Na inmiddels alweer zo'n zes jaar in verschillende revisies op de markt te zijn besloot ik een paar weken geleden een hEX aan te schaffen om de (relatieve) ellende die ik ervaar met de Ziggo Connect Box tot het verleden te laten behoren. Daarnaast verhuis ik van Ziggo naar Delta en heeft een eigen router het voordeel dat ik mijn netwerk één op één om kan pluggen naar de nieuwe provider.
Voor aanschaf heb ik uitgebreid bijgelezen over de systemen van Ubiquiti, de Omada routers van TP-Link, RouterOS, OPNsense en pfSense. Mijn niveau: ik kan uit de voeten met Linux, iptables en IPv6 .
Een homelab-router met IDS/IPS, DPI, Suricata etc. hoef ik niet. Een eenvoudige router zonder Wifi die in staat is gigabit te routen wél. Een x86 gebaseerde Protectli/Qotom/Yanling mini-PC is weliswaar het meest flexibel maar de overkill aan capaciteit en het relatief hoge idle-verbruik maakten dat de Netgate 2100 en Mikrotik hEX overbleven op de shortlist. Uiteindelijk op basis van de vriendelijke prijs de keuze gemaakt eerst RouterOS op de hEX te proberen alvorens een definitieve keuze te maken tussen RouterOS en pfSense. Nu, een paar weken na ingebruikname, ben ik blij met mijn keuze voor RouterOS en ben ik niet van plan nog aan de slag te gaan met pfSense.
/m/26100/1NtMjok0hhyz4WwwJo5LXqBm8gsIqg8WVXYzXurmurPfbMSpZa.png?f=620xauto "https://tweakers.net/i/OSRvr9JJ9wqxHmpL2n0ktI7jJNY=/620x/filters:strip_exif()/m/26100/1NtMjok0hhyz4WwwJo5LXqBm8gsIqg8WVXYzXurmurPfbMSpZa.png?f=620xauto")
De hardware is vrij generiek en verre van high-end: bedaagd 2-core/4-thread 880Mhz Mediatek MMIPS processortje, 256MB RAM en slechts 16MB flash. En ruim voldoende om te doen wat het moet doen. Aanvullend nog een micro-SD card slot en een USB 2.0 poort om externe opslag aan te sluiten in het geval je veel wilt loggen. Je kunt de router van prik voorzien via passieve PoE maar de overhead in verbruik die dat met zich mee brengt is het niet waard. Wil je PoE dan kies je beter hEX S die 802.3af/at ondersteunt. Belangrijk om te weten dat sommige software-features in RouterOS 7.x (zoals containers) alleen voor ARM en x86 beschikbaar zijn.
RouterOS 7 is hetgeen wat de smaak aan het geheel geeft: het is voor consumenten een vreemde eend in de bijt met z'n Windows 95-achtige Winbox-interface en zeer krachtige CLI. Het is quirky, niet altijd even intuitief en overduidelijk gemaakt door mensen die IPv4 eten, dromen in IPv6, zachtjes routing tabellen in het oor van hun partner fluisteren en niet zoveel op hebben met GUI-design. Gelukkig wijst het zich na wat zoeken vanzelf en is het zeer gedetailleerd instelbaar. Als je bereid bent je te verdiepen in de (best eenvoudige en logische) syntax van de CLI is dat je beste vriend, mede door
quirks/features als HotLock.
Ik besef me overigens goed dat er legio mensen zijn die RouterOS vanwege voorgenoemde eigenschappen helemaal niets vinden en dat professionals die een enkele gateway/firewall moeten beheren liever voor OPNsense of pfSense kiezen.
De olifant in de kamer ook maar benoemen: de leercurve om alle ins en outs van RouterOS te ontdekken is voor niet netwerk-enthousiastelingen best steil. En: dat geldt ook voor Cisco IOS en andere proprietaire netwerk OS'en die niet primair op consumenten zijn gericht. Gelukkig kom je met generieke netwerkkennis en gezond verstand een heel eind. Daarnaast:
- De documentatie op https://help.mikrotik.com/docs/ is goed op orde.
