Jump to content
Калькуляторы

Выбор роутеров для VPN

Подскажите какие варианты роутеров будут адекватны для построения VPN-сети на 5 клиентов (скорость каналов 100 МБит)?

И какой тип VPN лучше выбрать?

Share this post


Link to post
Share on other sites

ppptp

Именно ppptp? А то я пока ставил ppptp на последнем месте после l2tp+ipsec.

 

RB2011

Подскажите, чем RB2011 (600 MHz/64 MB) будет лучше, например, hEX lite (850 MHz/64 MB) или RB951Ui-2HnD (600 MHz/128 MB) ???

Share this post


Link to post
Share on other sites

Подскажите, чем RB2011 (600 MHz/64 MB) будет лучше, например, hEX lite (850 MHz/64 MB) или RB951Ui-2HnD (600 MHz/128 MB) ???

Судя по табличкам с routerboard.com, нужно брать HEX.

Mode	Configuration	1518 byte	512 byte	64 byte
kpps	Mbps	kpps	Mbps	kpps	Mbps
Routing	25 ip filter rules	81.2	986.1	81.2	332.6	78.9	40.4

 

Хотя в Bridge у 2011 лучший результат

Bridging	none (fast path)	122.0	1,481.6	232.0	950.3	269.6	138.0

 

Почему так?

Edited by divxl

Share this post


Link to post
Share on other sites

Именно ppptp? А то я пока ставил ppptp на последнем месте после l2tp+ipsec.

 

L2TP без всякого IPSEC, или вам будет достаточно 30-40 мегабит максимального трафика? Шифрование все же=)

 

Подскажите, чем RB2011 (600 MHz/64 MB) будет лучше, например, hEX lite (850 MHz/64 MB) или RB951Ui-2HnD (600 MHz/128 MB) ???

 

Берите последний вариант, если вам не требуется много портов, но очень нравится свободное время проводить в дали от компьютерной техники.

Share this post


Link to post
Share on other sites

L2TP без всякого IPSEC, или вам будет достаточно 30-40 мегабит максимального трафика? Шифрование все же=)

Подождите, так вы мне предлагаете сделать впн без шифрования? Мне кажется однозначно надо шифровать трафик...

 

 

Подскажите, чем RB2011 (600 MHz/64 MB) будет лучше, например, hEX lite (850 MHz/64 MB) или RB951Ui-2HnD (600 MHz/128 MB) ???

Берите последний вариант, если вам не требуется много портов, но очень нравится свободное время проводить в дали от компьютерной техники.

Вы имеете ввиду RB951Ui-2HnD?

 

Я вот тут табличку сделал:

наим.                    CPU             CPU freq.  CPU #core   RAM   CPU arch.   test                           1518 byte - kpps   1518 byte - Mbps   512 byte - kpps   512 byte - Mbps   64 byte - kpps   64 byte - Mbps
-----------------------  --------------  ---------  ----------  ----  ----------  -----------------------------  -----------------  -----------------  ----------------  ----------------  ---------------  --------------
RB850Gx2                 P1023NSN5CFB    533        2           512   PowerPC     Routing  25 ip filter rules    114,80             1394,10            119,20            488,20            120,30           61,60
hEX (RB750Gr2)           QCA9556         720        1           64                Routing  25 ip filter rules     81,20              986,10             81,20            332,60             78,90           40,40
RB951G-2HnD              AR9344-DC3A     600        1           128               Routing  25 ip filter rules     56,80              689,80             59,60            244,10             60,50           31,00
RB951Ui-2HnD             AR9344-DC3A     600        1           128               Routing  25 ip filter rules     40,00              485,80             59,60            244,10             60,50           31,00
hEX lite (RB750r2)       QCA9531-BL3A-R  850        1           64    MIPS-BE     Routing  25 ip filter rules     40,60              493,00             52,00            213,00             52,70           27,00
PowerBox (RB750P-PBr2)   QCA9531-BL3A-R  650        1           64                Routing  25 ip filter rules     40,60              493,00             42,20            172,80             43,20           22,10
hAP (RB951Ui-2nD)        QCA9531         650        1           64                Routing  25 ip filter rules     40,60              493,00             42,20            172,80             43,20           22,10

 

Похоже, что в центр RB850Gx2, а клиентов на hEX ???

Share this post


Link to post
Share on other sites

Подождите, так вы мне предлагаете сделать впн без шифрования? Мне кажется однозначно надо шифровать трафик...

 

Да, без шифрования. Т.к. шифрование не несет никакой практической цели, все приложения, которые передают важные данные, сами их шифруют.

