Pull to refresh

Comments 31

Мне кажется, сюда надо пригласить сотрудника yandex'а, т.к. они в последнее время проявляют большой интерес к устройствам Mikrotik.

Если микротик будет доставлять и дальше столько клиентских запросов как доставлял недавно, то да, купить микротик, чтобы починить кое-что, может быть не самым дорогим вариантом.

Если б еще у микротов openvpn был не покоцаный - цены б ему не было... Хотя если изначально строить сеть, ориентируясь на микротик, а не встраивать его в уже существующие сети - то это не так критично, наверное.

Речь идёт не о VPN для связи площадок через Интернет, а для удалённого доступа пользователей.

Кстати, о таком применении VPN на микротах что-то планируется рассказать? Чтоб на всяких линкусах/фрибздях/виндах/андроидах работало удалённое подключение к офисной сети, да еще и с натами при этом дружило.

Следующая статья будет как раз посторонние vpn и мы соединим сети, как единое целое. Если будет запрос могу написать статью как поднять тоже самое но на openvpn. Также в данной статье написан как раз обход нат за счёт сервера в облаке

Нюанс с NAT связан с тем, что некоторые VPN (типа того же ipsec) могут иметь с ним проблемы в ряде случаев (происки РКН не рассматриваем, обычные ситуации), и даже сервер в облаке не всегда поможет, если "ломает" что-то, расположенное ближе к клиенту.

Да конкретно OpenVPN понятен, но насколько я помню (может что за пару лет изменилось), в микротике его фичи достаточно порезаны. Но OpenVPN хорош тем, что работает почти под всеми актуальными клиентскими осями.

Как говорится - если не OpenVPN, то что тогда лучше использовать вместо него для данной цели (не связь площадок, а именно для пользовательских устройств), если мы строим сеть на микротах?

В mikrotik'е из всего шифрованного лучше всего ikev2. OpenVPN обрезанный и медленный, WireGuard в бета-прошивке, остальное можно вообще не вспоминать.

Также в 7 версии добавили для openvpn выбор udp порта. По идее должно быстрее работать.

Там не только в tcp проблема. На мелких/домашних микротиках оно упирается в cpu, т.к. нет аппаратного шифрования. У меня получалось макс 20mpbs выжать при 100% CPU на hAP ac2. При этом ikev2 там нормально работает на 80mbps, при загрузке 20%.

Ну почему, к sstp клиенты на винде очень даже хорошо нативно подключаются, и сам сервер очень быстро поднимается при наличии сертификата. По скорости - да, аппаратно шифруется только IpSec, так что...

Мне кажется за wireguard будущее. Как он легко настраивается, меня это сразу поразило, буквально в 2 команды. И мне кажется на нем тоже можно строить и связь клиентов. Надо проверять.

IPSec хорош тем, что он есть во всех худо-бедно современных осях из коробки (а значит, в том числе рулится политиками), а всё остальное - это надо прикручивать саморезами…

OpenVPN в RouterOS7 будет/есть полноценный, заодно ещё какой-то проприоритарный протокол добавили.

Вопрос к автору - а почему не использовался CHR? Из соображений цены лицензии, или ещё почему-то?

До того как Вы не сказали про CHR, я даже и не слышал. Мое упущение. Может быть и рассмотрю сделать на нем. Ну а так, просто хотелось пощупать WireGueard и была возможность это сделать в EVE-NG. Спасибо за подсказку.

А как это использовать, если хостеры обычно не дают возможность загрузки кастомных образов?

Простите, не понял вопроса. Вы имеете ввиду, что как будто бы нельзя загрузить кастомный образ для использования его в EVE-NG. Это можно. Если про CHR - то вот это я Вам, к сожалению не подскажу, пока что сам не разбирался.

CHR на EVE-NG - можно, есть инструкции в интернетах.

