В общем отвлечемся немного от короновируса. Есть Mikrotik с VPN. подключаются как клиенты с ПК, так и другой mikrotik из соседнего офиса. По IP есть доступ к RDP и web серверу, все работает. Но в текущих реалиях понадобился доступ к сетевой шаре, и обнаружилось что его нет ни по имени сервера, ни по его ip. Внутри локальной сети доступ есть, если убить фаервол на сервере доступ не появляется, так что вариант неправильной настройки шары отпадает. Что-то прибил видимо на роутере. Только что-то не пойму что именно

смешались в кучу кони, люди. Точнее можешь выражаться? Откуда, куда, через что.

есть сервер (RDP, WEB, шара) - Mikrotik с VPN - Клиенты.

Так вот клиенты имеют доступ ко всему кроме шары

(0) порты NetBios проходят через VPN? Там 139 и ещё какой-то такой

netbios-порт закрыл? 138/139

(4) проверил, фаерволом ничего по vpn и lan не закрыто и не фильтруется

445 ишшо, кажется

фильтрую только входящие из вне

(2) Обратный пинг до vpn клиентов из вашей подсети с серверов есть?
Если нету то гыгы.

обычно проблема в этом. И есть еще нюанс: поскольку там маршрутизация и широковещательные рассылки не работают, сетевое окружение через такое соединение не увидишь. Надо руками писать cd \\server\myshare, а сам server в папке видать не будет.

(8) есть, дже в режиме сервер - микротик - микротик - клиенты. Пинг до клиента есть

(9) в сетевом и не надо. Достаточно хотя бы по ip

еще рекомендуют proxy-arp на микротике включить https://qna.habr.com/q/348314. Пробовали?

ну проверь порты (138,139) с клиента телнетом. Скорее всего в микротике не разрешен форвард.

445, кажется, еще обязательно нужен.

(12) на локальных интерфейсах и бридже он включен, и внутри локалки все ок. А вот как его в vpn засунуть я что-то на просторах не нашел

Хотя мне чет кажется, proxy arp это все же больше для попыток заставить работать обзор компов. А здесь скорее все же проблема с портами. (13) пролазит?

Может все намного проще и проблема не в vpn а в компах клиентов которые vpn поднимают?

винда 10-ка по дефолту не пускает в чужие сети и шару старой версии надо там отдельно включать

(16) хм. отключил на сервере брандмауэр для чистоты эксперимента. Из удаленной сети на 138 порт подключения нет. Но какого ... фильтрации никакой не вижу

(17) в офисе эти компы нормально ходят в шару

(19) в офисе им какой ip выдается?

(20)+ а по vpn?

(20) ip не причем. Потому как если VPN подымает сам комп, то адрес у него из локалки выдается, если VPN клиентом выступает другой микротик, то да, адрес из другой подсети

но не работает и там и там

Ну на всякий случай https://winitpro.ru/index.php/2018/01/24/ne-otkryvayutsya-smb-papki-posle-ustanovki-windows-10-1709/

(24)+ Просто может в офисе там локальной/доменной политикой это автоматом а по vpn нет

(25) smb1 включен давно, групповых политик нет так как винда не проф. нет, там всего 3 ПК + сервер. Домена нет, так как клиенты не проф

(25) предчуствую что что-то в микротике. Может баг какой? как например что из-за одного ната не могут к одному VPN больше одного клиента. Причем заявляли что в 6,38 бете вроде как правили его, но он так и есть

нашел конечно решение вроде как рабочее, в связке микротик-микротик добавлять EoIP туннель и засовывать его в бриджи с обеих сторон. Но решение конечно нещадно тунель может грузить, и проблему с вариантом клиент-микротик не решает

Посмотри, что у тебя здесь: https://i.imgur.com/8OZtToF.png

(29) в том то и дело что можно сказать ничего https://ibb.co/FYS4XQ0

(29) а зачем у тебя столько разрешений? или ниже есть блокировка всего остального?

Имхо в очередной раз убедился что Микротик - клюкавое дырявое Г

(32) А какие альтернативы есть ему?

(33) https://market.yandex.ru/brands--keenetic/15300046

(30) Ну вроде по умолчанию, что в правила не попало дропается, так что хз.
(31) Это не у меня. Это я демо какое то открыл.

