Samengevat
Van de MikroTik hEX-router raak je niet snel onder de indruk als je het apparaat beoordeelt op uiterlijk. Het apparaat beschikt echter over functies die wél erg indrukwekkend zijn. Het besturingssysteem, RouterOS, biedt alle functies die je van een professionele router zou verwachten en het is bijzonder dat je voor de prijs van de hEX beschikking krijgt over al die functionaliteit. De hardware van de hEX is beperkt, wat invloed heeft op de prestaties van zwaardere functies zoals vpn. RouterOS biedt veel instelmogelijkheden maar geen instelgemak. Bij aanpassingen moet je goed ingelezen zijn over het betreffende onderwerp of er een handleiding over opzoeken. Voor aspirerende netwerkengineers biedt de hEX een goedkope instap in RouterOS en een toffe leeromgeving waarin je kunt experimenteren met allerlei netwerktechnieken. Ook voor normaal thuisgebruik is de hEX een zeer uitgebreide router met een korte prijs, maar een lange handleiding.
Pluspunten
:fill(white):strip_exif()/i/2001344711.jpeg?f=thumblarge)
Na alle artikelen over wifirouters van de afgelopen jaren zou je bijna vergeten dat deze apparaten een combinatie zijn van een accesspoint en een router. Routers zonder accesspoint genieten weinig populariteit in de reguliere markt, aangezien de periode waarin draadloze netwerken gemeengoed werden overlapte met het tijdperk waarin meer apparaten in het huishouden met internet verbonden werden. Aan het hoofd van het nieuwe thuisnetwerk kwam daarom vrijwel altijd een wifirouter in plaats van een losse router en een accesspoint.
Routers zijn nooit helemaal weggeweest en altijd in zwang gebleven bij tweakers met bofh-aspiraties. Voor die demografie is het fijn als de componenten in het netwerk zelfstandig en los van elkaar functioneren. Zo kun je accesspoints los van de rest van je infrastructuur vervangen als je de nieuwste draadloze standaard wilt ondersteunen, maar dat geldt ook voor een router of switch. Zo stel je modulair je ideale netwerk samen.
In dat geval is het fijn als die componenten heel vrij en uitgebreid in te stellen zijn, zodat ze goed samenwerken met apparatuur die vaak van verschillende fabrikanten afkomstig is en zich niet altijd helemaal aan de standaarden houdt. Daarnaast kun je allerlei aspecten van je netwerkprestaties compleet finetunen.
In dit artikel bekijken we een leuke mogelijkheid om de wereld van het ‘modulair netwerken’ in te stappen: de MikroTik hEX. MikroTik is in het netwerkwereldje al jaren bekend om zijn prijsvriendelijke netwerkoplossingen, die voorzien zijn van hun eigen firmware RouterOS. Die software vind je op alle routers van MikroTik inclusief de professionele, waardoor de hEX beschikt over zeer uitgebreide mogelijkheden. RouterOS staat er ook om bekend dat het geen makkelijke omgeving is als je nog niet erg thuis bent in netwerktechnieken. In dit artikel kijken we of die reputatie klopt: is de hEX voor die paar tientjes een goede router en is routerOS niet een onneembare horde voor een beginner?
Mikrowat?
Het kan best zijn dat je nog niet eerder van MikroTik gehoord hebt. Het bedrijf voert geen flashy reclamecampagnes en doet niet zijn best om de consumentenmarkt te veroveren. MikroTik, gevestigd in Riga, Letland, bestaat sinds 1996 en produceert netwerkapparatuur gericht op bedrijven en installateurs. Het bedrijf begon ooit met softwareontwikkeling en produceerde MikroTik Router Software, het besturingssysteem dat inmiddels tot RouterOS is omgedoopt en terug te vinden is op veel van MikroTiks netwerkhardware. Die apparatuur produceert het bedrijf sinds 2002. RouterOS is niet enkel beschikbaar op MikroTik-apparatuur: je kunt het ook los kopen en draaien op generieke hardware zoals een thuisserver of zelfbouwrouter.
De routers uit de hEX-serie zijn de goedkoopste in MikroTiks productassortiment. Dat gaat gepaard met wat beperkingen ten opzichte van veel duurdere routers. Van de hEX zijn inmiddels een aantal varianten uitgebracht. De hEX die we in dit artikel bekijken heeft een dualcore MIPS-processor op 880Mhz en 256MB ram. Er is een Lite-variant met een 850MHz-processor en 64MB werkgeheugen. Daarnaast is er de hEX Refresh met een 950MHz snelle dualcore Arm-processor en 512MB geheugen. Van de hEX die we in dit artikel bekijken is ook nog een S-variant beschikbaar met SFP-aansluiting en één aansluiting met ondersteuning voor Power-over-Ethernet.
