黑五前入手了一台 Mikrotik CCR1036-12G-4S-EM Cloud Core Router,准备用它取代 DrayTek 2860,迎接千兆网的到来。1gbps 还未普及到我的区域,我只是未雨绸缪了。
DrayTek 2860 充其量只能是给 home office 和 small business 用的,现在带机量虽有增加,但还不到 50,就有点力不从心,有点小失望。但它这么多年来一直勤勤恳恳,不用怎么重启,我不说它不好,只是现在有更高的要求了。
即将到来的 1gbps 宽带将是 1gbps 对称的上下行,我非常期待 1gbps 的上行带宽能给 work from home 带来质的飞跃(对比目前的 15mbps)。这对路由器的 VPN 吞吐速率提出了很高的要求,我曾一时也不知道该选什么路由器来做高速率的 VPN 连接,我也不想自建一台 VPN server,担心搞不好被人攻击。我花了很多天在搜索合适的路由器,眼前出现频率较高的是 Netgear AX12。Netgear AX12 毕竟是个家用级的产品,quad core 满足 1gbps 下行是没问题,但能否满足 1gbps 加密上行?指标上没有提及,我也表示怀疑。某天我突发奇想,如果 quad core 不够用,那就找找 octa core。
Octa core router 的搜索结果中就出现了 Mikrotik CCR1036,尽管它可不止八核,而是 36 核!感谢 Google 成功地将我的关注点带到了 Mikrotik CCR1036。它强悍的性能完全可以满足今后 5 到 10 年的需求,而且它的价格很亲民(与 Cisco 比)。
好了,于是我下手买了一台 Mikrotik CCR1036-12G-4S-EM。说了一堆废话,无非在强调此路由器的专业性。
之前我访问 DrayTek 2860 的 https web UI,从来没想过要把浏览器里吓唬初学者的不安全提示给去掉。我不是初学者,我没被吓唬住,也就懒得理会。如今调试专业的路由器,我就萌生一个想法,让我的 Chrome 浏览器不要再出现不专业的不安全提示。
以下步骤主要借鉴了 https://wiki.mikrotik.com/wiki/Manual:Webfig,但有所改动,否则不能消除 Chrome 的不安全提示。
1,生成一个根证书并自签
/certificate add name=LocalCA common-name=LocalCA country=UK key-usage=key-cert-sign,crl-sign sign LocalCA
注意:生成证书时一定要加国别,否则 Chrome 拒绝导入这个根证书(导入显示成功,但实际没有导入)
2,生成 WebFig 用的 SSL 证书并由刚发行的根证书签发它
/certificate add name=Webfig common-name=webfig.local subject-alt-name=DNS:webfig.local sign Webfig ca=LocalCA
注意:如果 subject-alt-name 仅写 DNS:webfig,浏览器仍会认为不安全,必须是 FQDN 或 IP address。
3,启用刚生成的 Webfig 证书
/ip service set www-ssl certificate=Webfig disabled=no
注意:若遇到 www-ssl 启动失败,其中一个可能是端口冲突,默认端口 443 被 SSTP 服务器占用。SSTP 服务器在 /interface/sstp-server/server 调整。
4,添一个 static DNS,将 webfig.local 解析到路由器的 IP address
/ip dns static add name=webfig.local type=A address=192.168.88.1 /ip dns set allow-remote-requests=yes
注意:仅在内网用路由器作 primary DNS(必须启用 allow remote requests,否则路由器不响应静态解析请求)可行。在外网就得用 hosts 文件做个指向。
5,用 Chrome 访问 https://webfig.local,首次访问当然会被提示非安全连接,忽略之继续访问,然后点地址栏左边的小图标,查看证书,选中根证书,保存到本地硬盘。然后在 Chrome 设置里管理证书,将刚才保存的证书导入到受信任的根证书类。
6,重启 Chrome 再次访问 https://webfig.local,就不再有恼人的提示了。
