backup save
Экспортируйте конфигурацию для переносимости:
/export file=config-backup
Храните резервные копии вне VPS, например на локальном ПК или в защищенном хранилище.
Поддерживайте CHR в актуальном состоянии, регулярные обновления повышают безопасность и стабильность.
Проверяйте обновления:
/system package update check-for-updates
Установите обновления:
/system package update install
Перезагружайте устройство при необходимости и проверяйте изменения после обновления.
Здесь приведены примеры распространенных проблем при работе с MikroTik CHR на VPS и способы их устранения.
|
Проблема |
Решения |
|
Отсутствие доступа в Интернет |
Убедитесь, что публичный IP-адрес правильно указан. Проверьте, установлен ли маршрут шлюза по умолчанию. Убедитесь, что на интерфейсе WAN включена маскировка NAT. Выполните проверку с помощью: /ping 8.8.8.8. |
|
Потеря доступа к маршрутизатору |
Используйте консоль VPS, чтобы восстановить доступ. Проверьте правила ввода брандмауэра, это может быть связано с тем, что WinBox/SSH был заблокирован. Убедитесь, что ваш управляющий IP-адрес разрешен перед правилами отбрасывания WAN. |
|
Проблемы с сетью VPS |
Некоторые провайдеры VPS требуют настройки IP-адреса /32 и маршрута шлюза. Убедитесь, что интерфейс WAN используется правильно. Если сеть перестает работать после клонирования, сгенерируйте новый CHR ID (только для бесплатной лицензии до пробной/платной активации): /system license generate-new-id |
Мы надеемся, что наша статья станет полезным пошаговым руководством для быстрого и уверенного запуска собственного виртуального маршрутизатора. Запустив MikroTik CHR на VPS, вы получаете мощный виртуальный маршрутизатор с полным набором функций RouterOS.