:strip_exif()/i/2007274434.jpeg?f=imagegallery)
:strip_exif()/i/2007274432.jpeg?f=imagegallery)
Het kastje zelf is niet erg indrukwekkend. De behuizing is van wit plastic en kleppert een beetje als je ‘m stevig neerzet. In een wandmontagemogelijkheid is voorzien, maar met de meegeleverde plakvoetjes kun je de hEX ook neerzetten.
De hEX beschikt over vijf poorten, waarvan er een toegewezen is aan internet. Tenminste, de labelling
De verpakking
De hEX wordt geleverd in een bedrukte kartonnen doos. In de doos tref je geen (overbodige) netwerkkabel aan, maar wel een stroomadapter, snelstarthandleiding en garantiewijzer.
geeft die suggestie, want als je daarover zelf andere gedachten hebt, kun je de wanaansluiting ook toewijzen aan een andere poort. De eerste poort ondersteunt PoE-in, waarmee je de router ook van voeding kunt voorzien. Een 24V-adapter met een vermogen van 9 watt wordt meegeleverd, maar mocht je die kwijtraken of niet meenemen, dan voldoet elke gelijkstroomadapter met een uitgangsspanning tussen de 8 en 30 volt en een passende barreljack met positieve centerpin. Een groot deel van je reserveadapterbak komt daarvoor waarschijnlijk in aanmerking.
De overige vier aansluitingen zijn standaard toebedeeld aan het interne netwerk. Alle aansluitingen hebben een maximale doorvoersnelheid van 1Gbit/s. Aan de voorzijde is ook een microSD-slot te vinden naast de resetknop. De rechterzijde bevat een USB 2.0-aansluiting en een Mode-knop.
Licentieniveaus
MikroTik levert de hEX met RouterOS. Dit besturingssysteem is gebaseerd op Linux en te vinden op de hele productlijn van MikroTik. Ook zonder MikroTik-hardware kun je gebruik maken van RouterOS: het is compatibel met x86-architectuur en draait dus ook op een zelfbouwrouter of homeserver. RouterOS is niet gratis. Bij MikroTik-hardware is de licentie inbegrepen; in het geval van de hEX is de licentie level 4. Deze licentie is prima geschikt voor gebruik in huis of een kleine kantooromgeving. Niveau 4 heeft een limiet van 200 gelijktijdige vpn-verbindingen en 200 actieve gebruikers van de hotspotfunctie, meer dan je de hardware van de hEX zou willen aandoen. Overigens loop je weinig mis ten opzichte van de hogere licentieniveaus van RouterOS. Niveau 6, het hoogste niveau, biedt exact dezelfde functies als level 4. Het enige verschil tussen de licentievormen is dat er geen grenzen zijn aan het aantal vpn-tunnels, hotspotgebruikers enzovoorts.
De licentievoorwaarden zijn keurig: de licentie verloopt nooit en biedt onbeperkt software-updates en -upgrades zolang de hardware dit ondersteunt.
Belachelijk uitgebreid
RouterOS is gemaakt voor gebruik in zeer uitgebreide netwerkomgevingen. Dat zorgt ervoor dat de hEX ondersteuning heeft voor waanzinnig veel technieken en protocollen. In principe zijn de functies vrijwel onbeperkt, maar de hardware is dat niet. Als je alle registers van RouterOS opentrekt, zal dat de vrij minimaal uitgevoerde hEX absoluut op de knieën dwingen.
De vraag is of dat erg is. Gezien de prijs zou je niet al te veel verwachten van het apparaat, maar het/i/2007274756.png?f=imagegallery)
tegendeel blijkt dus waar. De uitgebreide functionaliteit maakt het voor een netwerkbeheerder een ideaal apparaatje om een testomgeving op te zetten, in het klein een aankomende implementatie van een nieuw protocol of dienst te testen of netwerkproblemen te diagnosticeren door de uitgebreide vlan- en portmirrormogelijkheden te gebruiken.
Voor een thuisnetwerk biedt de hEX professionele instelmogelijkheden die juist in je thuisomgeving ook heel goed tot zijn recht komen. In een thuisnetwerk van een tweaker komt vaak een willekeur aan producten samen van verschillende fabrikanten. Die houden zich niet in alle gevallen even goed aan standaarden en moeten soms een beetje gepamperd worden in hun behandeling. Met de hEX is het geen probleem zo’n apparaat een eigen DHCP-profiel met aangepaste opties te geven, onder te brengen in een eigen vlan met beperkte communicatiemogelijkheden, netwerkverkeer te blokkeren of om te leiden, of om de bandbreedte te beperken. Het gaat te ver om alle mogelijkheden van RouterOS op te sommen; een overzicht biedt MikroTik zelf hier.
