[Mike33]

Подскажите какие варианты роутеров будут адекватны для построения VPN-сети на 5 клиентов (скорость каналов 100 МБит)?

И какой тип VPN лучше выбрать?

[Mindaugas]

ppptp, RB2011 mikrotik

[Mike33]

ppptp

Именно ppptp? А то я пока ставил ppptp на последнем месте после l2tp+ipsec.

 

RB2011

Подскажите, чем RB2011 (600 MHz/64 MB) будет лучше, например, hEX lite (850 MHz/64 MB) или RB951Ui-2HnD (600 MHz/128 MB) ???

[divxl]

Подскажите, чем RB2011 (600 MHz/64 MB) будет лучше, например, hEX lite (850 MHz/64 MB) или RB951Ui-2HnD (600 MHz/128 MB) ???

Судя по табличкам с routerboard.com, нужно брать HEX.

Mode	Configuration	1518 byte	512 byte	64 byte
kpps	Mbps	kpps	Mbps	kpps	Mbps
Routing	25 ip filter rules	81.2	986.1	81.2	332.6	78.9	40.4

 

Хотя в Bridge у 2011 лучший результат

Bridging	none (fast path)	122.0	1,481.6	232.0	950.3	269.6	138.0

 

Почему так?

Изменено 1 ноября, 2015 пользователем divxl

[SOs]

100Мб/с на RB2011/hEX lite/RB951Ui-2HnD?? Не маловато?

[Saab95]

Именно ppptp? А то я пока ставил ppptp на последнем месте после l2tp+ipsec.

 

L2TP без всякого IPSEC, или вам будет достаточно 30-40 мегабит максимального трафика? Шифрование все же=)

 

Подскажите, чем RB2011 (600 MHz/64 MB) будет лучше, например, hEX lite (850 MHz/64 MB) или RB951Ui-2HnD (600 MHz/128 MB) ???

 

Берите последний вариант, если вам не требуется много портов, но очень нравится свободное время проводить в дали от компьютерной техники.

[Mike33]

L2TP без всякого IPSEC, или вам будет достаточно 30-40 мегабит максимального трафика? Шифрование все же=)

Подождите, так вы мне предлагаете сделать впн без шифрования? Мне кажется однозначно надо шифровать трафик...

 

 

Подскажите, чем RB2011 (600 MHz/64 MB) будет лучше, например, hEX lite (850 MHz/64 MB) или RB951Ui-2HnD (600 MHz/128 MB) ???

Берите последний вариант, если вам не требуется много портов, но очень нравится свободное время проводить в дали от компьютерной техники.

Вы имеете ввиду RB951Ui-2HnD?

 

Я вот тут табличку сделал:

наим.                    CPU             CPU freq.  CPU #core   RAM   CPU arch.   test                           1518 byte - kpps   1518 byte - Mbps   512 byte - kpps   512 byte - Mbps   64 byte - kpps   64 byte - Mbps
-----------------------  --------------  ---------  ----------  ----  ----------  -----------------------------  -----------------  -----------------  ----------------  ----------------  ---------------  --------------
RB850Gx2                 P1023NSN5CFB    533        2           512   PowerPC     Routing  25 ip filter rules    114,80             1394,10            119,20            488,20            120,30           61,60
hEX (RB750Gr2)           QCA9556         720        1           64                Routing  25 ip filter rules     81,20              986,10             81,20            332,60             78,90           40,40
RB951G-2HnD              AR9344-DC3A     600        1           128               Routing  25 ip filter rules     56,80              689,80             59,60            244,10             60,50           31,00
RB951Ui-2HnD             AR9344-DC3A     600        1           128               Routing  25 ip filter rules     40,00              485,80             59,60            244,10             60,50           31,00
hEX lite (RB750r2)       QCA9531-BL3A-R  850        1           64    MIPS-BE     Routing  25 ip filter rules     40,60              493,00             52,00            213,00             52,70           27,00
PowerBox (RB750P-PBr2)   QCA9531-BL3A-R  650        1           64                Routing  25 ip filter rules     40,60              493,00             42,20            172,80             43,20           22,10
hAP (RB951Ui-2nD)        QCA9531         650        1           64                Routing  25 ip filter rules     40,60              493,00             42,20            172,80             43,20           22,10

 

Похоже, что в центр RB850Gx2, а клиентов на hEX ???

[divxl]

Должна выйти 2013 серия, только вот кто знает когда?

[Saab95]

Подождите, так вы мне предлагаете сделать впн без шифрования? Мне кажется однозначно надо шифровать трафик...

 

Да, без шифрования. Т.к. шифрование не несет никакой практической цели, все приложения, которые передают важные данные, сами их шифруют.

