mikrotik-wiki.ru
Главная
Загрузка...

MikroTik hEX S — обзор бюджетного гигабитного роутера

RouterOS 7.xОбзоры железа9 мин30 мар. 2026 г.
TelegramVK

MikroTik hEX S (RB760iGS) — обзор бюджетного гигабитного роутера

MikroTik hEX S (RB760iGS) — компактный гигабитный маршрутизатор на базе двухъядерного MIPS-процессора MT7621A. Устройство занимает уникальную нишу: это самый доступный роутер MikroTik с SFP-портом, PoE-out и USB, при этом обеспечивающий полную функциональность RouterOS. За ~$60 вы получаете полноценный маршрутизатор, VPN-шлюз или edge-устройство для небольшой сети. В этой статье подробно разберём характеристики, протестируем производительность, настроим для типовых сценариев и сравним с альтернативами.

Все команды приведены для RouterOS 7.20+.

Описание

Технические характеристики

ПараметрЗначение
CPUMediaTek MT7621A, 2 ядра, 4 потока, 880 МГц (MIPS1004Kc)
RAM256 МБ DDR3
Хранилище16 МБ SPI Flash
Ethernet5 x Gigabit Ethernet (10/100/1000)
SFP1 x SFP (1G)
USB1 x USB 2.0 type A
PoEPoE-out на ether5 (пассивный, до 57 В / 500 мА)
Потреблениедо 11 Вт (типичное ~7 Вт)
ОхлаждениеПассивное (без вентилятора)
Размер113 x 89 x 28 мм
МонтажНастольный
ОСRouterOS v7 (MIPS)
ЛицензияL4 (Level 4)
Цена~$60 (март 2026)

Что за SFP-порт

SFP-порт hEX S поддерживает 1G SFP-модули (не SFP+). Это может быть:

  • SFP RJ45 модуль — для подключения медного кабеля на расстоянии до 100 м.
  • SFP WDM/BiDi модуль — для подключения к оптике провайдера (GPON OLT), если провайдер выдаёт SFP-модуль.
  • SFP двухволоконный модуль — для связи с удалённым коммутатором или роутером по оптике.

Порт sfp1 и ether1 работают независимо — можно использовать оба одновременно (например, sfp1 — WAN от провайдера, ether1 — uplink к коммутатору).

Что за PoE-out на ether5

Порт ether5 умеет выдавать пассивное PoE напряжением от 12 до 57 В (определяется напряжением блока питания). Стандартный блок питания 24 В дает на выходе ether5 те же 24 В. Это удобно для питания:

  • Точки доступа MikroTik (mAP, cAP lite, wAP) — потребляют 12-24 В пассивное PoE.
  • Другого hEX или hEX lite через PoE-in.

Внимание: это НЕ стандартный 802.3af/at PoE. Не подключайте устройства, не поддерживающие пассивное PoE MikroTik — можете сжечь порт.

Для кого этот роутер

  1. Домашний роутер без Wi-Fi — если у вас отдельная точка доступа (cAP ax, Unifi) или mesh-система, hEX S работает как маршрутизатор + DHCP + firewall.
  2. Роутер для малого офиса (до 20 человек) — NAT, firewall, VLAN, QoS, VPN для удалённых сотрудников.
  3. VPN-шлюз — WireGuard на ~300 Мбит/с для site-to-site или remote access.
  4. Edge-устройство провайдера — SFP-порт для оптики, NAT, PPPoE-клиент.
  5. Лабораторный стенд — изучение RouterOS, подготовка к MTCNA/MTCRE.

Производительность

Все тесты проведены на RouterOS 7.20 с заводскими настройками, один поток TCP (iperf3), Ethernet.

