Jump to content

Шифрование в L2TP

Mike33

By Mike33
in Mikrotik Wireless

 Share

Recommended Posts

Saab95

Saab95

Posted
Posted

Тем, что шифрование включается на туннеле, если клиент компьютер с виндой, то он сможет установить связь. Если вы включите устаревший протокол IPSEC, то без специальной настройки уже подключиться не получится. Для таких случаев следует использовать SSTP.

Saab95

Saab95

Posted
Posted

Не могли бы вы пояснить что значит "шифрование включается на туннеле"??.

 

Вы заводите в секретах учетную запись для подключения, и можно с ней подключиться и работать, параметры шифрования установятся автоматически.

 

Если вы используете другие типы шифрования, например устаревший IPSEC, то нужно настроить параметры работы на обоих устройствах, без этого работать не будет.

EugeneTV

EugeneTV

Posted
Posted

...

Если вы используете другие типы шифрования, например устаревший IPSEC

...

Не читайте этого бреда.

Просто в l2tp есть встроенный алгоритм шифрования https://ru.wikipedia.org/wiki/MPPE, который считается не слишком устойчивым к взлому и не рекомендуется к использованию в критичных к этому ситуациях. Поэтому, в ряде случаев, встроенное шифрование отключают, а трафик в тоннеле шифруют с помощью IPsec, который требует дополнительной настройки, описаний этого в сети предостаточно. В принципе IPsec сам умеет работать в тоннельном режиме, но для этого на обоих концах тоннеля необходимо иметь статические адреса.

Кроме того, аппаратно шифрование IPsec поддерживают только микротики построенные на PowerPC (насчет CCR не уверен), отсюда крайне неудовлетворительная производительность mipsbe железок в этом режиме. Собственно из-за этого IPsec объявлен саабом устаревшим.

Ocean07

Ocean07

Posted
Posted

В принципе IPsec сам умеет работать в тоннельном режиме, но для этого на обоих концах тоннеля необходимо иметь статические адреса.

 

У IPsec есть Aggressive mode который позволяет работать с динамическим IP. Не знаю, реализован ли Aggressive mode в Mikrotik.

EugeneTV

EugeneTV

Posted
Posted

 

У IPsec есть Aggressive mode который позволяет работать с динамическим IP. Не знаю, реализован ли Aggressive mode в Mikrotik.

он как бы есть, однако я не видел примеров реализации его в site-2-site режиме на двух микротиках, в основном описана реализация когда микротик выступает пиром к какой-нибудь циске.

Mike33

Mike33

Posted
  • Author
Posted

Просто в l2tp есть встроенный алгоритм шифрования https://ru.wikipedia.org/wiki/MPPE, который считается не слишком устойчивым к взлому и не рекомендуется к использованию в критичных к этому ситуациях. Поэтому, в ряде случаев, встроенное шифрование отключают, а трафик в тоннеле шифруют с помощью IPsec, который требует дополнительной настройки, описаний этого в сети предостаточно. В принципе IPsec сам умеет работать в тоннельном режиме, но для этого на обоих концах тоннеля необходимо иметь статические адреса.

Кроме того, аппаратно шифрование IPsec поддерживают только микротики построенные на PowerPC (насчет CCR не уверен), отсюда крайне неудовлетворительная производительность mipsbe железок в этом режиме. Собственно из-за этого IPsec объявлен саабом устаревшим.

Спасибо!!! Теперь все понятно!

Night_Snake

Night_Snake

Posted
Posted

он как бы есть, однако я не видел примеров реализации его в site-2-site режиме на двух микротиках, в основном описана реализация когда микротик выступает пиром к какой-нибудь циске.

Прям на вики микротика описан site-to-site между двумя микротами.

Saab95

Saab95

Posted
Posted

Прям на вики микротика описан site-to-site между двумя микротами.

 

Там много написано всякой ерунды.

 

Если есть 2 точки в интернете, то между ними нужно поднять туннель, в котором уже получаете 2 фиксированных серых адреса.

При этом для передачи данных в интернете требуется упаковка, поэтому даже используя IP-IP туннель, уже проигрываете в МТУ.

SSTP передает на физическом уровне пакеты размером 1500 байт, поэтому является самым выгодным протоколом для передачи данных через интернет, если исключить высокую нагрузку на процессор.

Mike33

Mike33

Posted
  • Author
Posted

............

SSTP передает на физическом уровне пакеты размером 1500 байт, поэтому является самым выгодным протоколом для передачи данных через интернет, если исключить высокую нагрузку на процессор.

Подскажите пожалуйста, а как тогда SSTP выполняет туннелирование?

EugeneTV

EugeneTV

Posted
Posted

Прям на вики микротика описан site-to-site между двумя микротами.

c использованием aggresive mode?

 

SSTP передает на физическом уровне пакеты размером 1500 байт

SSTP это же TCP, а значит весь тоннель это одно TCP-соединение, в ряде случаев (вероятно в большинстве) будет сильно проигрывать в скорости тому же l2tp, который поверх UDP работает.

Night_Snake

Night_Snake

Posted
Posted

Если есть 2 точки в интернете, то между ними нужно поднять туннель, в котором уже получаете 2 фиксированных серых адреса.

При этом для передачи данных в интернете требуется упаковка, поэтому даже используя IP-IP туннель, уже проигрываете в МТУ.

SSTP передает на физическом уровне пакеты размером 1500 байт, поэтому является самым выгодным протоколом для передачи данных через интернет, если исключить высокую нагрузку на процессор.

обнять и плпакать

 

c использованием aggresive mode?

Я про aggressive mode не говорил, я говорил о том, где взять пример настройки site-to-site. Если одна из сторон - динамика, то я бы выбрал l2tp/ipsec чисто за счет предсказуемости хотя бы.

Saab95

Saab95

Posted
Posted

При использовании L2TP MRRU полные 1500 пакеты тоже ходят нормально.

 

Только ходят они не размером 1500 байт, а большой пакет + довесок. При этом есть недостатки:

 

1. Задержка маленького пакета 1мс, а задержка большого допустим 2мс.

2. Если очередность следования пакетов по сети оператора будет нарушена, пакет данных потеряется.

3. Сильная нагрузка на процессор.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.