Перейти к содержимому
Калькуляторы

Выбор модели RouterBOARD под VPN

Планирую в офис взять MikroTik в первую очередь для организации удаленных VPN-подключений по L2TP+IPSec нескольких пользователей (от 1 до 3, с WinXP-Win'8) для доступа к внутреннему 1C серверу в терминальном режиме, ну и дополнительно поднять как опцию однодиапозонную точку доступа для служебных нужд.

Большего не требуется, интернет внутри раздается отдельно через FreeBSD шлюз.

На каком из RouterBOARD лучше остановиться для этого, есть какие либо предпочтения, либо на малом количестве vpn-пользователей разницы нет?

 

Mikrotik RB951Ui-2HnD

Mikrotik RB951G-2HnD

Mikrotik hAP

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

RB3011UiAS-RM но без Wifi

RB951 , hAP для IPSec может оказатся слабоват CPU.

Без IPSec - RB951G-2HnD , 10/100/1000 Ethernet ports.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

RB3011UiAS-RM уже монстрик, не хотелось бы ставить этого зверя только ради решения требуемой задачи конкретно в этой конторе, там в реальных условиях в лучшем случае максимум 2 vpn-пользователя в пике если и будет. От L2TP+IPSec отказываться вроде бы не хотелось.

Хотелось бы чего-то компактного формфактора RB951-го, да и гигабитные порты не важны.

Дома у меня Mikrotik hAP ac, проц у него Atheros QCA9558 720 МГц чуть поболее, чем в 951-х, только он дороже, может его?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Попробовать нужно. Сразу будет видно что и как.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

На имеющемся дома я пробовал, L2TP+IPSec на одного-два пользователя вроде работает нормально, правда не к внутренним ресурсам подключался, а по работе интернета и прохождению больших icmp-пакетов судил, хоть проц MikroTik-а и загружается в пиках до 90-100% во время прогонки тем же speedtest-ом на подключившейся по VPN-машине, эмитируя нагрузку.

Просто Mikrotik hAP ac уже сам по себе самое дорогое решение из домашне-офисных компактных решений, хотелось бы что-то подешевле.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

На 3011 проца хватает на 80 мегабит общего траффика с шифрованием. Тестил позавчера

Inet atom 535 сделал его как игрушку выдав 160

Ipsec sha 256 aes 256

4 ядерный ксеон l5530 2.16 выдает 280 мегабит

Aes-ni не поддерживается :( печаль

6 ядерный 5639 2.16 победил 4 ядерный 5530 2.16 на 130 мегабит в общем зачёте

Из 951 смог выдавить максимум 40 мегабит общего траффика и это при sha1 и aes128

Так, что думайте.

Если канал 100 я бы меньше 3011 не ставил, впнщики и его не забъют

Для себя решил минисервер на атоме. Потому, что мне нужно иногда 100 мегабит в одном направлении

 

Так же хочу проверить aes-ni во фряхе и линухе

Изменено пользователем WY6EPT

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да у них там сейчас общий канал от мегабита до пяти, если не ошибаюсь, о чем вы))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну я факты указал :)

Ни к чему не принуждаю

256 аес с 5 мегабитами канала потянет самый дешевый котик из нага, но аппетиты могут вырасти, а роутер нитратами уже не прикормить, что бы вырос.

И таки да, это тесты гольного железа с 1 активным интерфейсом без бриджа, ната, правил файрвола и прочей его заморачивалки, читай чистое шифрование + прерывания

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

mrrc, проц на RB951xx (такой же на RB2011) тянет ~25Mbit IPSec трафика, загружаясь в 100%.

Если речь идет только о терминальном (RDP) доступе, или о работе 1С в режиме тонкого клиента, вам этого хватит с приличным запасом.

Изменено пользователем nkusnetsov

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

RB850Gx2 в новой ревизии получил аппаратную поддержку AES и может прожевать до 500 мегабит/с в ipsec с sha1 aes256.

 

Но wifi в нем нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

WY6EPT, согласен с вами, если аппетиты вырастут - будем менять железку или понижать шифрование, но на первоначальном этапе внедрять там любое стоечное оборудование пока не уместно.

 

starik-i-more, RB850Gx2 был бы неплох в данном форм-факторе, только я не совсем понял, это материнская плата платформы RB, поставляемая без корпуса?

 

nkusnetsov, основная задача - организация удаленных подключений для использования 1C в терминальном режиме, я тоже считаю, RB951-х будет за глаза.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

RB850Gx2 <...> это материнская плата платформы RB, поставляемая без корпуса?