(35) ну как бы вроде наоборот

(34) не, у меня у одного клиента настроен мост между офисами на 2-х кенетиках (4 компа и 2 компа). То еще удовольствие, скорость никакая, пересоединяться при разрыва не умеет, netbios тоже не передает, та и настроек там особо для исправления не видать

(37) Хрень какая то все прекрасно на кинетиках мостится!

(37) VPN То какой развернут?

(39) l2tp + ipsec

(38) https://i.paste.pics/af4973b88b3afb93b47c002d94a0ac68.png
Вот это я из домашней сетки стукнулся через 3 кинетика (1 vpn сервер и 2 клиенты)
Но комп там вырублен сча, только роутер ответил

(41)+ гы а мфу включена https://i.paste.pics/37d2020d30e67b5fd6b8dc488aebf88a.png

(42) я не говорю что там совсем не работает. Но не нравится мне они почему-то

(43) А вот мне микротики не нравятся почему то ))

Да нормально все с ним, возиться только надо. Время надо на тыркание, просмотр логов, опять тыркание, чтение статей, опять тыркание. Если в сетях не спец и курсов не кончал - месяцы уходят на то чтобы эти вещи нормально настроить. У меня так было, во всяком случае. Т.е. кое-как запускаешь, конечно, быстро, но чтобы конфигурация стала человеческой и работало все как надо - кладите месяц и более.

Добавь, для начала, в форвард в самый верх 2 правила:
1) из интерфейса VPN в интерфейс локалки upd 137,138
2) из интерфейса VPN в интерфейс локалки tcp 139,445

(45) это ты сейчас про который? У меня VPN-ов на микротиках пара десятком исправно трудится, RDP и 1с бегает, а вот в этом дурдоме впервые шара понадобилась впервые и что-то как-то хз чего не работает.

Себе я конечно поставил FTP на сервер и работаю, но это же может понадобиться клиенту, а персонал может быть деревянным, лишние движения ни к чему

(46) не не помогло

(47) http://www.webmasters.by/articles/review-po/101-10-free-file-managers-for-your-site.html

(45) +100500
У меня Программные линуксы все еще трудятся. В свое время очень много времени потратил на настройку всего-всего. Но теперь работает очень даже хорошо, стабильно.

(50) Не потратил кучу времени на разборки с микротиком и тоже все работает.

Что я сделал не так? Учитывая что cli zyxel|keenetic почти cisco

(51) https://help.keenetic.com/hc/ru/articles/213965889-Интерфейс-командной-строки-CLI-интернет-центра

(0) порт 445 tcp по ip адресу будет работать

(12) proxy arp нужен если vpn клиенты получают адреса из той же подсети что локальная сеть

У меня вот один mikrotik есть , с аппаратной поддержкой ipsec. От провайдера 100 мбит, так он эти 100 мбит и дает по туннелю. Кинетики такое не потянут

(47) да без разницы про который. Мне все сетевые сервисы требовались сразу как в локалке - это раз. Потом ещё три офиса надо было связать - два. Удаленщиков желательно было пускать только в одну из точек так, чтобы они при подключении могли видеть либо все три, либо какую-то часть сети - три. Ну и ещё там по мелочи. Я на зиволле делал. Микрот изучал позже, в настройке он существенно сложнее чем зиволл.

Время в основном уходило вот на такие вещи как у вас сейчас. Упрешься во что-то и хрен пойми как делать. Костылями как-то обойдешь, потом вечерами, когда сеть не нужна, сидишь париться - так попробовал, эдак, статьи почитал, в поддержку написал, глядишь, через недельку что-то и получилось. Костыли убрал, сделал по-человечески.

Так-то понятно, что туннель по мурзилке из инета поднимается на чем хошь за 15 минут. Но шаг вправо-влево, немного другая хотелка и все, приплыли. Как это суко знакомо...

(52) Коротко: спасибо за наводку. Изучу вопрос

Подробно:
Приоритезацию трафика внутри VPN тонеля настраивали? Если в сети рядом с терминальным сервером запустить торренты на скачивание, ничего не тормозит? телефония не квакает? Это ваша заслуга или заслуга настроек по дефолту?

Динамическая маршрутизация есть? Два канала в Интернет и у VPN клиента, и у VPN сервера, если отвалится один самый нужный, то будет ли разрыв соединений? У Вас это реализовано?

Это все можно гибко настраивать на кинетиках?

P.S. Вот не верю, что вот это все работает на 4+, но Вы не потратили кучу времени на изучение сетевых технологий.
P.P.S. Правда интересно.

