Перейти к содержимому
Калькуляторы

Выбор роутеров для VPN

Подскажите какие варианты роутеров будут адекватны для построения VPN-сети на 5 клиентов (скорость каналов 100 МБит)?

И какой тип VPN лучше выбрать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ppptp

Именно ppptp? А то я пока ставил ppptp на последнем месте после l2tp+ipsec.

 

RB2011

Подскажите, чем RB2011 (600 MHz/64 MB) будет лучше, например, hEX lite (850 MHz/64 MB) или RB951Ui-2HnD (600 MHz/128 MB) ???

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Подскажите, чем RB2011 (600 MHz/64 MB) будет лучше, например, hEX lite (850 MHz/64 MB) или RB951Ui-2HnD (600 MHz/128 MB) ???

Судя по табличкам с routerboard.com, нужно брать HEX.

Mode	Configuration	1518 byte	512 byte	64 byte
kpps	Mbps	kpps	Mbps	kpps	Mbps
Routing	25 ip filter rules	81.2	986.1	81.2	332.6	78.9	40.4

 

Хотя в Bridge у 2011 лучший результат

Bridging	none (fast path)	122.0	1,481.6	232.0	950.3	269.6	138.0

 

Почему так?

Изменено пользователем divxl

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

100Мб/с на RB2011/hEX lite/RB951Ui-2HnD?? Не маловато?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Именно ppptp? А то я пока ставил ppptp на последнем месте после l2tp+ipsec.

 

L2TP без всякого IPSEC, или вам будет достаточно 30-40 мегабит максимального трафика? Шифрование все же=)

 

Подскажите, чем RB2011 (600 MHz/64 MB) будет лучше, например, hEX lite (850 MHz/64 MB) или RB951Ui-2HnD (600 MHz/128 MB) ???

 

Берите последний вариант, если вам не требуется много портов, но очень нравится свободное время проводить в дали от компьютерной техники.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

L2TP без всякого IPSEC, или вам будет достаточно 30-40 мегабит максимального трафика? Шифрование все же=)

Подождите, так вы мне предлагаете сделать впн без шифрования? Мне кажется однозначно надо шифровать трафик...

 

 

Подскажите, чем RB2011 (600 MHz/64 MB) будет лучше, например, hEX lite (850 MHz/64 MB) или RB951Ui-2HnD (600 MHz/128 MB) ???

Берите последний вариант, если вам не требуется много портов, но очень нравится свободное время проводить в дали от компьютерной техники.

Вы имеете ввиду RB951Ui-2HnD?

 

Я вот тут табличку сделал:

наим.                    CPU             CPU freq.  CPU #core   RAM   CPU arch.   test                           1518 byte - kpps   1518 byte - Mbps   512 byte - kpps   512 byte - Mbps   64 byte - kpps   64 byte - Mbps
-----------------------  --------------  ---------  ----------  ----  ----------  -----------------------------  -----------------  -----------------  ----------------  ----------------  ---------------  --------------
RB850Gx2                 P1023NSN5CFB    533        2           512   PowerPC     Routing  25 ip filter rules    114,80             1394,10            119,20            488,20            120,30           61,60
hEX (RB750Gr2)           QCA9556         720        1           64                Routing  25 ip filter rules     81,20              986,10             81,20            332,60             78,90           40,40
RB951G-2HnD              AR9344-DC3A     600        1           128               Routing  25 ip filter rules     56,80              689,80             59,60            244,10             60,50           31,00
RB951Ui-2HnD             AR9344-DC3A     600        1           128               Routing  25 ip filter rules     40,00              485,80             59,60            244,10             60,50           31,00
hEX lite (RB750r2)       QCA9531-BL3A-R  850        1           64    MIPS-BE     Routing  25 ip filter rules     40,60              493,00             52,00            213,00             52,70           27,00
PowerBox (RB750P-PBr2)   QCA9531-BL3A-R  650        1           64                Routing  25 ip filter rules     40,60              493,00             42,20            172,80             43,20           22,10
hAP (RB951Ui-2nD)        QCA9531         650        1           64                Routing  25 ip filter rules     40,60              493,00             42,20            172,80             43,20           22,10

 

Похоже, что в центр RB850Gx2, а клиентов на hEX ???

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Должна выйти 2013 серия, только вот кто знает когда?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Подождите, так вы мне предлагаете сделать впн без шифрования? Мне кажется однозначно надо шифровать трафик...

