Реализация NAT в сети с mikrotik crs326?

Добрый день, коллеги!
Есть сложный вопрос, из-за некомпетентности людей которые закупали оборудование для офиса, был куплен свич crs326, человек увидел в описании L3 или что-то про маршрутизатор и решил что будет коробка закрывающая все вопросы. В различных группах саппорта микротика пишут, что мегаслабый процессор и NAT не потянет, только режим свича.

Схема простая Провайдер -> (Коммутатор CSR326) -> Физ.сервер + доменная сеть + гостевой Wifi, задумывалось выделить 2 VLAN, где в одном линк от провайдер, линк на сервер и линк на гостевой интернет, во втором VLAN доменная сеть, VLAN друг от друга изолируются, доменная сеть будет получать доступ к wan уже через внутренний proxy сервер, но раз такую нагрузку микротик не потянет, какие есть пути решения кроме покупки доп.оборудования? что-то можно поднять на виртуализации для маршрутизации интернета, дабы бедная коробочка не сгорела?

Дополнительно:

какие есть пути решения кроме покупки доп.оборудования

неужели не найти 9к рублей хотя бы на rb750gr3?

Ответы:

Не такой уж он и слабый для NAT, большенство домашних роутеров имеют схожие характеристики. С минимальным набором правил с NAT он справиться, а вот на VPN умрет. Хотя все таки это просчет, банально hap ac2 будет в разы лучше в качестве NAT, при это он стоит копейки. Я бы все таки продавил доп закупку.

Использовать виртуальный роутер это как стрелять себе в ногу, он обязательно в какой-то момент не запустится и удаленно этот вопрос решить не получиться.

Если сотрудников не много (до20). Как бы я сделал
Настроил бы на нем NAT с минимальными правилами и fasttrack, а если мне нужен VPN то поднял бы виртуалку и пробросил на нее нужные порты.

• Удаленно может с RouterBOARD не запуститься, а виртуалку можно поднять почти на чем угодно.
  А так да, hap ac2, ax2 в сетевом магазине можно купить день в день, их мощности хватит на многие задачи.
• Сотрудников 10 чел, из которых 7 работают в программной КИС в браузере
  а fasttrack что за зверь? VPN не нужен
• 5erdriver,
  

  а fasttrack что за зверь?

  https://wiki.mikrotik.com/wiki/Manual:IP/Fasttrack

• Юрий MikroTik,
  

  Удаленно может с RouterBOARD не запуститься, а виртуалку можно поднять почти на чем угодно.

  Это из личного опыта, тоже на одном офисе практиковал виртуальный роутер и пару раз он доставлял мне проблем, то свет выключат и UPSа не хватит, то файловая система крашница, то обновления на гипервизор прилетели и все работало до перезагрузки, то он сам не стартанет, а на дворе ночь и в офисе никого и у тебя бекап 1с из-за этого не прошел, то сотрудник почему решает самостоятельно перезагручить сервер - решение из серии "Плохо работает - перезагрузи". Так же стоит учитывать косвенные проблемы, если не хватит ресурсов на гипервизоре, то он может поставить на паузу виртуалку и все у тебя нет интернета. Конфигуриш интерфейс на гипервизоре и держиш в голове, что у тебя же там еще и роутер и надо аккуратно что бы интернет не отвалился.

  Я уже прошелся по этим граблям и больше не хочу.

  Поэтому я перешел на железный роутер который дает мне возможно зайти удаленно и подергать гипервизор. ac2 славно трудится более 4х лет. Если он здохнет, то я просто куплю новый, залью на него бекап и передам в офис, а они на время простоя достанут из ящика TP-LINK что бы не сидеть без интернета.

• Valentin Barbolin, я тоже за аппаратное решение. Но виртуалка решит задачу здесь и сейчас без покупки железа.
• Юрий MikroTik, Я не противник виртальных роутеров, сам использую vyos и pfSence. Но всегда оставляю себе backdoor. В данном случае можно попробовать запросить у провайдера два IP адреса, один для микрота, второй для виртального роутара.

  П.С. Особенно я не люблю детские грабли потому что они бъют ниже пояса.

• Valentin Barbolin, это будет идеальный вариант с vrrp. Но pfsense умеет это из коробки.
• 5erdriver, вам на 10 человек микротика хватит. У меня такой же CRS326 работал а режиме шлюза для 12 сетей /24 с файрволом - пыхтел, 100℅ cpu, но сеть была.

Ставим виртуальный Cloud Hosted Router и заводим оператора через коммутатор по влан, а от chr обратно vlan на коммутатор в локальную сеть.

• CHR бесплатна? Мы ещё рассматриваем вариант с pfSense, так как нужно поднимать прокси внутри доменной виндовой сети, может его силами тогда лучше сделать, чтобы не плодить виртуалки?

  Как вообще правильно коммутацию провайдера и физ.сервера через csr326 сделать?
  Создаю bride1, в нём vlan10, в нём как я понимаю ether1(провайдер) ether2(линк на сервер) ether3(гостевой wifi), какие доп. настройки нужны чтобы трафик ушёл с ether1 на ether2, вернулся обратно и попал на ether3?

• 5erdriver, бесплатно если не обновлять по окончанию триала. А так $45 за версию P1.
  Pfsense у меня вызывает боль в плане маршрутизации, но попробовать можно.

  Делаем Vlan10 и гоним тэгом до сервера, а на коммутаторе его делаем антег на порт.
  С другими vlan аналогично.
  Распихиваем в вланы операторов, гостей и тд

• Юрий MikroTik, Юрий подскажите, сам CRS переводить в режим SwitchOS есть необходимость?
• 5erdriver, если есть желание, то можно. А так это максимум обрезанный функционал.