Weinig instelgemak
RouterOS heeft de reputatie ingewikkeld te zijn met een erg steile leercurve. Die reputatie gaat nog maar deels op. In het verleden moest je RouterOS nog volledig configureren vanuit een terminal via telnet, ssh of een seriële verbinding. Liefhebbers van terminals hebben die mogelijkheid nog steeds, maar dat is (gelukkig) niet meer nodig. Het platform biedt ook Webfig, een uitgebreide webinterface. Je kunt de router ook instellen via WinBox, standalone software voor Windows. Daarnaast beschikt RouterOS over 
een api om de router te monitoren en beheren vanuit software van derde partijen. De grafische instelomgevingen Webfig en WinBox starten bij de eerste configuratie een wizard die je door de eerste instellingen heen helpt.
Dat gaat wel om de echte basisinstellingen van je internetverbinding. Het subnet van je lokale netwerk bijvoorbeeld wordt al niet aangepast van de standaardwaarde. Niets houdt je tegen om dat aan te passen en dat is ook het hele thema van RouterOS: je wordt weinig geassisteerd maar ook vrijwel nergens geblokkeerd. Daardoor kun je echter ook ongehinderd foute instellingen aanbrengen en ongemerkt grote gaten in je netwerkbeveiliging achterlaten. Als je het niet al gedaan hebt, moet je jezelf daarom goed inlezen over de technieken die je instelt op de router. Daarnaast is het ook niet gek om je werk achteraf te controleren en nagaan of er niet onbedoeld poorten openstaan, of dat er misschien netwerkdiensten zoals DNS of een managementinterface publiek worden aangeboden. Wellicht is dat de grote kracht achter het kiezen van deze ingewikkeldere oplossingen voor een thuisomgeving: je bent verplicht om kennis op te doen over netwerktechnieken als je apparatuur van dit kaliber gebruikt.
Je moet het ook wel echt leuk vinden om dingen uit te zoeken. Een consumentenrouter biedt over het algemeen zo’n vijf parameters om een portforward in te stellen. In RouterOS zijn dat er maar liefst meer dan vijftig. Natuurlijk hoef je die niet allemaal in te stellen, maar het geeft wel aan hoe verschrikkelijk diepgaand de instellingen zijn. Het is dan ook niet heel gek als je jezelf door een onhandige instelling buitensluit van de managementinterface. Hierop is RouterOS voorbereid, want het is mogelijk om te verbinden met de router op macniveau, waardoor foute IP-instellingen je niet buitensluiten en je de mogelijkheid hebt om de boel zo terug te draaien dat je weer bij de router kunt. Ben je bezig met instellingen die je kunnen buitensluiten, dan kun je ook de safemode activeren. Breekt je sessie af door een time-out (standaard na negen minuten) dan worden de wijzigingen sinds het activeren van de safemode teruggedraaid.
Als we de specificaties van de hEX in acht nemen, is het best aannemelijk dat er wat limieten aan de prestaties zitten. We hebben daarom de doorvoersnelheid van wan naar lan en vice versa gemeten en hetzelfde door een geopende poort.
In alle gevallen haalt de MikroTik het maximum van de ethernetaansluiting; voor normaal verkeer zijn er dus geen doorvoerlimieten.
Om inzicht te krijgen in de prestaties van het netwerk en de router levert MikroTik het optionele pakket ‘the Dude’. Met dit pakket kun je niet alleen de services en componenten van de router monitoren en loggen, maar ook clients en apparatuur binnen je netwerk en eventueel ook daarbuiten. The Dude is te benaderen via de webinterface maar ook als standalone software op je client te installeren.
Matige vpn-snelheid
Een van de zwaardere services die je op routers vindt, is de vpn-server. Verkeer dat door een vpn-tunnel loopt moet versleuteld en ontsleuteld worden, wat vereist dat de router continu bezig is met cryptografie. Ondanks de wat krap bemeten processor van de hEX kan het apparaat die rol afdoende vervullen. Uiteraard helpt het om niet al te zware instellingen te kiezen en de cryptografie op een redelijk maar veilig niveau in te stellen. Verwacht geen doorvoersnelheden van een gigabit per seconde en vraag het apparaat ook niet om meerdere drukke vpn-verbindingen tegelijk te onderhouden, maar voor een veilige verbinding naar huis om je nas of smarthomeplatform te bereiken is de verbindingssnelheid meer dan prima.