 

Да, без шифрования. Т.к. шифрование не несет никакой практической цели, все приложения, которые передают важные данные, сами их шифруют.

Если хотите шифровать, то в центр сразу ставьте CCR1036, а в офисы по CCR1009 как минимум.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Подождите, так вы мне предлагаете сделать впн без шифрования? Мне кажется однозначно надо шифровать трафик...

 

Да, без шифрования. Т.к. шифрование не несет никакой практической цели, все приложения, которые передают важные данные, сами их шифруют.

Если хотите шифровать, то в центр сразу ставьте CCR1036, а в офисы по CCR1009 как минимум.

 

А L2TP контролирует целостность передаваемых пакетов?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А L2TP контролирует целостность передаваемых пакетов?

 

А при чем тут IPSEC?

 

Есть туннели по UDP, такие как PPTP, L2TP, они ничего не контролируют. Есть туннели OVPN по TCP и SSTP через SSL, они контролируют, из-за этого при передачи данных увеличивается задержка, на плохих каналах порой значительно.

Поэтому если вам нужно шифрование и гарантированная доставка, то нужно использовать SSTP, но он, из-за шифрования, занимает больше ресурсов процессора.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Начали задумывать о замене Rb 2011, т.к. CPU уже загружается до 70%.

 

Вопрос на что?

 

Если попробовать Mikrotik RB850Gx2, насколько увеличится производительность ?

 

Или уже сразу смотреть в сторону: Mikrotik CCR1009-8G-1S ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Конечно в сторону CCR, т.к. разница в производительности между 2011 и 850 примерно раза в 3 всего.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Подскажите пожалуйста какая принципиальная разница между vpn через IPsec и L2TP/IPsec ???

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Подскажите пожалуйста какая принципиальная разница между vpn через IPsec и L2TP/IPsec ???

 

Разницы нет, в любом случае IPSec устаревшая технология и ее не следует использовать. Если вам нужен доступ с шифрованием, используйте SSTP, он использует SSL и для провайдеров виден как обычный WEB трафик, с ним нет проблем, когда у операторов блокируются впн и т.п.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Разницы нет, в любом случае IPSec устаревшая технология и ее не следует использовать. Если вам нужен доступ с шифрованием, используйте SSTP, он использует SSL и для провайдеров виден как обычный WEB трафик, с ним нет проблем, когда у операторов блокируются впн и т.п.

Просто вот тут - http://rickfreyconsulting.com/mikrotik-vpns/ IPSec получается самым выгодным в плане производительности.

 

Подскажите пожалуйста, из-за чего IPSec считается устаревшим? Вроде бы давно известный стандарт....

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Подскажите пожалуйста, из-за чего IPSec считается устаревшим? Вроде бы давно известный стандарт....

Он считается устаревшим только в мозгу Saab'a, потому что в микротике он работает через жопу.

 

Подскажите пожалуйста какая принципиальная разница между vpn через IPsec и L2TP/IPsec ???

В первом случае у вас подключение site-to-site (как правило), причем клиентская сторона в явном виде должна уметь в IPSec и могут возникнуть проблемы с NAT.

L2TP/IPSec это клиент-серверная технология, ее умеют все - от андроида до винды и мака встроенными средствами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

...IPSec устаревшая технология и ее не следует использовать.

 

Как-то вы радикальны... а что замена? Вы предлогаете SSTP но он over TCP, а как быть с VoIP, видео (трафиком реального времени) ?

Изменено пользователем Ocean07

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Он считается устаревшим только в мозгу Saab'a, потому что в микротике он работает через жопу.

А какие конкретно у микрота бывают проблемы?

 

В первом случае у вас подключение site-to-site (как правило), причем клиентская сторона в явном виде должна уметь в IPSec и могут возникнуть проблемы с NAT.

L2TP/IPSec это клиент-серверная технология, ее умеют все - от андроида до винды и мака встроенными средствами.

На обоих концах будут микроты, поэтому у меня задача выбрать тот тип VPN, который наиболее адекватно работает на микротах.

 

Как-то вы радикальны... а что замена? Вы предлогаете SSTP но он over TCP, а как быть с VoIP, видео (трафиком реального времени) ?

...а у меня как раз будет в числе прочего работать RDP.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Подскажите пожалуйста, из-за чего IPSec считается устаревшим? Вроде бы давно известный стандарт....

 

Вот потому что давно известный стандарт он и устаревший.

 

Как-то вы радикальны... а что замена? Вы предлогаете SSTP но он over TCP, а как быть с VoIP, видео (трафиком реального времени) ?