У меня все заработало на термоядерной связке Windows 10 + VmWare Workstation Pro + EVE-NG(VM) + вложенная виртуализация в виде CHR на EVE-NG

В общем, нет ничего невозможного )

Использую CHR в Google Cloud Platform (оплата только по превышению лимита трафика, уже 2.5 года) и в Oracle (полностью бесплатно, уже 0.5 года). Никаких проблем с созданием данных виртуальных машин не было.

В микротик завезли поддержку докера, так что теперь и опенвпн нормальный, и plex и самба ядреная и что угодно.

А аппаратную поддержку шифрования тоже завезли?

А можно сюда добавить тест скорости работы? Меня интересует какую максимум скорость можно получить без аппаратного ускорения. Если кто-то тестировал скорости wireguard на микротиках напишите что у вас получилось.

Просто я делал в лаборатории (eve-ng) и мне кажется тест будет не корректный. Но везде пишут, что типа скорости намного быстрее openvpn.

Добавлю в защиту IPSEC - на некоторых, в том числе не очень дорогих микротиках он аппаратный => он будет быстрее всего.

а если сравнить IPSEC и Wireguard на микротике без аппаратного ускорения? Какая будет скорость у Wireguard? Допустим у меня на IPSEC без аппаратного ускорения скорость не выше 30 Мбит/сек.

На практике нет, не быстрее.

WireGuard выдает скорости куда больше.

Точных цифр сейчас не назову, тестировал на днях.

Gre+IPsec Москва-Эстония = 30-40 Mbit/s up/down

WireGuard Москва-Эстония = 100+ Mbit/s up/down

L2tp+mmpe128 Москва-Эстония = кажется что то в районе 80+ Mbit/s u/d, но могу ошибаться, может и быстрее было.

L2tp без шифрования Москва-Эстония = 150+ Mbit/s

Gre без шифрования Москва-Эстония = 150+ Mbit/s

какие аппаратные платформы ?

для защиты передаваемых данных обязательно использовать IPsec. Что касается оборудования, то предпочтительно использовать роутеры с аппаратной поддержкой шифрования - hEX, RB3011/4011 и все остальные модели на базе процессоров ARM. В этом случае вполне достижима пропускная способность туннеля на уровне 300-400 МБит/с. На остальных моделях роутеров (MIPSBE, SMIPS) вы получите не более 30-40 МБит/с.  (с)

Gre+IPsec Москва-Эстония = 30-40 Mbit/s up/down

Это с включением аппаратного шифрования? тогда что-то мало. Если без включения, то смысл?

На сколько я знаю, аппаратное шифрование работает там, где оно приминимо, и его нельзя выключить. По крайней мере я никогда не задавался целью отключения )

Gre вообще нестабильная штука, мы его особо не используем. Почему в моем кейсе маленькая скорость - да черт его знает, по идее должен выдавать побольше.

Самое адекватное что есть - l2tp+IPsec, там и статус виден и скорость более менее приличная. Скорость зависит от модели роутера, см. тесты IPsec у конкретной модели.

В дальнейшем наверное перейду на WireGuard. А пока довольствуюсь l2tp с дефолтным mppe128, мне для открытия сайтиков достаточно, да и в целом мне кажется этого выши крыши. Если у вас не Супер Энтерпрайз, который гоняет по туннелям какие-то нешифрованные данные, тогда да, IPsec или что то получше чем mppe128 обязателен, в остальных случаях - кто будет ловить и дешифровать твои данные? )

Выключить нельзя, но можно выставить параметры ipsec, которые не поддерживаются при аппаратном шифровании.
Зайди в winbox в ipseс installed SA, открой любой, там написано hardware AEAD. Написано обычным шрифтом или бледным? если бледным, то ускорение выключено.
Ну у меня gre работает без нареканий.
у меня тоже hap ac2. я посмотрел что gre+ipsec тянет больше 100мбит и успокоился т.к. канал у меня 100мбит. Сам скорость не проверял.

Ну у меня конечно не супер энтерпрайз, но почему бы не сделать как надо сразу?
WireGuard вроде хорош, но он пока только в бета версии прошивки микротика. И всё равно медленнее ipsec.

Only those users with full accounts are able to leave comments. Log in, please.