Mike33 Posted October 30, 2015 · Report post Подскажите какие варианты роутеров будут адекватны для построения VPN-сети на 5 клиентов (скорость каналов 100 МБит)? И какой тип VPN лучше выбрать? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Mindaugas Posted October 31, 2015 · Report post ppptp, RB2011 mikrotik Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Mike33 Posted November 1, 2015 · Report post ppptp Именно ppptp? А то я пока ставил ppptp на последнем месте после l2tp+ipsec. RB2011 Подскажите, чем RB2011 (600 MHz/64 MB) будет лучше, например, hEX lite (850 MHz/64 MB) или RB951Ui-2HnD (600 MHz/128 MB) ??? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
divxl Posted November 1, 2015 (edited) · Report post Подскажите, чем RB2011 (600 MHz/64 MB) будет лучше, например, hEX lite (850 MHz/64 MB) или RB951Ui-2HnD (600 MHz/128 MB) ??? Судя по табличкам с routerboard.com, нужно брать HEX. Mode Configuration 1518 byte 512 byte 64 byte kpps Mbps kpps Mbps kpps Mbps Routing 25 ip filter rules 81.2 986.1 81.2 332.6 78.9 40.4 Хотя в Bridge у 2011 лучший результат Bridging none (fast path) 122.0 1,481.6 232.0 950.3 269.6 138.0 Почему так? Edited November 1, 2015 by divxl Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SOs Posted November 2, 2015 · Report post 100Мб/с на RB2011/hEX lite/RB951Ui-2HnD?? Не маловато? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted November 2, 2015 · Report post Именно ppptp? А то я пока ставил ppptp на последнем месте после l2tp+ipsec. L2TP без всякого IPSEC, или вам будет достаточно 30-40 мегабит максимального трафика? Шифрование все же=) Подскажите, чем RB2011 (600 MHz/64 MB) будет лучше, например, hEX lite (850 MHz/64 MB) или RB951Ui-2HnD (600 MHz/128 MB) ??? Берите последний вариант, если вам не требуется много портов, но очень нравится свободное время проводить в дали от компьютерной техники. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Mike33 Posted November 3, 2015 · Report post L2TP без всякого IPSEC, или вам будет достаточно 30-40 мегабит максимального трафика? Шифрование все же=) Подождите, так вы мне предлагаете сделать впн без шифрования? Мне кажется однозначно надо шифровать трафик... Подскажите, чем RB2011 (600 MHz/64 MB) будет лучше, например, hEX lite (850 MHz/64 MB) или RB951Ui-2HnD (600 MHz/128 MB) ??? Берите последний вариант, если вам не требуется много портов, но очень нравится свободное время проводить в дали от компьютерной техники. Вы имеете ввиду RB951Ui-2HnD? Я вот тут табличку сделал: наим. CPU CPU freq. CPU #core RAM CPU arch. test 1518 byte - kpps 1518 byte - Mbps 512 byte - kpps 512 byte - Mbps 64 byte - kpps 64 byte - Mbps ----------------------- -------------- --------- ---------- ---- ---------- ----------------------------- ----------------- ----------------- ---------------- ---------------- --------------- -------------- RB850Gx2 P1023NSN5CFB 533 2 512 PowerPC Routing 25 ip filter rules 114,80 1394,10 119,20 488,20 120,30 61,60 hEX (RB750Gr2) QCA9556 720 1 64 Routing 25 ip filter rules 81,20 986,10 81,20 332,60 78,90 40,40 RB951G-2HnD AR9344-DC3A 600 1 128 Routing 25 ip filter rules 56,80 689,80 59,60 244,10 60,50 31,00 RB951Ui-2HnD AR9344-DC3A 600 1 128 Routing 25 ip filter rules 40,00 485,80 59,60 244,10 60,50 31,00 hEX lite (RB750r2) QCA9531-BL3A-R 850 1 64 MIPS-BE Routing 25 ip filter rules 40,60 493,00 52,00 213,00 52,70 27,00 PowerBox (RB750P-PBr2) QCA9531-BL3A-R 650 1 64 Routing 25 ip filter rules 40,60 493,00 42,20 172,80 43,20 22,10 hAP (RB951Ui-2nD) QCA9531 650 1 64 Routing 25 ip filter rules 40,60 493,00 42,20 172,80 43,20 22,10 Похоже, что в центр RB850Gx2, а клиентов на hEX ??? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
divxl Posted November 3, 2015 · Report post Должна выйти 2013 серия, только вот кто знает когда? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted November 3, 2015 · Report post Подождите, так вы мне предлагаете сделать впн без шифрования? Мне кажется однозначно надо шифровать трафик... Да, без шифрования. Т.к. шифрование не несет никакой практической цели, все приложения, которые передают важные данные, сами их шифруют. Если хотите шифровать, то в центр сразу ставьте CCR1036, а в офисы по CCR1009 как минимум. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Mike33 Posted November 9, 2015 · Report post Подождите, так вы мне предлагаете сделать впн без шифрования? Мне кажется однозначно надо шифровать трафик... Да, без шифрования. Т.к. шифрование не несет никакой практической цели, все приложения, которые передают важные данные, сами их шифруют. Если хотите шифровать, то в центр сразу ставьте CCR1036, а в офисы по CCR1009 как минимум. А L2TP контролирует целостность передаваемых пакетов? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted November 9, 2015 · Report post А L2TP контролирует целостность передаваемых пакетов? А при чем тут IPSEC? Есть туннели по UDP, такие как PPTP, L2TP, они ничего не контролируют. Есть туннели OVPN по TCP и SSTP через SSL, они контролируют, из-за этого при передачи данных увеличивается задержка, на плохих каналах порой значительно. Поэтому если вам нужно шифрование и гарантированная доставка, то нужно использовать SSTP, но он, из-за шифрования, занимает больше ресурсов процессора. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