Если хотите шифровать, то в центр сразу ставьте CCR1036, а в офисы по CCR1009 как минимум.

Share this post


Link to post
Share on other sites

Подождите, так вы мне предлагаете сделать впн без шифрования? Мне кажется однозначно надо шифровать трафик...

 

Да, без шифрования. Т.к. шифрование не несет никакой практической цели, все приложения, которые передают важные данные, сами их шифруют.

Если хотите шифровать, то в центр сразу ставьте CCR1036, а в офисы по CCR1009 как минимум.

 

А L2TP контролирует целостность передаваемых пакетов?

Share this post


Link to post
Share on other sites

А L2TP контролирует целостность передаваемых пакетов?

 

А при чем тут IPSEC?

 

Есть туннели по UDP, такие как PPTP, L2TP, они ничего не контролируют. Есть туннели OVPN по TCP и SSTP через SSL, они контролируют, из-за этого при передачи данных увеличивается задержка, на плохих каналах порой значительно.

Поэтому если вам нужно шифрование и гарантированная доставка, то нужно использовать SSTP, но он, из-за шифрования, занимает больше ресурсов процессора.

Share this post


Link to post
Share on other sites

Начали задумывать о замене Rb 2011, т.к. CPU уже загружается до 70%.

 

Вопрос на что?

 

Если попробовать Mikrotik RB850Gx2, насколько увеличится производительность ?

 

Или уже сразу смотреть в сторону: Mikrotik CCR1009-8G-1S ?

Share this post


Link to post
Share on other sites

Подскажите пожалуйста какая принципиальная разница между vpn через IPsec и L2TP/IPsec ???

 

Разницы нет, в любом случае IPSec устаревшая технология и ее не следует использовать. Если вам нужен доступ с шифрованием, используйте SSTP, он использует SSL и для провайдеров виден как обычный WEB трафик, с ним нет проблем, когда у операторов блокируются впн и т.п.

Share this post


Link to post
Share on other sites

Разницы нет, в любом случае IPSec устаревшая технология и ее не следует использовать. Если вам нужен доступ с шифрованием, используйте SSTP, он использует SSL и для провайдеров виден как обычный WEB трафик, с ним нет проблем, когда у операторов блокируются впн и т.п.

Просто вот тут - http://rickfreyconsulting.com/mikrotik-vpns/ IPSec получается самым выгодным в плане производительности.

 

Подскажите пожалуйста, из-за чего IPSec считается устаревшим? Вроде бы давно известный стандарт....

Share this post


Link to post
Share on other sites

Подскажите пожалуйста, из-за чего IPSec считается устаревшим? Вроде бы давно известный стандарт....

Он считается устаревшим только в мозгу Saab'a, потому что в микротике он работает через жопу.

 

Подскажите пожалуйста какая принципиальная разница между vpn через IPsec и L2TP/IPsec ???

В первом случае у вас подключение site-to-site (как правило), причем клиентская сторона в явном виде должна уметь в IPSec и могут возникнуть проблемы с NAT.

L2TP/IPSec это клиент-серверная технология, ее умеют все - от андроида до винды и мака встроенными средствами.

Share this post


Link to post
Share on other sites

...IPSec устаревшая технология и ее не следует использовать.

 

Как-то вы радикальны... а что замена? Вы предлогаете SSTP но он over TCP, а как быть с VoIP, видео (трафиком реального времени) ?

Edited by Ocean07

Share this post


Link to post
Share on other sites

Он считается устаревшим только в мозгу Saab'a, потому что в микротике он работает через жопу.

А какие конкретно у микрота бывают проблемы?

 

В первом случае у вас подключение site-to-site (как правило), причем клиентская сторона в явном виде должна уметь в IPSec и могут возникнуть проблемы с NAT.

L2TP/IPSec это клиент-серверная технология, ее умеют все - от андроида до винды и мака встроенными средствами.

На обоих концах будут микроты, поэтому у меня задача выбрать тот тип VPN, который наиболее адекватно работает на микротах.

 

Как-то вы радикальны... а что замена? Вы предлогаете SSTP но он over TCP, а как быть с VoIP, видео (трафиком реального времени) ?

...а у меня как раз будет в числе прочего работать RDP.

Share this post


Link to post
Share on other sites

Подскажите пожалуйста, из-за чего IPSec считается устаревшим? Вроде бы давно известный стандарт....

 

Вот потому что давно известный стандарт он и устаревший.

 

Как-то вы радикальны... а что замена? Вы предлогаете SSTP но он over TCP, а как быть с VoIP, видео (трафиком реального времени) ?

 

А замена, как написал предыдущий оратор - в мозгу.