- Er is een actieve community te vinden op het Mikrotik-forum/
- Fresh-out-of-the-box creeer je met de 'quick set' optie in Winbox binnen vijf minuten een werkende en veilige setup: inprikken, via Winbox (op het MAC-adres) inloggen, 'quick set' selecteren, WAN- en LAN-eigenschappen ingeven, wachtwoord en eventueel DHCP-server instellen en je hebt een werkende router/firewall. Een prima oplossing voor mensen die van een Netgear of Dlink consumentenrouter komen.
- Voor hen die allergisch zijn voor de CLI is er de Windows applicatie Winbox.
/m/26100/1NtM9dSiS2kYLGoBVDPgEf8xXrsN2l2SgO7sblIVGEGcGAsBHs.png?f=620xauto "https://tweakers.net/i/4v-t0jhUe5-HVGinxS5uamTv2TA=/620x/filters:strip_exif()/m/26100/1NtM9dSiS2kYLGoBVDPgEf8xXrsN2l2SgO7sblIVGEGcGAsBHs.png?f=620xauto")
Uit de doos is IPv6 niet enabled. Het handigst is om met het aan te zetten, vervolgens een 'reset configuration' te doen waarna je een werkende setup met IP- en IPv6-firewall hebt. Deze setup is waarschijnlijk voldoende voor 95% van de gebruikers en een prima begin voor een eigen setup.
De performance op een lijnsnelheid van 1 gigabit is voor mij ruim voldoende. Met een kleine dertig IP filters en
Fasttrack aan kom ik op een routing snelheid van ruim 930Mbit/s en dat is in lijn met de snelheden die anderen ook halen. Kan het sneller? Niet veel. Is het voor mijn gebruik nodig? Zeker niet. Dus houd ik het zoals het is.
Een router van nog geen zes tientjes wordt al snel oninteressant als 'ie jaarlijks voor hetzelfde bedrag aan electriciteit verbruikt. Ik gebruik een Voltcraft energiemeter die gedurende vier etmalen nooit boven de 2,5W uitkwam maar normaal gesproken 2W aangaf. Met de huidige energieprijzen (~€0,60/kWh) kost het apparaat je dus zo'n tientje per jaar om aan de praat te houden.
Conclusie: ben je bereid wat tijd in je thuisnetwerk te steken en heb je losse Wifi AP's (zoals het hoort
) dan is de hEX een supercapabel stuk hardware. Los van het feit dat het een compacte en capabele router is biedt 'ie je een prachtige ingang in de wereld van RouterOS 7. En na een paar weken gebruik is alleen dat laatste al genoeg om 'm warm aan te bevelen
:fill(white):strip_exif()/i/2001344711.jpeg?f=imagemediumplus)
:fill(white):strip_exif()/i/2001344709.jpeg?f=imagemediumplus)
:fill(white):strip_exif()/i/2001344713.jpeg?f=imagemediumplus)
:fill(white):strip_exif()/i/2001344715.jpeg?f=imagemediumplus)
:fill(white):strip_exif()/i/2001721433.jpeg?f=imagemediumplus)
:fill(white):strip_exif()/i/2001721435.jpeg?f=imagemediumplus)
:fill(white):strip_exif()/i/2001721437.jpeg?f=imagemediumplus)
:fill(white):strip_exif()/i/2001721439.jpeg?f=imagemediumplus)
:fill(white):strip_exif()/i/2001721441.jpeg?f=imagemediumplus)
:strip_exif()/m/26100/1NtM9dSiS2kYLGoBVDPgEf8xXrsN2l2SgO7sblIVGEGcGAsBHs.png?f=user_large)
:strip_exif()/m/26100/1NtMjok0hhyz4WwwJo5LXqBm8gsIqg8WVXYzXurmurPfbMSpZa.png?f=user_large)
Inpluggen, verbinding maken via Winbox, quick set gebruiken je bent good to go. Als ze dat nou eens als quick start guide zouden toevoegen aan de verpakking 
/u/26100/crop5c51a62695404.png?f=usericonsmall){kind=small}
/u/26100/crop5c51a62695404.png?f=community){kind=small}
:strip_icc():strip_exif()/u/184349/IllidanTw.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/506130/keitjes.jpg?f=community){kind=small}