Jump to content
Калькуляторы

Выбор модели RouterBOARD под VPN

Reply to this topic

mrrc   

mrrc
Posted

Планирую в офис взять MikroTik в первую очередь для организации удаленных VPN-подключений по L2TP+IPSec нескольких пользователей (от 1 до 3, с WinXP-Win'8) для доступа к внутреннему 1C серверу в терминальном режиме, ну и дополнительно поднять как опцию однодиапозонную точку доступа для служебных нужд.

Большего не требуется, интернет внутри раздается отдельно через FreeBSD шлюз.

На каком из RouterBOARD лучше остановиться для этого, есть какие либо предпочтения, либо на малом количестве vpn-пользователей разницы нет?

 

Mikrotik RB951Ui-2HnD

Mikrotik RB951G-2HnD

Mikrotik hAP

Share this post

Link to post
Share on other sites

mrrc   

mrrc
Posted

RB3011UiAS-RM уже монстрик, не хотелось бы ставить этого зверя только ради решения требуемой задачи конкретно в этой конторе, там в реальных условиях в лучшем случае максимум 2 vpn-пользователя в пике если и будет. От L2TP+IPSec отказываться вроде бы не хотелось.

Хотелось бы чего-то компактного формфактора RB951-го, да и гигабитные порты не важны.

Дома у меня Mikrotik hAP ac, проц у него Atheros QCA9558 720 МГц чуть поболее, чем в 951-х, только он дороже, может его?

Share this post

Link to post
Share on other sites

mrrc   

mrrc
Posted

На имеющемся дома я пробовал, L2TP+IPSec на одного-два пользователя вроде работает нормально, правда не к внутренним ресурсам подключался, а по работе интернета и прохождению больших icmp-пакетов судил, хоть проц MikroTik-а и загружается в пиках до 90-100% во время прогонки тем же speedtest-ом на подключившейся по VPN-машине, эмитируя нагрузку.

Просто Mikrotik hAP ac уже сам по себе самое дорогое решение из домашне-офисных компактных решений, хотелось бы что-то подешевле.

Share this post

Link to post
Share on other sites

WY6EPT   

WY6EPT
Posted (edited)

На 3011 проца хватает на 80 мегабит общего траффика с шифрованием. Тестил позавчера

Inet atom 535 сделал его как игрушку выдав 160

Ipsec sha 256 aes 256

4 ядерный ксеон l5530 2.16 выдает 280 мегабит

Aes-ni не поддерживается :( печаль

6 ядерный 5639 2.16 победил 4 ядерный 5530 2.16 на 130 мегабит в общем зачёте

Из 951 смог выдавить максимум 40 мегабит общего траффика и это при sha1 и aes128

Так, что думайте.

Если канал 100 я бы меньше 3011 не ставил, впнщики и его не забъют

Для себя решил минисервер на атоме. Потому, что мне нужно иногда 100 мегабит в одном направлении

 

Так же хочу проверить aes-ni во фряхе и линухе

Edited by WY6EPT

Share this post

Link to post
Share on other sites

WY6EPT   

WY6EPT
Posted

Ну я факты указал :)

Ни к чему не принуждаю

256 аес с 5 мегабитами канала потянет самый дешевый котик из нага, но аппетиты могут вырасти, а роутер нитратами уже не прикормить, что бы вырос.

И таки да, это тесты гольного железа с 1 активным интерфейсом без бриджа, ната, правил файрвола и прочей его заморачивалки, читай чистое шифрование + прерывания

Share this post

Link to post
Share on other sites

nkusnetsov   

nkusnetsov
Posted (edited)

mrrc, проц на RB951xx (такой же на RB2011) тянет ~25Mbit IPSec трафика, загружаясь в 100%.

Если речь идет только о терминальном (RDP) доступе, или о работе 1С в режиме тонкого клиента, вам этого хватит с приличным запасом.

Edited by nkusnetsov

Share this post

Link to post
Share on other sites

starik-i-more   

starik-i-more
Posted

RB850Gx2 в новой ревизии получил аппаратную поддержку AES и может прожевать до 500 мегабит/с в ipsec с sha1 aes256.

 

Но wifi в нем нет.

Share this post

Link to post
Share on other sites

mrrc   

mrrc
Posted

WY6EPT, согласен с вами, если аппетиты вырастут - будем менять железку или понижать шифрование, но на первоначальном этапе внедрять там любое стоечное оборудование пока не уместно.

 

starik-i-more, RB850Gx2 был бы неплох в данном форм-факторе, только я не совсем понял, это материнская плата платформы RB, поставляемая без корпуса?

 

nkusnetsov, основная задача - организация удаленных подключений для использования 1C в терминальном режиме, я тоже считаю, RB951-х будет за глаза.

Share this post

Link to post
Share on other sites

mrrc   

mrrc
Posted

Да. Вот корпус для него.

https://routerboard.com/CA150

Платформа RB850Gx2, говорите, существует в разных ревизиях? На сайте про аппаратную поддержку дешифровки ничего не нашел.

Т.е. заказывается по-отдельности платформа и корпус, после собирается самостоятельно?

Хм, любопытно, стоит рассмотреть.