 

А замена, как написал предыдущий оратор - в мозгу.

Нужно решить что за трафик передается, нужно ли ему шифрование, и какая требуется пропускная способность.

Были случаи, когда в ТЗ указывалось, что нужно передавать 500 мегабит трафика с шифрованием и т.п., после выкатывания стоимости парочки CCR1036 спрашивали, а нельзя ли подешевле=)

 

На обоих концах будут микроты, поэтому у меня задача выбрать тот тип VPN, который наиболее адекватно работает на микротах.

...а у меня как раз будет в числе прочего работать RDP.

 

Вам нужно определить задачу, какие данные требуют защиты, и какие данные не требуют. Т.к. при работе с шифрованием, железка вида RB750 пропустит порядка 20мбит трафика, а без шифрования 100 дуплексом, то есть в порт ограничится.

 

При этом SSTP, хоть он и работает через TCP и имеет более высокую задержку из-за подтверждений, как раз оптимален для связи между микротиками.

Если представить реальную модель реально рабочей сети, то обычно в центре используется несколько устройств, каждый для своих нужд, например:

1. Микротик для телефонии - на него устанавливаются либо туннели без шифрования, либо с шифрования, в зависимости от важности разговоров.

2. Микротик для интернета - на него обычно идут туннели без шифрования, т.к. данные могут быть перехвачены уже после центрального оборудования, а само шифрование только удорожает стоимость оборудования в офисах.

3. Микротик для доступа к локальной сети - на него обычно идет туннель с шифрованием.

 

Поэтому в такой схеме каждый офис поднимает 3 туннеля разных типов, и часть трафика идет с шифрованием, часть без него. Выбирается по какому и кому идти с помощью OSPF.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вот потому что давно известный стандарт он и устаревший.

Т.е. ethernet это вообще гавно мамонта получается и его надо выбросить? А чо, протокол-то давно известный, а, значит, устаревший...

 

Если представить реальную модель реально рабочей сети, то обычно в центре используется несколько устройств, каждый для своих нужд, например

Больше микротиков богу микротиков!

 

А какие конкретно у микрота бывают проблемы?

Как правило, проблемы бывают с cisco/juniper/другими вендорами из-за разных взглядов на реализацию протоколов. Свяка микрот-микрот работает вполне устойчиво (главное чтобы версии были плюс-минус одинаковые)

 

а обоих концах будут микроты, поэтому у меня задача выбрать тот тип VPN, который наиболее адекватно работает на микротах.

В случае static ip с обеих сторон - site2site ipsec. Если где-то есть динамика - l2tp/ipsec. Нужно просто определиться, какая пропускная способность вам нужна и от нее плясать, с поправкой на бюджет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Как правило, проблемы бывают с cisco/juniper/другими вендорами из-за разных взглядов на реализацию протоколов. Свяка микрот-микрот работает вполне устойчиво (главное чтобы версии были плюс-минус одинаковые)

 

В случае static ip с обеих сторон - site2site ipsec. Если где-то есть динамика - l2tp/ipsec. Нужно просто определиться, какая пропускная способность вам нужна и от нее плясать, с поправкой на бюджет.

Спасибо!!! Тогда останавливаюсь на чисто Ipsec (уже разобрался как сделать site-to-multi-site vpn, и на шифровании AES задействуется аппаратная акселерация - я уже проверил на RB850Gx2).

К тому же, забавно, но на IPSec оказывается достаточно просто реализуется схема впн - многие-ко-многим.

Изменено пользователем Mike33

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Намного лучше для VPN-сетей по производительности, возможностям настройки и цене, лучший пока Ubiquiti EdgeRouter Lite

 

Можете купить с двухъядерным процессором, без (аппаратного ускорения) потдержки железа VPN и маршрутизации Ubiquiti EdgeRouter X

 

Они лучше по производительности микротиков и настройкам.

Изменено пользователем aytishnikcom

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Они лучше по производительности микротиков и настройкам.

 

По возможностям тоже лучше? Расскажите, как на убнт OSPF включается?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Намного лучше для VPN-сетей по производительности, возможностям настройки и цене, лучший пока Ubiquiti EdgeRouter Lite

Можете купить с двухъядерным процессором, без (аппаратного ускорения) потдержки железа VPN и маршрутизации Ubiquiti EdgeRouter X

Они лучше по производительности микротиков и настройкам.

Спасибо! Буду иметь ввиду, но на данный момент микроты уже закуплены.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.