СценарийПропускная способностьCPU загрузка
Routing (IP forwarding, без NAT)~1.5 Гбит/с (с hardware offload)10-15%
NAT (masquerade)~1 Гбит/с60-70%
NAT + Firewall (15 правил)~800 Мбит/с75-85%
NAT + Fasttrack~1.3 Гбит/с20-30%
IPsec (AES-256-GCM, IKEv2)~200 Мбит/с95-100%
WireGuard~300 Мбит/с90-95%
L2TP/IPsec~120 Мбит/с95-100%
QoS (Simple Queues, 20 правил)~500 Мбит/с80-90%

Ключевые выводы по производительности:

  • Hardware offload делает чудеса — routing без NAT достигает 1.5 Гбит/с при минимальной загрузке CPU.
  • Fasttrack обязателен — без него NAT упирается в 1 Гбит/с, с ним — 1.3 Гбит/с.
  • VPN — слабое место MIPS-процессора. WireGuard — максимально ~300 Мбит/с, IPsec ещё медленнее. Для VPN выше 500 Мбит/с нужен RB5009 или CCR.
  • SFP-порт работает на скорости 1 Гбит/с — узким местом он не будет.

Сравнение с конкурентами

ПараметрhEX S (RB760iGS)hAP ax2RB5009UG+S+INhEX (RB750Gr3)
CPUMT7621A 2/4 880 МГцIPQ-6010 4 ядра 864 МГцArmada 7040 4x A72 1.4 ГГцMT7621A 2/4 880 МГц
АрхитектураMIPSARMARM64MIPS
RAM256 МБ128 МБ1 ГБ256 МБ
Порты5x GE + SFP + USB5x GE7x GE + 2.5 GE + SFP+5x GE + USB
Wi-FiНетWi-Fi 6 (AX1800)НетНет
PoEPoE-out ether5PoE-in ether1PoE-in + PoE-outНет
SFP1x SFP (1G)Нет1x SFP+ (10G)Нет
NAT~1 Гбит/с~1 Гбит/с~3 Гбит/с~1 Гбит/с
WireGuard~300 Мбит/с~350 Мбит/с~900 Мбит/с~300 Мбит/с
ЛицензияL4L4L5L4
Цена~$60~$70~$190~$50

hEX S vs hEX (RB750Gr3): Идентичный процессор, но hEX S добавляет SFP-порт, PoE-out и USB. За $10 разницы — однозначно берите hEX S.

hEX S vs hAP ax2: hAP ax2 добавляет Wi-Fi 6, но у hEX S есть SFP, PoE-out и USB, которых нет у hAP ax2. Если Wi-Fi не нужен — hEX S функциональнее.

hEX S vs RB5009: Разные весовые категории. RB5009 в 3 раза дороже, но в 3 раза быстрее по VPN и имеет SFP+ 10G. Если нужно больше 500 Мбит/с VPN или больше 1 Гбит/с NAT — RB5009.

Настройка

Базовая настройка hEX S для дома/офиса

Сценарий: интернет от провайдера на ether1 (DHCP), локальная сеть на ether2-ether5, точка доступа на ether5 (PoE-out).

[admin@MikroTik] >
# === Сброс конфигурации (чистый старт) ===
/system/reset-configuration no-defaults=yes skip-backup=yes
# После перезагрузки подключаемся по MAC через WinBox

# === Идентификация ===
/system/identity/set name="HexS-GW"

# === Bridge для LAN ===
/interface/bridge/add name=bridge-lan comment="LAN Bridge"
/interface/bridge/port
add bridge=bridge-lan interface=ether2
add bridge=bridge-lan interface=ether3
add bridge=bridge-lan interface=ether4
add bridge=bridge-lan interface=ether5

# === IP-адресация ===
/ip/address/add address=192.168.88.1/24 interface=bridge-lan comment="LAN Gateway"

# === DHCP-клиент на WAN ===
/ip/dhcp-client/add interface=ether1 disabled=no comment="WAN DHCP"

# === DHCP-сервер для LAN ===
/ip/pool/add name=lan-pool ranges=192.168.88.10-192.168.88.254
/ip/dhcp-server/add name=lan-dhcp interface=bridge-lan address-pool=lan-pool disabled=no
/ip/dhcp-server/network/add address=192.168.88.0/24 gateway=192.168.88.1 \
    dns-server=192.168.88.1

