Как стать автором
Обновить

Комментарии 15

Стоит указать, что chr требует лицензию. И она вполне платная. Иначе полоса 1мбит, что в production неприемлемо. Можно сделать триал и постоянно его обновлять, но это остаётся на совести пользователя chr (админа)

Да chr платная, но если настраивать такую систему, то вполне можно и приобрести лицензию, когда такой вариант оказывается работоспособным.
Зачем лишний L2TP, чем просто IPsec не угодил?
L2TP — протокол для поддержки VPN, IPsec — набор протоколов для обеспечения защиты данных, т.е. обеспечивает шифрование данных. L2TP шифрование не обеспечивает. Он только создает vpn подключение.
Если Вам не надо Layer 2 в сетях VPN не вижу смысла использовать L2TP.
Возможно, но данная связка была выбрана из-за возможности шифрования трафика и данная связка поддерживается всеми операционными системами. И является одной из наиболее защищенной.
L2TP действительно поддерживается большинством ОС из коробки, поэтому для подключения клиентов к серверу (или сети) можно считать его стандартом де-факто.
Лучше ValdikSS сказать все равно не получится:
«До Windows 7 в Windows была поддержка IPsec только в транспортном режиме, только с PSK, и ее нужно было настраивать вручную через правила файрволла. Поэтому и использовали L2TP для аутентификации и установления L2-туннеля, а IPsec — для шифрования L2TP-туннеля.

В наше время, когда поддержка IKEv2 или хотя бы IKEv1 есть везде, L2TP нужен только в том случае, если вам нужна L2-связность, т.е. нужно, чтобы в сети можно было передавать broadcast, multicast трафик. Обычно нужна только L3-связность, поэтому L2TP использовать нецелесообразно — он повышает накладные расходы на инкапсуляцию, что сказывается на размере пакета и „
habr.com/post/250859/#comment_9763974
IPSec вполне годится для связывания сетей и соединения клиент-сервер, без L2TP/PPTP.
только если у клиента и сервера белый статический ip.
В остальных случаях ipsec надо пропускать через тунель.
Спорить категорически не буду (это попросту неинтересно). Могу напомнить только то, что существует IPSec NAT Traversal (NAT-T).
Есть ли поддержка данной технологии у mikrotik?
Судя по наличию опции в GUI — да. Но это неточно.
а как Вы будете подключать узлы, у которых нет белого ip?

Как практика показала, L2TP самый быстрый протокол на mikrotik.
SSH block list

Не вижу смысла в этой технологии: грузит фаервол, забивает адрес-лист и т.д.

Я предлагаю использовать что-то вроде Port-knocking: Отправили пинг с правильным размером пакета на микротик — Ваш ip добавился в белый.

Подробности описывал у себя в статье: habr.com/post/359038

А в целом Микротик хорошо сделал, что выпустил CHR. У меня у самого такой в VPS стоит и объединяет сети. 250 рублей в месяц в который так же входит ipv6 /64 блок от жадности РКН. Так же при необходимости туда же можно подцепить ещё сеть /48 от российского туннельного брокера.
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Публикации

Истории