Если хотите шифровать, то в центр сразу ставьте CCR1036, а в офисы по CCR1009 как минимум.

[Mike33]

Подождите, так вы мне предлагаете сделать впн без шифрования? Мне кажется однозначно надо шифровать трафик...

 

Да, без шифрования. Т.к. шифрование не несет никакой практической цели, все приложения, которые передают важные данные, сами их шифруют.

Если хотите шифровать, то в центр сразу ставьте CCR1036, а в офисы по CCR1009 как минимум.

 

А L2TP контролирует целостность передаваемых пакетов?

[Saab95]

А L2TP контролирует целостность передаваемых пакетов?

 

А при чем тут IPSEC?

 

Есть туннели по UDP, такие как PPTP, L2TP, они ничего не контролируют. Есть туннели OVPN по TCP и SSTP через SSL, они контролируют, из-за этого при передачи данных увеличивается задержка, на плохих каналах порой значительно.

Поэтому если вам нужно шифрование и гарантированная доставка, то нужно использовать SSTP, но он, из-за шифрования, занимает больше ресурсов процессора.

[divxl]

Начали задумывать о замене Rb 2011, т.к. CPU уже загружается до 70%.

 

Вопрос на что?

 

Если попробовать Mikrotik RB850Gx2, насколько увеличится производительность ?

 

Или уже сразу смотреть в сторону: Mikrotik CCR1009-8G-1S ?

[Saab95]

Конечно в сторону CCR, т.к. разница в производительности между 2011 и 850 примерно раза в 3 всего.

[Mike33]

Подскажите пожалуйста какая принципиальная разница между vpn через IPsec и L2TP/IPsec ???

[Saab95]

Подскажите пожалуйста какая принципиальная разница между vpn через IPsec и L2TP/IPsec ???

 

Разницы нет, в любом случае IPSec устаревшая технология и ее не следует использовать. Если вам нужен доступ с шифрованием, используйте SSTP, он использует SSL и для провайдеров виден как обычный WEB трафик, с ним нет проблем, когда у операторов блокируются впн и т.п.

[Mike33]

Разницы нет, в любом случае IPSec устаревшая технология и ее не следует использовать. Если вам нужен доступ с шифрованием, используйте SSTP, он использует SSL и для провайдеров виден как обычный WEB трафик, с ним нет проблем, когда у операторов блокируются впн и т.п.

Просто вот тут - http://rickfreyconsulting.com/mikrotik-vpns/ IPSec получается самым выгодным в плане производительности.

 

Подскажите пожалуйста, из-за чего IPSec считается устаревшим? Вроде бы давно известный стандарт....

[Night_Snake]

Подскажите пожалуйста, из-за чего IPSec считается устаревшим? Вроде бы давно известный стандарт....

Он считается устаревшим только в мозгу Saab'a, потому что в микротике он работает через жопу.

 

Подскажите пожалуйста какая принципиальная разница между vpn через IPsec и L2TP/IPsec ???

В первом случае у вас подключение site-to-site (как правило), причем клиентская сторона в явном виде должна уметь в IPSec и могут возникнуть проблемы с NAT.

L2TP/IPSec это клиент-серверная технология, ее умеют все - от андроида до винды и мака встроенными средствами.

[Ocean07]

...IPSec устаревшая технология и ее не следует использовать.

 

Как-то вы радикальны... а что замена? Вы предлогаете SSTP но он over TCP, а как быть с VoIP, видео (трафиком реального времени) ?

Изменено 2 декабря, 2015 пользователем Ocean07

[Mike33]

Он считается устаревшим только в мозгу Saab'a, потому что в микротике он работает через жопу.

А какие конкретно у микрота бывают проблемы?

 

В первом случае у вас подключение site-to-site (как правило), причем клиентская сторона в явном виде должна уметь в IPSec и могут возникнуть проблемы с NAT.

L2TP/IPSec это клиент-серверная технология, ее умеют все - от андроида до винды и мака встроенными средствами.

На обоих концах будут микроты, поэтому у меня задача выбрать тот тип VPN, который наиболее адекватно работает на микротах.

 

Как-то вы радикальны... а что замена? Вы предлогаете SSTP но он over TCP, а как быть с VoIP, видео (трафиком реального времени) ?

...а у меня как раз будет в числе прочего работать RDP.

[Saab95]

Подскажите пожалуйста, из-за чего IPSec считается устаревшим? Вроде бы давно известный стандарт....

 

Вот потому что давно известный стандарт он и устаревший.

 

Как-то вы радикальны... а что замена? Вы предлогаете SSTP но он over TCP, а как быть с VoIP, видео (трафиком реального времени) ?