(59) кинетик  домашние устройства. У них нет железок с частотой проца выше 1Гц. Даже в их самом дорогом роутере всего 256 мб оперативы

Один фиг не возьму микротик, лучше OpenWRT железку

https://aliexpress.ru/item/32922557750.html
https://aliexpress.ru/item/33036599951.html

(61) *wrt хороши, спору нет. Только насколько это стабильно будет работать , как там это все собрано ... вопрос
я в итоге пришел к тому что для дома взял wi-fi smb точку доступа Cisco. Ноль проблем.

чтобы сиску брать, надо в ней хорошо разбираться, плюс дешевые точки это обычно какието другие производители с лейблом сиськи

(63) это не совсем дешевый вариант, от 12-15 тыс примерно они идут
у меня вот такая. Серия для малого бизнеса.
https://www.cisco.com/c/ru_ru/support/wireless/wap150-wireless-ac-n-dual-radio-access-point-poe/model.html

Они на линуксе. Все понятно в web интерфейсе.

(64) ну циску обычно берут чтобы не через вебинтерфейс настраивать

(65) сейчас уже все довольно сильно смешалось в доме Облонских. Это раньше была циска и было все остальное. Сейчас сетевое оборудование стало более "народным", VPN-сервером в домашнем роутере уже никого не удивить. И циске тоже пришлось стать демократичнее.

(65) это серия для малого бизнеса. Речь не о каком нибудь шлюзе корпративной сети

(66) у циски всегда был GUI интерфейс, которым никто не рекомендовал пользоваться из-за изощренности настроек и кривости интерфейса
(67) а тогда в циске и так смысла нет, проще уж брать какойнить Ubiquiti который прям заточен под wireless железки

+(67) но приятно иметь возможность отключить светодиоды опцией в настройках

(68) тут конечно нет никиой Cisco IOS. Это решения на linux

Сейчас есть очень демократичные циски. Точнее, появились они уже довольно давно, например 800 серия (851, 871) были уже в 10 году. Сейчас вот такие есть https://market.yandex.ru/product--marshrutizator-cisco-rv320-dual-gigabit-wan-vpn-router/1714711618?nid=55404&lr=215 - для малого офиса. Думаю, с веб-фейсом там все ок, хотя ssh и комстроку юзать тоже никто не запрещает

(71) без ios непонятно за что такие деньги, реально проще микротик купить

у нас помню 800 серию использовали в банкоматах юзали, но только потому что там ios и туда можно было кастомные ключи для тоннеля залить

(72) я бы попробовал. Думаю, качество и аптайм будет выше чем у тика. И в целом проработает дольше.

Моя "любовь" - вот https://market.yandex.ru/product--marshrutizator-cisco-rv320-dual-gigabit-wan-vpn-router/1714711618?nid=55404&lr=215. Поругаться пока не могу ни на что, кроме того что прошивку уже больше не обновляют и надо покупать 110.

Сорри, не ту ссылку дал. Вот: https://market.yandex.ru/product--marshrutizator-zyxel-zywall-usg-100/10554040?show-uid=15869654512094173962616001&nid=55404&glfilter=7893318%3A152769&lr=215&text=zyxel%20zywall%20usg100&context=search

(72) для офиса опций там немало - vlan'ы, несколько ssid, qos, списки доступа, гостевые сети и т.д. Плюс она хранит два образа прошивок - основной и резервный, между ними можно переключаться, автобэкап конфигурации и т.д

(71) неплохой вариант, да и ненамного дороже схожего микротика

+ (77) есть онлайн эмулятор, можно посмотреть интерфейс

https://www.cisco.com/assets/sol/sb/WAP150_Emulators/WAP150_Emulator_v1-0-0-16-20160307/main.htm

(79) Фигня какая то. И где там впн сервер?
(61) Интересные железки.

(80) ну это эмулятор точки доступа, ему там как-бы и не положено быть

Микротик, ИМХО, вполне себе ничего в качестве сиськи для бедных. Если с экзотикой не запариваться, то работает чрезвычайно надежно и производительно. Смущают только уязвимости последних годов.
Из менее хардкорных по настройке вариантов вроде Ubiquiti хвалят.

