Mike33 Опубликовано 1 декабря, 2015 · Жалоба Manual:PPP - User Profiles - Properties Подскажите пожалуйста, чем параметр "use-encryption=yes" отличается от использования L2TP/IpSec? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 1 декабря, 2015 · Жалоба Тем, что шифрование включается на туннеле, если клиент компьютер с виндой, то он сможет установить связь. Если вы включите устаревший протокол IPSEC, то без специальной настройки уже подключиться не получится. Для таких случаев следует использовать SSTP. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mike33 Опубликовано 2 декабря, 2015 · Жалоба Тем, что шифрование включается на туннеле..... Не могли бы вы пояснить что значит "шифрование включается на туннеле"??. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 2 декабря, 2015 · Жалоба Не могли бы вы пояснить что значит "шифрование включается на туннеле"??. Вы заводите в секретах учетную запись для подключения, и можно с ней подключиться и работать, параметры шифрования установятся автоматически. Если вы используете другие типы шифрования, например устаревший IPSEC, то нужно настроить параметры работы на обоих устройствах, без этого работать не будет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
EugeneTV Опубликовано 3 декабря, 2015 · Жалоба ... Если вы используете другие типы шифрования, например устаревший IPSEC ... Не читайте этого бреда. Просто в l2tp есть встроенный алгоритм шифрования https://ru.wikipedia.org/wiki/MPPE, который считается не слишком устойчивым к взлому и не рекомендуется к использованию в критичных к этому ситуациях. Поэтому, в ряде случаев, встроенное шифрование отключают, а трафик в тоннеле шифруют с помощью IPsec, который требует дополнительной настройки, описаний этого в сети предостаточно. В принципе IPsec сам умеет работать в тоннельном режиме, но для этого на обоих концах тоннеля необходимо иметь статические адреса. Кроме того, аппаратно шифрование IPsec поддерживают только микротики построенные на PowerPC (насчет CCR не уверен), отсюда крайне неудовлетворительная производительность mipsbe железок в этом режиме. Собственно из-за этого IPsec объявлен саабом устаревшим. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ocean07 Опубликовано 3 декабря, 2015 · Жалоба В принципе IPsec сам умеет работать в тоннельном режиме, но для этого на обоих концах тоннеля необходимо иметь статические адреса. У IPsec есть Aggressive mode который позволяет работать с динамическим IP. Не знаю, реализован ли Aggressive mode в Mikrotik. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
EugeneTV Опубликовано 3 декабря, 2015 · Жалоба У IPsec есть Aggressive mode который позволяет работать с динамическим IP. Не знаю, реализован ли Aggressive mode в Mikrotik. он как бы есть, однако я не видел примеров реализации его в site-2-site режиме на двух микротиках, в основном описана реализация когда микротик выступает пиром к какой-нибудь циске. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mike33 Опубликовано 3 декабря, 2015 · Жалоба Просто в l2tp есть встроенный алгоритм шифрования https://ru.wikipedia.org/wiki/MPPE, который считается не слишком устойчивым к взлому и не рекомендуется к использованию в критичных к этому ситуациях. Поэтому, в ряде случаев, встроенное шифрование отключают, а трафик в тоннеле шифруют с помощью IPsec, который требует дополнительной настройки, описаний этого в сети предостаточно. В принципе IPsec сам умеет работать в тоннельном режиме, но для этого на обоих концах тоннеля необходимо иметь статические адреса. Кроме того, аппаратно шифрование IPsec поддерживают только микротики построенные на PowerPC (насчет CCR не уверен), отсюда крайне неудовлетворительная производительность mipsbe железок в этом режиме. Собственно из-за этого IPsec объявлен саабом устаревшим. Спасибо!!! Теперь все понятно! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Night_Snake Опубликовано 3 декабря, 2015 · Жалоба он как бы есть, однако я не видел примеров реализации его в site-2-site режиме на двух микротиках, в основном описана реализация когда микротик выступает пиром к какой-нибудь циске. Прям на вики микротика описан site-to-site между двумя микротами. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 3 декабря, 2015 · Жалоба Прям на вики микротика описан site-to-site между двумя микротами. Там много написано всякой ерунды. Если есть 2 точки в интернете, то между ними нужно поднять туннель, в котором уже получаете 2 фиксированных серых адреса. При этом для передачи данных в интернете требуется упаковка, поэтому даже используя IP-IP туннель, уже проигрываете в МТУ. SSTP передает на физическом уровне пакеты размером 1500 байт, поэтому является самым выгодным протоколом для передачи данных через интернет, если исключить высокую нагрузку на процессор. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mike33 Опубликовано 3 декабря, 2015 · Жалоба ............ SSTP передает на физическом уровне пакеты размером 1500 байт, поэтому является самым выгодным протоколом для передачи данных через интернет, если исключить высокую нагрузку на процессор. Подскажите пожалуйста, а как тогда SSTP выполняет туннелирование? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
EugeneTV Опубликовано 4 декабря, 2015 · Жалоба Прям на вики микротика описан site-to-site между двумя микротами. c использованием aggresive mode? SSTP передает на физическом уровне пакеты размером 1500 байт SSTP это же TCP, а значит весь тоннель это одно TCP-соединение, в ряде случаев (вероятно в большинстве) будет сильно проигрывать в скорости тому же l2tp, который поверх UDP работает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Night_Snake Опубликовано 4 декабря, 2015 · Жалоба Если есть 2 точки в интернете, то между ними нужно поднять туннель, в котором уже получаете 2 фиксированных серых адреса. При этом для передачи данных в интернете требуется упаковка, поэтому даже используя IP-IP туннель, уже проигрываете в МТУ. SSTP передает на физическом уровне пакеты размером 1500 байт, поэтому является самым выгодным протоколом для передачи данных через интернет, если исключить высокую нагрузку на процессор. обнять и плпакать c использованием aggresive mode? Я про aggressive mode не говорил, я говорил о том, где взять пример настройки site-to-site. Если одна из сторон - динамика, то я бы выбрал l2tp/ipsec чисто за счет предсказуемости хотя бы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dm1try Опубликовано 4 декабря, 2015 · Жалоба При использовании L2TP MRRU полные 1500 пакеты тоже ходят нормально. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 4 декабря, 2015 · Жалоба При использовании L2TP MRRU полные 1500 пакеты тоже ходят нормально. Только ходят они не размером 1500 байт, а большой пакет + довесок. При этом есть недостатки: 1. Задержка маленького пакета 1мс, а задержка большого допустим 2мс. 2. Если очередность следования пакетов по сети оператора будет нарушена, пакет данных потеряется. 3. Сильная нагрузка на процессор. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...