Комментарии 38
Сходил по ссылке, прочитал что такое WireGuard. Думаю стоило хотя бы один абзац, про WireGuard добавить в саму статью.
Посмотрю, где можно взять коротенький бриф про WireGuard.
На форуме микротика были графики от сотрудника с загрузкой в предел канала на hAP ac2.
Кстати, если есть ссылочка на бенчмарки — было бы интересно посмотреть.
Кстати, если есть ссылочка на бенчмарки — было бы интересно посмотреть.
Ссылочка
Возможно нужна регистрация, картинку копировать не стал.
не умел работать по UDP
Wireguard не умеет в TCP by-design, плюс в ROS7 используется linux 5.6, соответственно реализация WG ядерная, а не самопал, как в случае c OpenVPN
Wireguard не умеет в TCP by-design
Это не является такой проблемой как было в случае с OpenVPN. У OpenVPN UDP — это один из вариантов конфигурации, являющийся очень популярным. MikroTik не поддерживая его становится неспособным работать с многими серверами.
«Один клиент не умеет» и «Протокол не предусматривает» — это совсем разные вещи.
Ссылочка
Возможно нужна регистрация, картинку копировать не стал.
Благодарю. Регистрация нужна, но это не страшно. Давайте я вытащу под спойлер.
Плюс ещё их проблемы со сжатием.
В этом плане у WireGuard, по идее, должна быть меньше вариативность конфигураций, а следовательно, меньше поле для косяков со стороны MikroTik. Плюс эта реализация должна базироваться по большему счёту на API ядра, что тоже должно сказаться на консистентности в положительном ключе.
А там все было просто: в тике реализация ovpn основана на коде ветки 2.2 (сейчас уже 2.4 у всех, сами понимаете), так что многие фишечки и опции просто мимо кассы, а сил, видимо, впиливать новый вариант просто нет. А может, и желания впилить, а потом поддерживать.
Это же в реализации wg волнует: сейчс поддержку сделали, а будут ли сопровождать? Хотя бы ради дыр в безопасности и полировки стабильности.
А мне еще любопытно: многие модели тика последнее время идут с аппаратной поддержкой крипто, но только для определенных задач/сценариев. IPSec — да, ovpn — ой, нет (ну это и не мудрено, чип просто не умеет такой протокол). Судя по скорости wg на графике — либо умудрились wg ускорить аппаратно, либо проца он кушает как бы не меньше, чем на роутинге и нате (во что не верю).
Но само обновление прошло и базово роутер работал.
А вообще — надо уточнять. Если нельзя обновиться до 7 версии — это очень печально.
UPD: Я обновлял 4011. Там уровень 5 из коробки.
Ни на одном из оф. ресурсов ( https://wiki.mikrotik.com/wiki/Manual:License, https://help.mikrotik.com/docs/display/ROS/RouterOS+license+keys и т.п.) такой информации нет, более того, на них явно указано «offer unlimited software upgrades»
Добавили бы softether было бы тоже за здорово.
!) added Layer3 hardware offloading support for CRS309-1G-8S+IN, CRS312-4C+8XG-RM, CRS326-24S+2Q+RM and CRS354-48G-4S+2Q+RM;
Если это так — надеюсь, это временно.
Держите в курсе если узнаете подробности.
Пиры это и есть клиенты, но подружить вин 10 клиент и mikrotik hex через wireguard у меня не получилось. Не проходят хендшейки
Единственный момент — порт можно задать только через cli, winbox не позволяет.
Ну и ещё из нужных мне вещей bgp сломали, пришлось заново настраивать после обновления с 6 версии (тоже через cli, в винбоксе раздел bgp пропал).
Впрочем, я не в претензии, бета всё-таки. Да и в итоге всё нужное заработало.
Вот те раз. А я вчера, как раз из-за него, прошил в свой микрооик openwrt.
В RouterOS 7 добавили поддержку WireGuard