[Mike33]

Manual:PPP - User Profiles - Properties

 

Подскажите пожалуйста, чем параметр "use-encryption=yes" отличается от использования L2TP/IpSec?

[Saab95]

Тем, что шифрование включается на туннеле, если клиент компьютер с виндой, то он сможет установить связь. Если вы включите устаревший протокол IPSEC, то без специальной настройки уже подключиться не получится. Для таких случаев следует использовать SSTP.

[Mike33]

Тем, что шифрование включается на туннеле.....

Не могли бы вы пояснить что значит "шифрование включается на туннеле"??.

[Saab95]

Не могли бы вы пояснить что значит "шифрование включается на туннеле"??.

 

Вы заводите в секретах учетную запись для подключения, и можно с ней подключиться и работать, параметры шифрования установятся автоматически.

 

Если вы используете другие типы шифрования, например устаревший IPSEC, то нужно настроить параметры работы на обоих устройствах, без этого работать не будет.

[EugeneTV]

...

Если вы используете другие типы шифрования, например устаревший IPSEC

...

Не читайте этого бреда.

Просто в l2tp есть встроенный алгоритм шифрования https://ru.wikipedia.org/wiki/MPPE, который считается не слишком устойчивым к взлому и не рекомендуется к использованию в критичных к этому ситуациях. Поэтому, в ряде случаев, встроенное шифрование отключают, а трафик в тоннеле шифруют с помощью IPsec, который требует дополнительной настройки, описаний этого в сети предостаточно. В принципе IPsec сам умеет работать в тоннельном режиме, но для этого на обоих концах тоннеля необходимо иметь статические адреса.

Кроме того, аппаратно шифрование IPsec поддерживают только микротики построенные на PowerPC (насчет CCR не уверен), отсюда крайне неудовлетворительная производительность mipsbe железок в этом режиме. Собственно из-за этого IPsec объявлен саабом устаревшим.

[Ocean07]

В принципе IPsec сам умеет работать в тоннельном режиме, но для этого на обоих концах тоннеля необходимо иметь статические адреса.

 

У IPsec есть Aggressive mode который позволяет работать с динамическим IP. Не знаю, реализован ли Aggressive mode в Mikrotik.

[EugeneTV]

 

У IPsec есть Aggressive mode который позволяет работать с динамическим IP. Не знаю, реализован ли Aggressive mode в Mikrotik.

он как бы есть, однако я не видел примеров реализации его в site-2-site режиме на двух микротиках, в основном описана реализация когда микротик выступает пиром к какой-нибудь циске.

[Mike33]

Просто в l2tp есть встроенный алгоритм шифрования https://ru.wikipedia.org/wiki/MPPE, который считается не слишком устойчивым к взлому и не рекомендуется к использованию в критичных к этому ситуациях. Поэтому, в ряде случаев, встроенное шифрование отключают, а трафик в тоннеле шифруют с помощью IPsec, который требует дополнительной настройки, описаний этого в сети предостаточно. В принципе IPsec сам умеет работать в тоннельном режиме, но для этого на обоих концах тоннеля необходимо иметь статические адреса.

Кроме того, аппаратно шифрование IPsec поддерживают только микротики построенные на PowerPC (насчет CCR не уверен), отсюда крайне неудовлетворительная производительность mipsbe железок в этом режиме. Собственно из-за этого IPsec объявлен саабом устаревшим.

Спасибо!!! Теперь все понятно!

[Night_Snake]

он как бы есть, однако я не видел примеров реализации его в site-2-site режиме на двух микротиках, в основном описана реализация когда микротик выступает пиром к какой-нибудь циске.

Прям на вики микротика описан site-to-site между двумя микротами.

[Saab95]

Прям на вики микротика описан site-to-site между двумя микротами.

 

Там много написано всякой ерунды.

 

Если есть 2 точки в интернете, то между ними нужно поднять туннель, в котором уже получаете 2 фиксированных серых адреса.

При этом для передачи данных в интернете требуется упаковка, поэтому даже используя IP-IP туннель, уже проигрываете в МТУ.

SSTP передает на физическом уровне пакеты размером 1500 байт, поэтому является самым выгодным протоколом для передачи данных через интернет, если исключить высокую нагрузку на процессор.

[Mike33]

............

SSTP передает на физическом уровне пакеты размером 1500 байт, поэтому является самым выгодным протоколом для передачи данных через интернет, если исключить высокую нагрузку на процессор.

Подскажите пожалуйста, а как тогда SSTP выполняет туннелирование?

[EugeneTV]

Прям на вики микротика описан site-to-site между двумя микротами.

c использованием aggresive mode?

 

SSTP передает на физическом уровне пакеты размером 1500 байт

SSTP это же TCP, а значит весь тоннель это одно TCP-соединение, в ряде случаев (вероятно в большинстве) будет сильно проигрывать в скорости тому же l2tp, который поверх UDP работает.

[Night_Snake]

Если есть 2 точки в интернете, то между ними нужно поднять туннель, в котором уже получаете 2 фиксированных серых адреса.

При этом для передачи данных в интернете требуется упаковка, поэтому даже используя IP-IP туннель, уже проигрываете в МТУ.

SSTP передает на физическом уровне пакеты размером 1500 байт, поэтому является самым выгодным протоколом для передачи данных через интернет, если исключить высокую нагрузку на процессор.

обнять и плпакать

 

c использованием aggresive mode?

Я про aggressive mode не говорил, я говорил о том, где взять пример настройки site-to-site. Если одна из сторон - динамика, то я бы выбрал l2tp/ipsec чисто за счет предсказуемости хотя бы.

[Dm1try]

При использовании L2TP MRRU полные 1500 пакеты тоже ходят нормально.

[Saab95]

При использовании L2TP MRRU полные 1500 пакеты тоже ходят нормально.

 

Только ходят они не размером 1500 байт, а большой пакет + довесок. При этом есть недостатки:

 

1. Задержка маленького пакета 1мс, а задержка большого допустим 2мс.

2. Если очередность следования пакетов по сети оператора будет нарушена, пакет данных потеряется.

3. Сильная нагрузка на процессор.