divxl Posted November 10, 2015 · Report post Начали задумывать о замене Rb 2011, т.к. CPU уже загружается до 70%. Вопрос на что? Если попробовать Mikrotik RB850Gx2, насколько увеличится производительность ? Или уже сразу смотреть в сторону: Mikrotik CCR1009-8G-1S ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted November 10, 2015 · Report post Конечно в сторону CCR, т.к. разница в производительности между 2011 и 850 примерно раза в 3 всего. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Mike33 Posted December 1, 2015 · Report post Подскажите пожалуйста какая принципиальная разница между vpn через IPsec и L2TP/IPsec ??? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted December 1, 2015 · Report post Подскажите пожалуйста какая принципиальная разница между vpn через IPsec и L2TP/IPsec ??? Разницы нет, в любом случае IPSec устаревшая технология и ее не следует использовать. Если вам нужен доступ с шифрованием, используйте SSTP, он использует SSL и для провайдеров виден как обычный WEB трафик, с ним нет проблем, когда у операторов блокируются впн и т.п. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Mike33 Posted December 2, 2015 · Report post Разницы нет, в любом случае IPSec устаревшая технология и ее не следует использовать. Если вам нужен доступ с шифрованием, используйте SSTP, он использует SSL и для провайдеров виден как обычный WEB трафик, с ним нет проблем, когда у операторов блокируются впн и т.п. Просто вот тут - http://rickfreyconsulting.com/mikrotik-vpns/ IPSec получается самым выгодным в плане производительности. Подскажите пожалуйста, из-за чего IPSec считается устаревшим? Вроде бы давно известный стандарт.... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Night_Snake Posted December 2, 2015 · Report post Подскажите пожалуйста, из-за чего IPSec считается устаревшим? Вроде бы давно известный стандарт.... Он считается устаревшим только в мозгу Saab'a, потому что в микротике он работает через жопу. Подскажите пожалуйста какая принципиальная разница между vpn через IPsec и L2TP/IPsec ??? В первом случае у вас подключение site-to-site (как правило), причем клиентская сторона в явном виде должна уметь в IPSec и могут возникнуть проблемы с NAT. L2TP/IPSec это клиент-серверная технология, ее умеют все - от андроида до винды и мака встроенными средствами. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ocean07 Posted December 2, 2015 (edited) · Report post ...IPSec устаревшая технология и ее не следует использовать. Как-то вы радикальны... а что замена? Вы предлогаете SSTP но он over TCP, а как быть с VoIP, видео (трафиком реального времени) ? Edited December 2, 2015 by Ocean07 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Mike33 Posted December 2, 2015 · Report post Он считается устаревшим только в мозгу Saab'a, потому что в микротике он работает через жопу. А какие конкретно у микрота бывают проблемы? В первом случае у вас подключение site-to-site (как правило), причем клиентская сторона в явном виде должна уметь в IPSec и могут возникнуть проблемы с NAT. L2TP/IPSec это клиент-серверная технология, ее умеют все - от андроида до винды и мака встроенными средствами. На обоих концах будут микроты, поэтому у меня задача выбрать тот тип VPN, который наиболее адекватно работает на микротах. Как-то вы радикальны... а что замена? Вы предлогаете SSTP но он over TCP, а как быть с VoIP, видео (трафиком реального времени) ? ...а у меня как раз будет в числе прочего работать RDP. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted December 2, 2015 · Report post Подскажите пожалуйста, из-за чего IPSec считается устаревшим? Вроде бы давно известный стандарт.... Вот потому что давно известный стандарт он и устаревший. Как-то вы радикальны... а что замена? Вы предлогаете SSTP но он over TCP, а как быть с VoIP, видео (трафиком реального времени) ? А замена, как написал предыдущий оратор - в мозгу. Нужно решить что за трафик передается, нужно ли ему шифрование, и какая требуется пропускная способность. Были случаи, когда в ТЗ указывалось, что нужно передавать 500 мегабит трафика с шифрованием и т.