 

А замена, как написал предыдущий оратор - в мозгу.

Нужно решить что за трафик передается, нужно ли ему шифрование, и какая требуется пропускная способность.

Были случаи, когда в ТЗ указывалось, что нужно передавать 500 мегабит трафика с шифрованием и т.п., после выкатывания стоимости парочки CCR1036 спрашивали, а нельзя ли подешевле=)

 

На обоих концах будут микроты, поэтому у меня задача выбрать тот тип VPN, который наиболее адекватно работает на микротах.

...а у меня как раз будет в числе прочего работать RDP.

 

Вам нужно определить задачу, какие данные требуют защиты, и какие данные не требуют. Т.к. при работе с шифрованием, железка вида RB750 пропустит порядка 20мбит трафика, а без шифрования 100 дуплексом, то есть в порт ограничится.

 

При этом SSTP, хоть он и работает через TCP и имеет более высокую задержку из-за подтверждений, как раз оптимален для связи между микротиками.

Если представить реальную модель реально рабочей сети, то обычно в центре используется несколько устройств, каждый для своих нужд, например:

1. Микротик для телефонии - на него устанавливаются либо туннели без шифрования, либо с шифрования, в зависимости от важности разговоров.

2. Микротик для интернета - на него обычно идут туннели без шифрования, т.к. данные могут быть перехвачены уже после центрального оборудования, а само шифрование только удорожает стоимость оборудования в офисах.

3. Микротик для доступа к локальной сети - на него обычно идет туннель с шифрованием.

 

Поэтому в такой схеме каждый офис поднимает 3 туннеля разных типов, и часть трафика идет с шифрованием, часть без него. Выбирается по какому и кому идти с помощью OSPF.

[Night_Snake]

Вот потому что давно известный стандарт он и устаревший.

Т.е. ethernet это вообще гавно мамонта получается и его надо выбросить? А чо, протокол-то давно известный, а, значит, устаревший...

 

Если представить реальную модель реально рабочей сети, то обычно в центре используется несколько устройств, каждый для своих нужд, например

Больше микротиков богу микротиков!

 

А какие конкретно у микрота бывают проблемы?

Как правило, проблемы бывают с cisco/juniper/другими вендорами из-за разных взглядов на реализацию протоколов. Свяка микрот-микрот работает вполне устойчиво (главное чтобы версии были плюс-минус одинаковые)

 

а обоих концах будут микроты, поэтому у меня задача выбрать тот тип VPN, который наиболее адекватно работает на микротах.

В случае static ip с обеих сторон - site2site ipsec. Если где-то есть динамика - l2tp/ipsec. Нужно просто определиться, какая пропускная способность вам нужна и от нее плясать, с поправкой на бюджет.

[Mike33]

Как правило, проблемы бывают с cisco/juniper/другими вендорами из-за разных взглядов на реализацию протоколов. Свяка микрот-микрот работает вполне устойчиво (главное чтобы версии были плюс-минус одинаковые)

 

В случае static ip с обеих сторон - site2site ipsec. Если где-то есть динамика - l2tp/ipsec. Нужно просто определиться, какая пропускная способность вам нужна и от нее плясать, с поправкой на бюджет.

Спасибо!!! Тогда останавливаюсь на чисто Ipsec (уже разобрался как сделать site-to-multi-site vpn, и на шифровании AES задействуется аппаратная акселерация - я уже проверил на RB850Gx2).

К тому же, забавно, но на IPSec оказывается достаточно просто реализуется схема впн - многие-ко-многим.

Изменено 3 декабря, 2015 пользователем Mike33

[aytishnikcom]

Намного лучше для VPN-сетей по производительности, возможностям настройки и цене, лучший пока Ubiquiti EdgeRouter Lite

 

Можете купить с двухъядерным процессором, без (аппаратного ускорения) потдержки железа VPN и маршрутизации Ubiquiti EdgeRouter X

 

Они лучше по производительности микротиков и настройкам.

Изменено 3 декабря, 2015 пользователем aytishnikcom

[Saab95]

Они лучше по производительности микротиков и настройкам.

 

По возможностям тоже лучше? Расскажите, как на убнт OSPF включается?

[Mike33]

Намного лучше для VPN-сетей по производительности, возможностям настройки и цене, лучший пока Ubiquiti EdgeRouter Lite

Можете купить с двухъядерным процессором, без (аппаратного ускорения) потдержки железа VPN и маршрутизации Ubiquiti EdgeRouter X

Они лучше по производительности микротиков и настройкам.

Спасибо! Буду иметь ввиду, но на данный момент микроты уже закуплены.