Мой микротик как раз через уязвимость winbox и сломали (я с правильными настройками файервола как-то не запаривался до этого момента, так что сам дурак). Впендюрили страничку на встроенном веб-сервере, которая периодически выпадала типа как с ошибкой доступа и майнила пока висела :)

(82) недостаток Ubiquiti - у них хорошо развитая wifi подсистема, но всю сеть на них не построишь в отличии от микротика

Я кстати давно поражался, как микротик умудряется без зависаний годами работать. Пока не узнал, что там оказывается встроенный вочдог есть :)

(85) за свои деньги микротик топ. Даже возьмем самый недорогой 1500-1700 р. Что могут аналоги за эти деньги?

(86) Это несколько лукавое сравнение. Работает, только если тебе этот фарш нужен. А в противном случае сравнение уже сегментируется.

(87) да ну, сравним давай банальный аптайм микротика самого недорогого и конкурента по стоимости, ну и например количество обслуживаемых клиентов. Про фарш там нечего сравнивать

Но как ни крути, а mikrotik это все-таки SOHO. Когда количество подключений подбирается к 20 и количество точек доступа тоже растет - он уже не вытягивает как надо. Ну и плюшек типа роуминга у него тоже нет.
А для SOHO тот же Ubiquiti и человечней и почти все хотелки покрывает (по отзывам). А микротик одной ногой тут, а другой ногой якобы в энтерпрайз - но нет.

(80) так это ж точка доступа

(89) для SOHO тот же Ubiquiti  - да, популярное решение.
Дальше, у кого есть деньги на Cisco все делают

По микротику - аптайм годы - норма

(91) Зачем нужен этот аптейм если даже "Currently unsupported OpenVPN features:"

https://wiki.mikrotik.com/wiki/Manual:Interface/OVPN

(92)+ У меня на keenetic даже https://ru.wikipedia.org/wiki/Time-based_One-time_Password_Algorithm уже встроена ))
Точнее сам встроил со штатным OpenVPN клиентом.
И https://help.keenetic.com/hc/ru/articles/360010592379-WireGuard-VPN из коробки

OpenVPN кажись iOS из коробки не поддерживает. Или уже да?

Стандартная всеядная комбинация - IPSec/L2TP

Правда, на микротике не поднимал. В домашнюю локалку пока не было цели доступаться.

(0) А есть ли где вменяемая инструкция по настройке МИкротика для VPN под IPSec? Вчера полдня убил, но Windows 10 клиент на Home версии так и не смог через VPN на RDP сервер  зайти.Причем на Win 10 PRo тачке это все заработало с полпинка.Но там блин с безопасностью ранее поработал нехило, поотрубал лишнее.Да и за NAT роутера он.
А Win 10Home - со свистка.Первый раз влез в Микротик.

(97) Чистый IPSec аля циско или L2TP+IPSec? Если первое, то как вы виндой без спецклиента заходите?..

(98) Стандартный Windows/L2TP+IPSeс с секретным ключом.

(99) да вроде настраивал по мурзилкам году в 2014-2015, ходили из-под винды и из-под айпэда

(98) Причем вроде как VPN устанавливается, но RDP не дает соединяться и не пингуется сервер.Потом и VPN отваливается.
(100) Поиском не нашел..Только примитв как включить да сброситить до заводских настроек.

(101) <VPN устанавливается, но RDP не дает соединяться и не пингуется сервер.Потом и VPN отваливается. >
Это значит что маршруты устанавливаются неправильно

Это симптомы того что у вас основной маршрут заворачивается в тоннель и пропадает фактически пропадает интернет ..тоннель то через него работает, а маршрут указывает в него-же..замкнутый круг-все-ломается

(101) сейчас под руками нет тика. Та контора, где я это делал, закрылась, и куда девались железки - я не знаю :(
Но никаких сложностей не припоминаю. Тоже делал шаред кей, все устойчиво жило. Делал по доступным статьям. Десятки тогда, кажется, еще не было, из-под 7, 8.1 и iOS соединялось.

еще в качестве эксперимента делал чистый IPSec и ходил ShrewSoft VPN Client'ом. По-моему, тоже работало, но повозиться пришлось дольше.

..всегда удивляла мания использовать какието мозголомные схемы с VPN которые требуют сторонних клиентов...