Share this post

Link to post
Share on other sites

starik-i-more   

starik-i-more
Posted

http://download2.mikrotik.com/news/news_66.pdf

The RB850Gx2 devices are now shipped with a CPU that features Hardware Encryption Acceleration (serial numbers that
start with “5”). Combined with up to date RouterOS version (6.28 or above), you will now be able to reach 500Mbps with
AES128 encryption on this device.

 

Т.е. заказывается по-отдельности платформа и корпус, после собирается самостоятельно?

Многие магазины продают их сразу комплектом. Мне кажется, что когда то приходило уже даже в сборе.

http://wifimag.ru/cat/mikrotik/ethernet_routery/mikrotik_routerboard_mrtgx2/

Share this post

Link to post
Share on other sites

mrrc   

mrrc
Posted

Судя по всему, с RB850Gx2 не все так гладко.

Исходя из этой статьи, агрегат неплохой, только при заказе с ревизией маху не дать, серийный номер второй ревизии начинается с цифры 5, что может оказаться не совсем простым занятием.

Share this post

Link to post
Share on other sites

starik-i-more   

starik-i-more
Posted

Да, такая проблема есть. Летом в 2 захода закупали 2 шт RB850Gx2. К сожалению в моем случае продавцы не знали старая или новая ревизия у них на складе. Но обе оказались с hw aes.

Share this post

Link to post
Share on other sites

mrrc   

mrrc
Posted

К сожалению в моем случае продавцы не знали старая или новая ревизия у них на складе. Но обе оказались с hw aes.

Это больше всего и смущает, в специализированных конторах самому поехать проверять и купить возможности нет, тем более когда нужно быстро, а заказывать стандартным образом большой шанс получить не то, что планировалось. Да и далеко не везде она имеется в продаже.

Share this post

Link to post
Share on other sites

SolarW   

SolarW
Posted

mrrc, проц на RB951xx (такой же на RB2011) тянет ~25Mbit IPSec трафика, загружаясь в 100%.

Если речь идет только о терминальном (RDP) доступе, или о работе 1С в режиме тонкого клиента, вам этого хватит с приличным запасом.

+ много за самый простой RB951Ui-2HnD.

Изумительная машинка за свои деньги.

WiFi работает практически отлично, по производительности под ваших терминальных клиентов через VPN его хватит с головой, в имеющийся USB-порт можно 3G/LTE модем зарядить в качестве запасного канала к примеру.

А понадобится более 20 мбит с шифрованием - поменяете его на что-то другое из предложенного, полсотни с небольшим американских денег за него - не такая уж капитальная трата, снятого с дежурства еще куда-то приспособите.

Share this post

Link to post
Share on other sites

mrrc   

mrrc
Posted

Спасибо.

Заказал RB951G-2HnD, благо 951-е всегда есть в наличие.

Покрутил еще с вариантом RB850Gx2, у поставщиков все по-отдельности в основном - плата, корпус, бп или плата+бп и корпус отдельно, и какая там ревизия устройства на складах - никто вдаваться особо не хочет.

Share this post

Link to post
Share on other sites

starik-i-more   

starik-i-more
Posted

На MUM один из докладчиков говорил, что в mikrotik hex есть hardware encryption. Официального подтверждения нигде не нашел.

 

Кто то из владельцев HEX может потестировать производительность в ipsec aes128?

Share this post

Link to post
Share on other sites

Nemiroff_84   

Nemiroff_84
Posted

Тест скорости для разных типов VPN для 951-ой модели можно посмотреть здесь: http://mikrotik.vetriks.ru/wiki/Прочее:Тест_скорости_передачи_данных_при_VPN

Share this post

Link to post
Share on other sites

nkusnetsov   

nkusnetsov
Posted

На MUM один из докладчиков говорил, что в mikrotik hex есть hardware encryption. Официального подтверждения нигде не нашел.

О, как! А кто из докладчиков такое ляпнул? Дайте ссылку.

Нету в hex hardware encryption. Что-что, а в вики у микротика обновления проходят качественно.

http://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Hardware_encryption

Share this post

Link to post
Share on other sites

mafijs   

mafijs
Posted

На MUM один из докладчиков говорил, что в mikrotik hex есть hardware encryption. Официального подтверждения нигде не нашел.

http://mum.mikrotik.com/presentations/RU16/presentation_3751_1475495910.pdf

28 страница.

Пока в стадии тестов. Имел возможность посчупать в работе.

Share this post

Link to post
Share on other sites

nkusnetsov   

nkusnetsov
Posted (edited)

mafijs, ах вон оно что... Опоздал я на открытие - не видел. Так их новые продукты годами ждут. Тот же 3011 всё никак нормально в серию не запустят. Хз когда еще на рынок выйдет и эта железяка, ибо для аппаратной поддержки надо или проц или обвязку менять. А это вилы для софтописателей - они и так с потоком багов тяжело справляются уже и тут такой шанс наплодить новые.

Edited by nkusnetsov

Share this post

Link to post
Share on other sites

mafijs   

mafijs
Posted

Тот же 3011 всё никак нормально в серию не запустят.

Неуспевает производить . Но уже с етим справились. только уж большая очеред на них.

В МУМ в Москве я не был, заграница ... :>>

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Followers 0
Go to topic listing Mikrotik коммутаторы и маршрутизаторы