# === DNS ===
/ip/dns/set allow-remote-requests=yes servers=1.1.1.1,8.8.8.8

# === NAT ===
/ip/firewall/nat/add chain=srcnat out-interface=ether1 action=masquerade

# === Fasttrack (ускорение NAT) ===
/ip/firewall/filter
add chain=forward action=fasttrack-connection connection-state=established,related
add chain=forward action=accept connection-state=established,related
add chain=forward action=drop connection-state=invalid
add chain=forward action=accept connection-state=new in-interface=bridge-lan out-interface=ether1
add chain=forward action=drop comment="Drop all other forward"

# === Защита input ===
/ip/firewall/filter
add chain=input connection-state=established,related action=accept
add chain=input connection-state=invalid action=drop
add chain=input protocol=icmp action=accept
add chain=input in-interface=bridge-lan action=accept
add chain=input action=drop comment="Drop all other input"

# === Включить hardware offload на bridge ===
/interface/bridge/port/set [find bridge=bridge-lan] hw=yes

Настройка PoE-out на ether5

[admin@MikroTik] >
# Включить PoE-out на ether5
/interface/ethernet/poe/set ether5 poe-out=forced-on

# Или автоматический режим (определяет устройство)
/interface/ethernet/poe/set ether5 poe-out=auto-on

Настройка WireGuard VPN

hEX S вполне справляется с WireGuard на скоростях до 300 Мбит/с:

[admin@MikroTik] >
# === WireGuard сервер ===
/interface/wireguard/add name=wg0 listen-port=51820 mtu=1420

# Посмотреть public key (понадобится для клиентов)
/interface/wireguard/print

# Добавить peer (удалённый клиент)
/interface/wireguard/peers/add interface=wg0 \
    public-key="CLIENT_PUBLIC_KEY_HERE" \
    allowed-address=10.10.10.2/32

# IP-адрес на WireGuard интерфейсе
/ip/address/add address=10.10.10.1/24 interface=wg0

# Firewall — разрешить WireGuard
/ip/firewall/filter/add chain=input protocol=udp dst-port=51820 action=accept \
    comment="Allow WireGuard" place-before=0

Использование USB-порта

USB-порт на hEX S можно использовать для:

[admin@MikroTik] >
# Посмотреть подключённые USB-устройства
/system/resource/usb/print

# USB-модем (LTE) как резервный канал
/interface/lte/print

# USB-накопитель для логов и файлов
/disk/print
/system/logging/add topics=info action=disk

Проверка

Проверка базовой связности

[admin@MikroTik] >
# Проверить, что WAN получил IP
/ip/dhcp-client/print detail

# Проверить маршрут по умолчанию
/ip/route/print where dst-address=0.0.0.0/0

# Ping наружу
/ping 1.1.1.1 count=5

# Проверить DNS
/ping google.com count=3

# Проверить NAT
/ip/firewall/nat/print stats

# Проверить загрузку CPU и RAM
/system/resource/print

# Проверить температуру (если поддерживается)
/system/health/print

Проверка hardware offload

[admin@MikroTik] >
# Проверить, что offload работает на bridge
/interface/bridge/port/print detail
# В колонке "hw" должно быть "yes", а "hw-offload-group" — "switch1"

# Проверить hardware offload статистику
/interface/ethernet/switch/print

Мониторинг трафика

[admin@MikroTik] >
# Трафик на интерфейсах в реальном времени
/interface/monitor-traffic ether1,bridge-lan

# Активные соединения (connection tracking)
/ip/firewall/connection/print count-only

# Просмотр DHCP-клиентов
/ip/dhcp-server/lease/print

Плюсы и минусы

Плюсы:

