Comments 31
Мне кажется, сюда надо пригласить сотрудника yandex'а, т.к. они в последнее время проявляют большой интерес к устройствам Mikrotik.
Если б еще у микротов openvpn был не покоцаный - цены б ему не было... Хотя если изначально строить сеть, ориентируясь на микротик, а не встраивать его в уже существующие сети - то это не так критично, наверное.
Речь идёт не о VPN для связи площадок через Интернет, а для удалённого доступа пользователей.
Кстати, о таком применении VPN на микротах что-то планируется рассказать? Чтоб на всяких линкусах/фрибздях/виндах/андроидах работало удалённое подключение к офисной сети, да еще и с натами при этом дружило.
Следующая статья будет как раз посторонние vpn и мы соединим сети, как единое целое. Если будет запрос могу написать статью как поднять тоже самое но на openvpn. Также в данной статье написан как раз обход нат за счёт сервера в облаке
Нюанс с NAT связан с тем, что некоторые VPN (типа того же ipsec) могут иметь с ним проблемы в ряде случаев (происки РКН не рассматриваем, обычные ситуации), и даже сервер в облаке не всегда поможет, если "ломает" что-то, расположенное ближе к клиенту.
Да конкретно OpenVPN понятен, но насколько я помню (может что за пару лет изменилось), в микротике его фичи достаточно порезаны. Но OpenVPN хорош тем, что работает почти под всеми актуальными клиентскими осями.
Как говорится - если не OpenVPN, то что тогда лучше использовать вместо него для данной цели (не связь площадок, а именно для пользовательских устройств), если мы строим сеть на микротах?
Мне кажется за wireguard будущее. Как он легко настраивается, меня это сразу поразило, буквально в 2 команды. И мне кажется на нем тоже можно строить и связь клиентов. Надо проверять.
IPSec хорош тем, что он есть во всех худо-бедно современных осях из коробки (а значит, в том числе рулится политиками), а всё остальное - это надо прикручивать саморезами…
OpenVPN в RouterOS7 будет/есть полноценный, заодно ещё какой-то проприоритарный протокол добавили.
Вопрос к автору - а почему не использовался CHR? Из соображений цены лицензии, или ещё почему-то?
До того как Вы не сказали про CHR, я даже и не слышал. Мое упущение. Может быть и рассмотрю сделать на нем. Ну а так, просто хотелось пощупать WireGueard и была возможность это сделать в EVE-NG. Спасибо за подсказку.
Простите, не понял вопроса. Вы имеете ввиду, что как будто бы нельзя загрузить кастомный образ для использования его в EVE-NG. Это можно. Если про CHR - то вот это я Вам, к сожалению не подскажу, пока что сам не разбирался.
Использую CHR в Google Cloud Platform (оплата только по превышению лимита трафика, уже 2.5 года) и в Oracle (полностью бесплатно, уже 0.5 года). Никаких проблем с созданием данных виртуальных машин не было.
В микротик завезли поддержку докера, так что теперь и опенвпн нормальный, и plex и самба ядреная и что угодно.
А можно сюда добавить тест скорости работы? Меня интересует какую максимум скорость можно получить без аппаратного ускорения. Если кто-то тестировал скорости wireguard на микротиках напишите что у вас получилось.
Просто я делал в лаборатории (eve-ng) и мне кажется тест будет не корректный. Но везде пишут, что типа скорости намного быстрее openvpn.
Добавлю в защиту IPSEC - на некоторых, в том числе не очень дорогих микротиках он аппаратный => он будет быстрее всего.
а если сравнить IPSEC и Wireguard на микротике без аппаратного ускорения? Какая будет скорость у Wireguard? Допустим у меня на IPSEC без аппаратного ускорения скорость не выше 30 Мбит/сек.
На практике нет, не быстрее.
WireGuard выдает скорости куда больше.
Точных цифр сейчас не назову, тестировал на днях.
Gre+IPsec Москва-Эстония = 30-40 Mbit/s up/down
WireGuard Москва-Эстония = 100+ Mbit/s up/down
L2tp+mmpe128 Москва-Эстония = кажется что то в районе 80+ Mbit/s u/d, но могу ошибаться, может и быстрее было.
L2tp без шифрования Москва-Эстония = 150+ Mbit/s
Gre без шифрования Москва-Эстония = 150+ Mbit/s
какие аппаратные платформы ?
Hap ac2 и chr
для защиты передаваемых данных обязательно использовать IPsec. Что касается оборудования, то предпочтительно использовать роутеры с аппаратной поддержкой шифрования - hEX, RB3011/4011 и все остальные модели на базе процессоров ARM. В этом случае вполне достижима пропускная способность туннеля на уровне 300-400 МБит/с. На остальных моделях роутеров (MIPSBE, SMIPS) вы получите не более 30-40 МБит/с. (с)
Gre+IPsec Москва-Эстония = 30-40 Mbit/s up/down
Это с включением аппаратного шифрования? тогда что-то мало. Если без включения, то смысл?
На сколько я знаю, аппаратное шифрование работает там, где оно приминимо, и его нельзя выключить. По крайней мере я никогда не задавался целью отключения )
Gre вообще нестабильная штука, мы его особо не используем. Почему в моем кейсе маленькая скорость - да черт его знает, по идее должен выдавать побольше.
Самое адекватное что есть - l2tp+IPsec, там и статус виден и скорость более менее приличная. Скорость зависит от модели роутера, см. тесты IPsec у конкретной модели.
В дальнейшем наверное перейду на WireGuard. А пока довольствуюсь l2tp с дефолтным mppe128, мне для открытия сайтиков достаточно, да и в целом мне кажется этого выши крыши. Если у вас не Супер Энтерпрайз, который гоняет по туннелям какие-то нешифрованные данные, тогда да, IPsec или что то получше чем mppe128 обязателен, в остальных случаях - кто будет ловить и дешифровать твои данные? )
Выключить нельзя, но можно выставить параметры ipsec, которые не поддерживаются при аппаратном шифровании.
Зайди в winbox в ipseс installed SA, открой любой, там написано hardware AEAD. Написано обычным шрифтом или бледным? если бледным, то ускорение выключено.
Ну у меня gre работает без нареканий.
у меня тоже hap ac2. я посмотрел что gre+ipsec тянет больше 100мбит и успокоился т.к. канал у меня 100мбит. Сам скорость не проверял.
Ну у меня конечно не супер энтерпрайз, но почему бы не сделать как надо сразу?
WireGuard вроде хорош, но он пока только в бета версии прошивки микротика. И всё равно медленнее ipsec.
MikroTik: L2VPN = EoIP + WireGuard (часть 1)