 

Да. Вот корпус для него.

https://routerboard.com/CA150

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да. Вот корпус для него.

https://routerboard.com/CA150

Платформа RB850Gx2, говорите, существует в разных ревизиях? На сайте про аппаратную поддержку дешифровки ничего не нашел.

Т.е. заказывается по-отдельности платформа и корпус, после собирается самостоятельно?

Хм, любопытно, стоит рассмотреть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

http://download2.mikrotik.com/news/news_66.pdf

The RB850Gx2 devices are now shipped with a CPU that features Hardware Encryption Acceleration (serial numbers that
start with “5”). Combined with up to date RouterOS version (6.28 or above), you will now be able to reach 500Mbps with
AES128 encryption on this device.

 

Т.е. заказывается по-отдельности платформа и корпус, после собирается самостоятельно?

Многие магазины продают их сразу комплектом. Мне кажется, что когда то приходило уже даже в сборе.

http://wifimag.ru/cat/mikrotik/ethernet_routery/mikrotik_routerboard_mrtgx2/

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Судя по всему, с RB850Gx2 не все так гладко.

Исходя из этой статьи, агрегат неплохой, только при заказе с ревизией маху не дать, серийный номер второй ревизии начинается с цифры 5, что может оказаться не совсем простым занятием.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да, такая проблема есть. Летом в 2 захода закупали 2 шт RB850Gx2. К сожалению в моем случае продавцы не знали старая или новая ревизия у них на складе. Но обе оказались с hw aes.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

К сожалению в моем случае продавцы не знали старая или новая ревизия у них на складе. Но обе оказались с hw aes.

Это больше всего и смущает, в специализированных конторах самому поехать проверять и купить возможности нет, тем более когда нужно быстро, а заказывать стандартным образом большой шанс получить не то, что планировалось. Да и далеко не везде она имеется в продаже.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

mrrc, проц на RB951xx (такой же на RB2011) тянет ~25Mbit IPSec трафика, загружаясь в 100%.

Если речь идет только о терминальном (RDP) доступе, или о работе 1С в режиме тонкого клиента, вам этого хватит с приличным запасом.

+ много за самый простой RB951Ui-2HnD.

Изумительная машинка за свои деньги.

WiFi работает практически отлично, по производительности под ваших терминальных клиентов через VPN его хватит с головой, в имеющийся USB-порт можно 3G/LTE модем зарядить в качестве запасного канала к примеру.

А понадобится более 20 мбит с шифрованием - поменяете его на что-то другое из предложенного, полсотни с небольшим американских денег за него - не такая уж капитальная трата, снятого с дежурства еще куда-то приспособите.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Спасибо.

Заказал RB951G-2HnD, благо 951-е всегда есть в наличие.

Покрутил еще с вариантом RB850Gx2, у поставщиков все по-отдельности в основном - плата, корпус, бп или плата+бп и корпус отдельно, и какая там ревизия устройства на складах - никто вдаваться особо не хочет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

На MUM один из докладчиков говорил, что в mikrotik hex есть hardware encryption. Официального подтверждения нигде не нашел.

 

Кто то из владельцев HEX может потестировать производительность в ipsec aes128?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Тест скорости для разных типов VPN для 951-ой модели можно посмотреть здесь: http://mikrotik.vetriks.ru/wiki/Прочее:Тест_скорости_передачи_данных_при_VPN

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

На MUM один из докладчиков говорил, что в mikrotik hex есть hardware encryption. Официального подтверждения нигде не нашел.

О, как! А кто из докладчиков такое ляпнул? Дайте ссылку.

Нету в hex hardware encryption. Что-что, а в вики у микротика обновления проходят качественно.

http://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Hardware_encryption

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

На MUM один из докладчиков говорил, что в mikrotik hex есть hardware encryption. Официального подтверждения нигде не нашел.

http://mum.mikrotik.com/presentations/RU16/presentation_3751_1475495910.pdf

28 страница.

Пока в стадии тестов. Имел возможность посчупать в работе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

mafijs, ах вон оно что... Опоздал я на открытие - не видел. Так их новые продукты годами ждут. Тот же 3011 всё никак нормально в серию не запустят. Хз когда еще на рынок выйдет и эта железяка, ибо для аппаратной поддержки надо или проц или обвязку менять. А это вилы для софтописателей - они и так с потоком багов тяжело справляются уже и тут такой шанс наплодить новые.

Изменено пользователем nkusnetsov

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Тот же 3011 всё никак нормально в серию не запустят.

Неуспевает производить . Но уже с етим справились. только уж большая очеред на них.

В МУМ в Москве я не был, заграница ... :>>

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.