особенно на цисках все любят такое собирать и писать "самалучшийклиент это cisco-vpn"

до сих пор этот кошмар с содроганием вспоминаю.... обновил винду...а он и говорит, "я (версия 10.4.33.55 (FP-EP-AR-IS2-SP5) на винде 7 версии 100500 не работаю! обновите!"...обновите до версии 10.4.33.55.1 (FP-EP-AR-IS2-SP6)!
А эта зараза требудет уже ios версии 10.2EP5_ar3_path5_bis-5...которая не совместима с ASA OS на основном фаерволле...тоже обновляйте!

p.s. крындец
p.p.s. версии от балды...у циски они мозговзрывающие

(102)Вот я тоже утонул в интерфейсе Микротика.Много непонятного...И смущает что win10 Home так повела.Обязательно постоянный IP ведь?

и сейчас на работе клиент Viscosity который на линуксе ставится спец.скриптом от наших админов, который с десятка какихто левых github реп вытягивает патчи, потому что "а вот такой у нас особый vpn"

(106) постоянный не обязательно

вообще чтобы грамотно впн настраивать, особенно нетиповой, надо дофига чего понимать в том как сеть работает.

в случае с микротиком, там помоему надо или снять или поставить галочку по пробросу/переустановке дефолтного шлюза (давно я уже этим не занимался, но проблема типовая, её погуглить можно)

(105) чистый ипсек самый устойчивый. У меня были случаи что на шрюхе сутки люди сидели и ничего не рвалось. L2TP, увы, тут даже не рядом.

(107) ппц..И это во премена коронавируса, когда всем срочно потребовалась удаленка...
Я вообще то не админил Микротик никогда...

на это обычно натыкаются те у кого был впн через pptp и его переделали на l2tp, там сразу такое начинается...можно поискать эти темы и по аналогии сделать

(110) там все просто, если ты сетевик ;))
я вот не сетевик...у меня от этого всего голова болеть начинает...я как из админов ушел, радуюсь что больше этот кошмар помнить не надо

Кстати, если кому интересно - несколько недель назад нашел утилитку под винду (службу), которая L2TP подключение тестирует и перезапускает если связь пропала. Очень полезная штука.

(108) Но там же жестко прописывается IP в правилах.И все заработало на известной мне машине win 10 Pro.А тут непонятный win 10 Home не взлетел..
(112) По молодости и сети делал,и магазины на 1с поднимал.Есть еще навыки...

(106) Типичный инженерный интерфейс. Единственная задача которая решается - впихнуть максимальное количество функций. Тру-сетевики всю эту лабуду обычно исключительно через консоль админят.

(113) странно, у меня L2TP по несколько суток работает без разрывов, дальше просто сам отключаю

(116) ну если канал близкий к идеалу, то может быть

У меня тоже L2TP сутками деражит. Правда на VPS, а не на микротике. Но если необходимо работать исключительно через VPN, то автовосстановление при разрывах очень нужная штука.

(117) ну при нестабильном канале как-то некорректно говорить о стабильности сервисов в нем

(97) если только rdp нужно то лучше всего dst-nat порта 3389 tcp и udp к этому серверу сделать.

(120) VPN секьюрнее чем все эти порт-форварды. RDP ломают часто, особенно если сервак несвежий, 2003 или 2008 какой-нибудь.

(119) ну, часто бывает так что приходится работать с тем что есть, и не говорить, а делать...

(121) пробосить внутри тоннеля конечно. Запрос на ip виртуального интерфейса сервера на эти порты отправлять на RDP сервер.

по умолчанию в виндовом подключении ставиться галка использовать основной шлюз в удаленной сети.
Если ее оставить и на сервере (микротике) не предусмотреть запрет форварда всего остального трафика то все будет валиться  через удаленный сервер. это нехорошо. На микротике этот ненужный форвард нужно запретить.

Лучше эту галку снять , тогда
если ip vpn выдает из локальной офисной сети, то нужен proxy arp
иначе либо dst nat как описал выше делать
либо прописывать на клиенте route add маршрут к офисной сети

методом тыка это все конечно не настроишь, немного понимания сетей нужно и доку читать

(92) есть такое.. В RouterOS 7 сделали UDP для OpenVPN. В бете она , долго они ее уже пилят

(124) Посмотрите мою ветку L2TP remote access + route add в одном флаконе
Начиная с win7 route add не нужен. В PowerShell есть специальная команда, которую даешь для подключения один раз и она после этого всегда создает при соединении указанным подключением динамический маршрут и прибивает его при разрыве связи.

(123) Можно подробнее, как работает эта схема? Для общего развития так сказать.

(127) эта команда вроде только c Win 8 есть.

я делал еще через netsh » interface » ipv4 » add » route

store             - One of the following values:
                           active: Change only lasts until next boot.
                           persistent: Change is persistent. This is
                                       the default.