RouterOS ondersteunt alle gebruikelijke vpn-protocollen: PPTP, PPPoE, L2TP, SSTP, IPSec, OpenVPN, WireGuard en meer. Het OS zal je echter niet helpen bij het opzetten van een vpn-server, wat betekent dat je de IP-adrespool, firewallregels en routing zelf op moet zetten. Gelukkig zijn daar online handleidingen voor te vinden. RouterOS is de afgelopen tijd echter onderhevig aan veranderingen in de interface die ervoor zorgen dat je zelf soms alsnog een vertaalslag moet maken van het voorbeeld naar je eigen situatie.
We hebben de prestaties op de proef gesteld door via Wireguard een vpn-verbinding naar de hEX te maken. Over deze verbinding hebben we met iperf3 verkeer in twee richtingen gestuurd.
In de uplinkrichting (van de remote client naar de router) haal je 170Mbit/s, in de downlinkrichting 135Mbit/s. Dat is niet heel slecht gezien de specificaties van het kastje. De processor van de router is hier de bottleneck: die moet het vpn-verkeer versleutelen en ontsleutelen, en we zien de belasting tijdens het testen oplopen tot 100 procent. Het moet prima lukken om over deze verbinding te browsen of andere niet al te zware netwerkservices te gebruiken. Hecht je veel waarde aan een vpn-verbinding met meer bandbreedte, dan is het beter om te kijken naar zwaarder uitgevoerde hardware.
Cloudondersteuning
Het is misschien wat verbazend, maar RouterOS kan ondersteund worden door de cloud van MikroTik. De demografie waarop dit apparaat gericht is, is over het algemeen wars van cloud omdat dit tegenwoordig vrijwel altijd inhoudt dat een apparaat de thuisbasis continu op de hoogte houdt van het reilen en zeilen. De cloudfunctionaliteit is gelukkig beperkt en erg welkom. Standaard krijg je van MikroTik wat opslagruimte in de cloud om een back-up van je routerconfiguratie naar weg te schrijven en je kunt de router koppelen aan MikroTiks ddns-service om je router vanaf internet te bereiken via een hostname in plaats van enkel het IP-adres./i/2007274760.png?f=imagegallery)
Daarnaast kan de cloud een portaal vormen naar je router om er via vpn verbinding mee te krijgen als RouterOS zelf geen publiek bereikbare interface heeft, bijvoorbeeld omdat de router achter een andere router met nat geplaatst is, of enkel via IPv6 bereikbaar is.
Api
RouterOS heeft een api waardoor je de router kunt beheren en monitoren met externe pakketten. Je kunt de router daardoor koppelen aan monitoringsoftware of een smarthomeplatform. Home Assistant heeft een integratie voor RouterOS, waardoor je je netwerkconfiguratie kunt aanpassen vanuit automatiseringen. Een voorbeeld daarvan is de portforwardingregel die poort 80 naar Home Assistant doorstuurt voor het verversen van je certificaat. Dat proces kun je helemaal automatiseren, waardoor de poort nooit onnodig openstaat.
Energiegebruik
We hebben het gebruik van de hEX gemeten. In rust bedraagt het opgenomen vermogen 2,3 watt. Bij stevig internetverkeer loopt dit op naar 2,9 watt. In deze categorie hebben we nog niet erg veel vergelijkingsmateriaal, afgezien van de reRouter, een OpenWRT-router gebaseerd op de Raspberry Pi Compute-module. Die verbruikt 3,8 watt met uitschieters naar 5 watt. Op jaarbasis kost de energie voor de hEX je 6,30 euro bij een kWh-prijs van 32 cent.
Conclusie
Misschien vraag je je na het lezen van dit artikel af waarom je de MikroTik hEX zou kopen? In dat geval is de hEX of ander apparaat met RouterOS waarschijnlijk niet voor jou. Er zijn heel veel redenen te verzinnen om dit apparaat vooral níet te willen en gebrek aan gebruiksgemak is een belangrijke. RouterOS maakt het instellen van je netwerk niet makkelijker en biedt veel opties die voor normaal thuisgebruik totaal onnodig en oninteressant zijn. Zelfs voor vrij simpele instellingen moet je waarschijnlijk vaak een handleiding opzoeken en je moet wat vertrouwen hebben in je eigen kunnen en niet schuwen om je werk te dubbelchecken om de boel veilig te houden.
In de voorgaande zin zit het antwoord waarom je RouterOS wél in huis wilt halen ook verscholen: het brengt ongekende mogelijkheden in je thuisnetwerk. Als je de moeite neemt om ze te leren kennen en ermee experimenteert, doe je daarbij een heleboel kennis op.