Нужно решить что за трафик передается, нужно ли ему шифрование, и какая требуется пропускная способность.

Были случаи, когда в ТЗ указывалось, что нужно передавать 500 мегабит трафика с шифрованием и т.п., после выкатывания стоимости парочки CCR1036 спрашивали, а нельзя ли подешевле=)

 

На обоих концах будут микроты, поэтому у меня задача выбрать тот тип VPN, который наиболее адекватно работает на микротах.

...а у меня как раз будет в числе прочего работать RDP.

 

Вам нужно определить задачу, какие данные требуют защиты, и какие данные не требуют. Т.к. при работе с шифрованием, железка вида RB750 пропустит порядка 20мбит трафика, а без шифрования 100 дуплексом, то есть в порт ограничится.

 

При этом SSTP, хоть он и работает через TCP и имеет более высокую задержку из-за подтверждений, как раз оптимален для связи между микротиками.

Если представить реальную модель реально рабочей сети, то обычно в центре используется несколько устройств, каждый для своих нужд, например:

1. Микротик для телефонии - на него устанавливаются либо туннели без шифрования, либо с шифрования, в зависимости от важности разговоров.

2. Микротик для интернета - на него обычно идут туннели без шифрования, т.к. данные могут быть перехвачены уже после центрального оборудования, а само шифрование только удорожает стоимость оборудования в офисах.

3. Микротик для доступа к локальной сети - на него обычно идет туннель с шифрованием.

 

Поэтому в такой схеме каждый офис поднимает 3 туннеля разных типов, и часть трафика идет с шифрованием, часть без него. Выбирается по какому и кому идти с помощью OSPF.

Share this post


Link to post
Share on other sites

Вот потому что давно известный стандарт он и устаревший.

Т.е. ethernet это вообще гавно мамонта получается и его надо выбросить? А чо, протокол-то давно известный, а, значит, устаревший...

 

Если представить реальную модель реально рабочей сети, то обычно в центре используется несколько устройств, каждый для своих нужд, например

Больше микротиков богу микротиков!

 

А какие конкретно у микрота бывают проблемы?

Как правило, проблемы бывают с cisco/juniper/другими вендорами из-за разных взглядов на реализацию протоколов. Свяка микрот-микрот работает вполне устойчиво (главное чтобы версии были плюс-минус одинаковые)

 

а обоих концах будут микроты, поэтому у меня задача выбрать тот тип VPN, который наиболее адекватно работает на микротах.

В случае static ip с обеих сторон - site2site ipsec. Если где-то есть динамика - l2tp/ipsec. Нужно просто определиться, какая пропускная способность вам нужна и от нее плясать, с поправкой на бюджет.

Share this post


Link to post
Share on other sites

Как правило, проблемы бывают с cisco/juniper/другими вендорами из-за разных взглядов на реализацию протоколов. Свяка микрот-микрот работает вполне устойчиво (главное чтобы версии были плюс-минус одинаковые)

 

В случае static ip с обеих сторон - site2site ipsec. Если где-то есть динамика - l2tp/ipsec. Нужно просто определиться, какая пропускная способность вам нужна и от нее плясать, с поправкой на бюджет.

Спасибо!!! Тогда останавливаюсь на чисто Ipsec (уже разобрался как сделать site-to-multi-site vpn, и на шифровании AES задействуется аппаратная акселерация - я уже проверил на RB850Gx2).

К тому же, забавно, но на IPSec оказывается достаточно просто реализуется схема впн - многие-ко-многим.

Edited by Mike33

Share this post


Link to post
Share on other sites

Намного лучше для VPN-сетей по производительности, возможностям настройки и цене, лучший пока Ubiquiti EdgeRouter Lite

 

Можете купить с двухъядерным процессором, без (аппаратного ускорения) потдержки железа VPN и маршрутизации Ubiquiti EdgeRouter X

 

Они лучше по производительности микротиков и настройкам.

Edited by aytishnikcom

Share this post


Link to post
Share on other sites

Они лучше по производительности микротиков и настройкам.

 

По возможностям тоже лучше? Расскажите, как на убнт OSPF включается?

Share this post


Link to post
Share on other sites

Намного лучше для VPN-сетей по производительности, возможностям настройки и цене, лучший пока Ubiquiti EdgeRouter Lite

Можете купить с двухъядерным процессором, без (аппаратного ускорения) потдержки железа VPN и маршрутизации Ubiquiti EdgeRouter X

Они лучше по производительности микротиков и настройкам.

Спасибо! Буду иметь ввиду, но на данный момент микроты уже закуплены.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.