+(129)  https://www.colorconsole.de/cmd/en/Windows_7/netsh/interface/ipv4/add/route.htm

(128) на вклвдке NAT добавить правило

chain dstnat
dst adress = IP-адрес VPN-интерфейса маршрутизатора
in interface = all ppp
action dst-nat
to adress = адрес RDP сервера

Теперь все обращения с клиента на IP-адрес VPN-интерфейса маршрутизатора будут уходить на RDP сервер
Можно уже подключаться
Плюс еще в правилах файрвола отставить только нужный форвард с входящего интерфейса all ppp 3389 tcp и udp, остальной запретить.
тут уже по красоте можно. В разрешающих правилах для 3389 в connection nat state отметить dst nat.
И вообще тогда никакого лишнего доступа нет

в RDP клиенте указывать  IP-адрес VPN-интерфейса маршрутизатора

(131) спасибо, пригодится. Кстати, утилита, про которую речь в ветке - умеет скрипты с параметром после установки подключения, что, в принципе, позволяет даже делать route add.

вы были правы, действительно win8, семерка не знает этого командлета :( Жаль.

(131) а зачем? если VPN до роутера и так есть, то в чем проблема зайти по адресу сервера сразу?

(135)  если впн адресация иная чем сеть rdp сервера, то нужно либо маршрут на клиенте прописать. Либо схема с пробросом как написал выше.

(136) не, лучше уж на роутере раздавать правильные маршруты. Я например использую VPN для доступа в локалку и может возникнуть потребность подключения к любому ПК

(137) если локалка нужна. А если не нужна так и нужно к ней доступ давать.

Mikrotik кстати отдавать маршрут на клиента не умеет. Клиент сам должен озаботиться этим.

(138) умеет, но правда скил нужно иметь уже кое какой в сетевых технологиях

https://www.youtube.com/watch?v=JgsN_qPnEBw

(139) Если бы mikrotik мог иметь DHCP сервер на vpn интерфейсе и отдавать маршрут по dhcp опции все было бы проще

(139) за ссылку на парня лайк. Сверим знания

Ценно что свежее видео , ROS от версии к версии нюансы могут быть

(140) https://m.habr.com/ru/post/239141/

(143) повторюсь, DHCP сервер на vpn интерфейсе mikrotik не умеет

у них кстати еще один интересный канал есть. Там про астериск в основном

https://www.youtube.com/channel/UC0w85XFgWNuky4MxHtMCUaw

(144) ну и что? Автовыдача впн-юзерам ip из пула работает? - Работает.
Выдача маршрута по dhcp-опции для впнщиков работает? - Работает.
Что, собственно и нужно.

А, блин, сорри, не так понял

фряха, опенвпн - не? и вместо смб - клиент нфс под винду. стабильно и внятно работает годами на любом утюге.

(148) ага, по компу каждому клиенту? они будут рады

Время маршрутизаторов на основе ПК по мне так прошло. КПД совсем не то

(149) а что из себя по сути представляют SOHO маршрутизаторы? Я полагал, что это и есть простейший одноплатный комп на армовском проце с несколькими сетевыми картами и/или свитчом на борту. У более дорогих моделей могут быть продвинутые функции, например, аппаратное ускорение шифрования. Но это далеко не у всех и не за несколько тысяч рублей, а скорее уже за несколько десятков. Китайцы вон на обычные ITX матери с атомом FreePBX ставят и продают это как мини-АТС - ну и что, почему нет? Вполне имеет право на существование. То же самое и маршрутизаторы на подобном железе.

(150) ну так этим и отличается (размер, цена, потребление, готовое решение)

(149) У того же Микротика есть версия x386 для утановки в облако на виртуалку

"Cloud Hosted Router - это особая версия Mikrotik RouterOS разработанная специально для установки на PC на виртуальные машины. CHR предназначена для 64-битных платформ и может быть использована с большинством популярных гипервизоров таких как VMWare, Hyper-V, VirtualBox, KVM и другие."

(152) но и назначение ее немного другое

Раньше были мамки на 6 Pci,куда можно было 6 сетевых карт воткнуть.
теперь разьемов меньше,а сетевые карты с несколькими выходами очень небюджетно стоят,вот и получается,что роутер из компа сделать сложно
а так,маика с процом,память,две сетевые(есть мамки,где это из коробки)и usb-flash для загрузки.