De hEX is voor zijn prijs een prima router voor thuis, maar daarnaast voor netwerktweakers ook een ideale tool om in je tas of la te hebben liggen. Voor een paar tientjes heb je een diagnosemiddel en gereedschap in een klein doosje, dat mogelijkheden biedt die je normaal gesproken een veelvoud zou kosten aan managed switches, externe netwerkadapters en overige apparatuur.
Ben je een veeleisende gebruiker met een lange lijst aan firewallregels en eis je maximale vpn-snelheid, dan is het beter om de hEX-serie over te slaan en te kijken naar een zwaarder uitgevoerd MikroTik-product.
Ben je nog geen netwerkexpert, maar wel geïnspireerd door dit verhaal en ren je straks meteen naar de winkel om een hEX of ander MikroTik-apparaat in huis te halen, gooi dan niet direct je oude router weg. De kans dat je tijdens het instellen stuit op één of meerdere beren op de weg is erg groot en dan is het handig als je nog een internetverbinding kunt maken om de documentatie te raadplegen. Kom je door die fase heen, dan zul je ervaren dat er maar weinig zoveel tevredenheid biedt als een prima functionerende internetverbinding wanneer die met zoveel moeite tot stand is gekomen. Alle kennis die je onderweg opdoet vergroot daarnaast met grote waarschijnlijkheid je carrièremogelijkheden. Alle reden dus om wel in de wereld van RouterOS te stappen, tenminste, als je durft en er zin in hebt.
Pluspunten
:fill(white):strip_exif()/i/2001344711.jpeg?f=thumbmedium)
/u/26100/crop5c51a62695404.png?f=community)
/u/94596/crop643fb12fd4e6d.png?f=community){kind=small}
:strip_icc():strip_exif()/u/125182/crop5f773b38ac426_cropped.jpeg?f=community){kind=small}
/u/176086/crop5f0823fa5e8d6_cropped.png?f=community){kind=small}
- Dus al heb je een redelijke 'beefy CPU', dan kan een bestand downloaden al voor een belasting van 20-40% zorgen. (van al je cores!)/u/127261/crop5dcd39ec2f45d_cropped.png?f=community){kind=small}
:strip_icc():strip_exif()/u/466863/crop560dc5c3e12e8_cropped.jpeg?f=community){kind=small}
:strip_icc():strip_exif()/u/168028/metal-fox-2.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/109013/crop5ebb9b611401c_cropped.jpeg?f=community){kind=small}
:strip_icc():strip_exif()/u/4202/crop59500930db0d0_cropped.jpeg?f=community){kind=small}
:strip_exif()/u/30785/gryffindor.gif?f=community){kind=small}
/u/79483/BlackIntel_Logo2-3-64.png?f=community){kind=logo}
:strip_icc():strip_exif()/u/104571/crop5a3e1c5a0a13d_cropped.jpeg?f=community){kind=small}
/u/298857/crop6471d9676d431.png?f=community){kind=small}
:strip_icc():strip_exif()/u/506130/keitjes.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/332408/crop5b3a54a1f0cf3_cropped.jpeg?f=community){kind=small}
Blij te melden dat het ook echt werkt nu, cAPman was het ergste./u/64204/crop5e333d1575fff.png?f=community){kind=small}
/u/437156/rsz_optimized-neeebn.png?f=community){kind=small}
:strip_icc():strip_exif()/u/322480/crop59259a5419612_cropped.jpeg?f=community){kind=small}
:strip_exif()/u/16970/crop57cd1ef1eb0d0.gif?f=community){kind=small}
:strip_exif()/u/2172/crop57acf4ac04e70.gif?f=community){kind=small}
/u/24970/tesla_avatar.JPG?f=community){kind=avatar}
:strip_icc():strip_exif()/u/383978/Tweakers%2520Logo.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/352278/crop56730ca93be70_cropped.jpeg?f=community){kind=small}
:strip_icc():strip_exif()/u/2210/cobra.jpg?f=community){kind=small}
/u/189240/av70.png?f=community){kind=small}
:strip_icc():strip_exif()/u/146731/crop562615a0aa64c.jpeg?f=community){kind=small}
:strip_icc():strip_exif()/u/1758264/crop6241aa29d7664_cropped.jpg?f=community){kind=small}
:strip_exif()/u/16622/121823.gif?f=community){kind=small}
:strip_icc():strip_exif()/u/198189/crop67ecf5f08705a_cropped.jpg?f=community){kind=small}
/u/37496/icon.png?f=community){kind=icon}
/u/8/oog3.png?f=community){kind=small}