п., после выкатывания стоимости парочки CCR1036 спрашивали, а нельзя ли подешевле=) На обоих концах будут микроты, поэтому у меня задача выбрать тот тип VPN, который наиболее адекватно работает на микротах. ...а у меня как раз будет в числе прочего работать RDP. Вам нужно определить задачу, какие данные требуют защиты, и какие данные не требуют. Т.к. при работе с шифрованием, железка вида RB750 пропустит порядка 20мбит трафика, а без шифрования 100 дуплексом, то есть в порт ограничится. При этом SSTP, хоть он и работает через TCP и имеет более высокую задержку из-за подтверждений, как раз оптимален для связи между микротиками. Если представить реальную модель реально рабочей сети, то обычно в центре используется несколько устройств, каждый для своих нужд, например: 1. Микротик для телефонии - на него устанавливаются либо туннели без шифрования, либо с шифрования, в зависимости от важности разговоров. 2. Микротик для интернета - на него обычно идут туннели без шифрования, т.к. данные могут быть перехвачены уже после центрального оборудования, а само шифрование только удорожает стоимость оборудования в офисах. 3. Микротик для доступа к локальной сети - на него обычно идет туннель с шифрованием. Поэтому в такой схеме каждый офис поднимает 3 туннеля разных типов, и часть трафика идет с шифрованием, часть без него. Выбирается по какому и кому идти с помощью OSPF. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Night_Snake Posted December 3, 2015 · Report post Вот потому что давно известный стандарт он и устаревший. Т.е. ethernet это вообще гавно мамонта получается и его надо выбросить? А чо, протокол-то давно известный, а, значит, устаревший... Если представить реальную модель реально рабочей сети, то обычно в центре используется несколько устройств, каждый для своих нужд, например Больше микротиков богу микротиков! А какие конкретно у микрота бывают проблемы? Как правило, проблемы бывают с cisco/juniper/другими вендорами из-за разных взглядов на реализацию протоколов. Свяка микрот-микрот работает вполне устойчиво (главное чтобы версии были плюс-минус одинаковые) а обоих концах будут микроты, поэтому у меня задача выбрать тот тип VPN, который наиболее адекватно работает на микротах. В случае static ip с обеих сторон - site2site ipsec. Если где-то есть динамика - l2tp/ipsec. Нужно просто определиться, какая пропускная способность вам нужна и от нее плясать, с поправкой на бюджет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Mike33 Posted December 3, 2015 (edited) · Report post Как правило, проблемы бывают с cisco/juniper/другими вендорами из-за разных взглядов на реализацию протоколов. Свяка микрот-микрот работает вполне устойчиво (главное чтобы версии были плюс-минус одинаковые) В случае static ip с обеих сторон - site2site ipsec. Если где-то есть динамика - l2tp/ipsec. Нужно просто определиться, какая пропускная способность вам нужна и от нее плясать, с поправкой на бюджет. Спасибо!!! Тогда останавливаюсь на чисто Ipsec (уже разобрался как сделать site-to-multi-site vpn, и на шифровании AES задействуется аппаратная акселерация - я уже проверил на RB850Gx2). К тому же, забавно, но на IPSec оказывается достаточно просто реализуется схема впн - многие-ко-многим. Edited December 3, 2015 by Mike33 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
aytishnikcom Posted December 3, 2015 (edited) · Report post Намного лучше для VPN-сетей по производительности, возможностям настройки и цене, лучший пока Ubiquiti EdgeRouter Lite Можете купить с двухъядерным процессором, без (аппаратного ускорения) потдержки железа VPN и маршрутизации Ubiquiti EdgeRouter X Они лучше по производительности микротиков и настройкам. Edited December 3, 2015 by aytishnikcom Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted December 3, 2015 · Report post Они лучше по производительности микротиков и настройкам. По возможностям тоже лучше? Расскажите, как на убнт OSPF включается? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Mike33 Posted December 3, 2015 · Report post Намного лучше для VPN-сетей по производительности, возможностям настройки и цене, лучший пока Ubiquiti EdgeRouter Lite Можете купить с двухъядерным процессором, без (аппаратного ускорения) потдержки железа VPN и маршрутизации Ubiquiti EdgeRouter X Они лучше по производительности микротиков и настройкам. Спасибо! Буду иметь ввиду, но на данный момент микроты уже закуплены. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...