Построение Full-Mesh VPN-сети с использованием fastd, tinc, VpnCloud и тестирование производительности

[Adjuster2004]

По 1 и 2 варианту не стали тестировать по TCP?

В части стран просто блокируется UDP.

[Kot1gruN]

Протестировать TCP можно было бы только у tinc, у него есть опция - TCPonly (и если один из пиров за NAT еще поможет IndirectData). fastd и vpncloud используют только UDP, увы.

[Harliff]

Подскажите, а vxlan/geneve поверх L3 - не рассматривали?

[Kotofeus]

Тот же VXVLAN вроде сам по себе не шифруется по-умолчанию?

[Kot1gruN]

Не шифруется, нужен IPSec-слой.

[Kot1gruN]

Конечно, рассматривали VxLAN и NVGRE. Мы любим VxLAN.
Планировали воспользоваться этим и этим гайдами.
Administrative effort для клиента показался выше). Им хотелось что-то простого и монолитного, поставил, добавил в бридж и забыл.
А тут надо было перейти на OVS + Strongswan, и получается по интерфейсу на каждый туннель.
Но мы готовы протестировать и сравнить OpenvSwitch, если это будет интересно.

[Desem]

ха ха, в век микросервисов, простого и монолитного. :-)

[juffinhalli]

Имхо нужны очень веские причины чтобы растягивать L2 на два датацентра. Проблемы с каналом связи между ними могут сильно аффектить работу сетевых приложений не рассчитанных на высокий latency (mongodb например).

[edo1h]

не вижу пинга через tinc

и интересно было бы протестировать ещё rtt через tcp, пример команды для sockperf:

sockperf pp -i SERVER_IP --tcp -m 4096

[Kot1gruN]

Стенд "разобрали", но можно создать заново и получить результаты sockperf.
По tinc - спасибо за внимательность, поправим.