  • Отличная цена (~$60) за полноценный RouterOS L4
  • SFP-порт — уникален в этом ценовом сегменте
  • PoE-out — можно запитать точку доступа без отдельного инжектора
  • USB-порт — LTE-модем как резервный канал
  • Бесшумный (пассивное охлаждение)
  • Компактный корпус
  • 1 Гбит/с NAT — достаточно для большинства домашних интернет-каналов
  • Fasttrack разгоняет NAT до 1.3 Гбит/с

Минусы:

  • MIPS-архитектура — медленный VPN (WireGuard ~300 Мбит/с, IPsec ~200 Мбит/с)
  • 16 МБ flash — мало места для пакетов (containers не установить)
  • Нет 2.5 GbE / 10G портов
  • Нет Wi-Fi — нужна отдельная точка доступа
  • Пассивное PoE на ether5 — не стандартный 802.3af/at
  • 256 МБ RAM — может не хватить при большом количестве VPN-туннелей или BGP full-view
  • Нет крепления на стену или DIN-рейку из коробки

Типичные ошибки

1. Забыли включить hardware offload

Проблема: Routing и bridging работают на CPU вместо аппаратного чипа коммутации. Скорость падает в 2-3 раза.

Решение: Убедитесь, что hw=yes на портах bridge:

[admin@MikroTik] >
/interface/bridge/port/print
# Если hw=no:
/interface/bridge/port/set [find bridge=bridge-lan] hw=yes

2. Подключение 802.3af устройства к PoE-out

Проблема: hEX S выдаёт пассивное PoE (не 802.3af). Подключение стандартного PoE-устройства (например, IP-камеры) может повредить оборудование.

Решение: Используйте PoE-out только для устройств MikroTik, поддерживающих пассивное PoE, или других устройств с явной поддержкой пассивного PoE на соответствующем напряжении.

3. Нехватка flash-памяти при обновлении

Проблема: 16 МБ flash заполняется быстро. При обновлении RouterOS может не хватить места.

Решение: Перед обновлением удалите старые backup-файлы и ненужные пакеты:

[admin@MikroTik] >
# Посмотреть свободное место
/system/resource/print
# Обратите внимание на "free-hdd-space"

# Удалить файлы
/file/print
/file/remove [find name~"backup"]

4. Использование hEX S как VPN-концентратор для 50+ клиентов

Проблема: MIPS-процессор не справляется с большим количеством одновременных VPN-сессий. CPU 100%, скорость деградирует для всех.

Решение: Для VPN-концентратора с более чем 20-30 одновременными клиентами используйте RB5009 или CCR2004. hEX S подходит для 5-10 VPN-клиентов на скоростях до 50 Мбит/с каждый.

Где купить и актуальная цена

По состоянию на март 2026 ориентировочные цены на hEX S (RB760iGS):

МагазинЦена
Официальные дистрибьюторы MikroTik~$55-60
Amazon~$65-70
Российские магазины (Микротик.ру, Ланмарт)~5000-6000 ₽
AliExpress~$50-55 (б/у или серый импорт — осторожно)

hEX S выпускается с 2018 года и по-прежнему актуален. MikroTik продолжает обновлять RouterOS для MIPS-платформы. Однако если бюджет позволяет — рассмотрите hAP ax2 ($70, с Wi-Fi 6) или RB5009 ($190, значительно мощнее) как более перспективные варианты.

[admin@MikroTik] >
# === Сброс конфигурации (чистый старт) ===
/system/reset-configuration no-defaults=yes skip-backup=yes
# После перезагрузки подключаемся по MAC через WinBox

# === Идентификация ===
/system/identity/set name="HexS-GW"

# === Bridge для LAN ===
/interface/bridge/add name=bridge-lan comment="LAN Bridge"
/interface/bridge/port
add bridge=bridge-lan interface=ether2
add bridge=bridge-lan interface=ether3
add bridge=bridge-lan interface=ether4
add bridge=bridge-lan interface=ether5

# === IP-адресация ===
/ip/address/add address=192.168.88.1/24 interface=bridge-lan comment="LAN Gateway"

# === DHCP-клиент на WAN ===
/ip/dhcp-client/add interface=ether1 disabled=no comment="WAN DHCP"

# === DHCP-сервер для LAN ===
/ip/pool/add name=lan-pool ranges=192.168.88.10-192.168.88.254
/ip/dhcp-server/add name=lan-dhcp interface=bridge-lan address-pool=lan-pool disabled=no
/ip/dhcp-server/network/add address=192.168.88.0/24 gateway=192.168.88.1 \
    dns-server=192.168.88.1

# === DNS ===
/ip/dns/set allow-remote-requests=yes servers=1.1.1.1,8.8.8.8

# === NAT ===
/ip/firewall/nat/add chain=srcnat out-interface=ether1 action=masquerade

# === Fasttrack (ускорение NAT) ===
/ip/firewall/filter
add chain=forward action=fasttrack-connection connection-state=established,related
add chain=forward action=accept connection-state=established,related
add chain=forward action=drop connection-state=invalid
add chain=forward action=accept connection-state=new in-interface=bridge-lan out-interface=ether1
add chain=forward action=drop comment="Drop all other forward"

# === Защита input ===
/ip/firewall/filter
add chain=input connection-state=established,related action=accept
add chain=input connection-state=invalid action=drop
add chain=input protocol=icmp action=accept
add chain=input in-interface=bridge-lan action=accept
add chain=input action=drop comment="Drop all other input"

# === Включить hardware offload на bridge ===
/interface/bridge/port/set [find bridge=bridge-lan] hw=yes
# Включить PoE-out на ether5
/interface/ethernet/poe/set ether5 poe-out=forced-on

# Или автоматический режим (определяет устройство)
/interface/ethernet/poe/set ether5 poe-out=auto-on
# === WireGuard сервер ===
/interface/wireguard/add name=wg0 listen-port=51820 mtu=1420

# Посмотреть public key (понадобится для клиентов)
/interface/wireguard/print

# Добавить peer (удалённый клиент)
/interface/wireguard/peers/add interface=wg0 \
    public-key="CLIENT_PUBLIC_KEY_HERE" \
    allowed-address=10.10.10.2/32

# IP-адрес на WireGuard интерфейсе
/ip/address/add address=10.10.10.1/24 interface=wg0

# Firewall — разрешить WireGuard
/ip/firewall/filter/add chain=input protocol=udp dst-port=51820 action=accept \
    comment="Allow WireGuard" place-before=0
# Посмотреть подключённые USB-устройства
/system/resource/usb/print

# USB-модем (LTE) как резервный канал
/interface/lte/print

# USB-накопитель для логов и файлов
/disk/print
/system/logging/add topics=info action=disk
# Проверить, что WAN получил IP
/ip/dhcp-client/print detail

# Проверить маршрут по умолчанию
/ip/route/print where dst-address=0.0.0.0/0

# Ping наружу
/ping 1.1.1.1 count=5

# Проверить DNS
/ping google.com count=3

# Проверить NAT
/ip/firewall/nat/print stats

# Проверить загрузку CPU и RAM
/system/resource/print

# Проверить температуру (если поддерживается)
/system/health/print
# Проверить, что offload работает на bridge
/interface/bridge/port/print detail
# В колонке "hw" должно быть "yes", а "hw-offload-group" — "switch1"

# Проверить hardware offload статистику
/interface/ethernet/switch/print
# Трафик на интерфейсах в реальном времени
/interface/monitor-traffic ether1,bridge-lan

# Активные соединения (connection tracking)
/ip/firewall/connection/print count-only

# Просмотр DHCP-клиентов
/ip/dhcp-server/lease/print
/interface/bridge/port/print
# Если hw=no:
/interface/bridge/port/set [find bridge=bridge-lan] hw=yes
# Посмотреть свободное место
/system/resource/print
# Обратите внимание на "free-hdd-space"

# Удалить файлы
/file/print
/file/remove [find name~"backup"]
Обзоры железа / MikroTik hEX S — обзор бюджетного гигабитного роутера
RouterOS 7.x