mrrc Опубликовано 23 сентября, 2016 · Жалоба Планирую в офис взять MikroTik в первую очередь для организации удаленных VPN-подключений по L2TP+IPSec нескольких пользователей (от 1 до 3, с WinXP-Win'8) для доступа к внутреннему 1C серверу в терминальном режиме, ну и дополнительно поднять как опцию однодиапозонную точку доступа для служебных нужд. Большего не требуется, интернет внутри раздается отдельно через FreeBSD шлюз. На каком из RouterBOARD лучше остановиться для этого, есть какие либо предпочтения, либо на малом количестве vpn-пользователей разницы нет? Mikrotik RB951Ui-2HnD Mikrotik RB951G-2HnD Mikrotik hAP Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mafijs Опубликовано 23 сентября, 2016 · Жалоба RB3011UiAS-RM но без Wifi RB951 , hAP для IPSec может оказатся слабоват CPU. Без IPSec - RB951G-2HnD , 10/100/1000 Ethernet ports. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mrrc Опубликовано 23 сентября, 2016 · Жалоба RB3011UiAS-RM уже монстрик, не хотелось бы ставить этого зверя только ради решения требуемой задачи конкретно в этой конторе, там в реальных условиях в лучшем случае максимум 2 vpn-пользователя в пике если и будет. От L2TP+IPSec отказываться вроде бы не хотелось. Хотелось бы чего-то компактного формфактора RB951-го, да и гигабитные порты не важны. Дома у меня Mikrotik hAP ac, проц у него Atheros QCA9558 720 МГц чуть поболее, чем в 951-х, только он дороже, может его? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mafijs Опубликовано 23 сентября, 2016 · Жалоба Попробовать нужно. Сразу будет видно что и как. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mrrc Опубликовано 23 сентября, 2016 · Жалоба На имеющемся дома я пробовал, L2TP+IPSec на одного-два пользователя вроде работает нормально, правда не к внутренним ресурсам подключался, а по работе интернета и прохождению больших icmp-пакетов судил, хоть проц MikroTik-а и загружается в пиках до 90-100% во время прогонки тем же speedtest-ом на подключившейся по VPN-машине, эмитируя нагрузку. Просто Mikrotik hAP ac уже сам по себе самое дорогое решение из домашне-офисных компактных решений, хотелось бы что-то подешевле. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
WY6EPT Опубликовано 23 сентября, 2016 (изменено) · Жалоба На 3011 проца хватает на 80 мегабит общего траффика с шифрованием. Тестил позавчера Inet atom 535 сделал его как игрушку выдав 160 Ipsec sha 256 aes 256 4 ядерный ксеон l5530 2.16 выдает 280 мегабит Aes-ni не поддерживается :( печаль 6 ядерный 5639 2.16 победил 4 ядерный 5530 2.16 на 130 мегабит в общем зачёте Из 951 смог выдавить максимум 40 мегабит общего траффика и это при sha1 и aes128 Так, что думайте. Если канал 100 я бы меньше 3011 не ставил, впнщики и его не забъют Для себя решил минисервер на атоме. Потому, что мне нужно иногда 100 мегабит в одном направлении Так же хочу проверить aes-ni во фряхе и линухе Изменено 23 сентября, 2016 пользователем WY6EPT Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mrrc Опубликовано 23 сентября, 2016 · Жалоба Да у них там сейчас общий канал от мегабита до пяти, если не ошибаюсь, о чем вы)) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
WY6EPT Опубликовано 23 сентября, 2016 · Жалоба Ну я факты указал :) Ни к чему не принуждаю 256 аес с 5 мегабитами канала потянет самый дешевый котик из нага, но аппетиты могут вырасти, а роутер нитратами уже не прикормить, что бы вырос. И таки да, это тесты гольного железа с 1 активным интерфейсом без бриджа, ната, правил файрвола и прочей его заморачивалки, читай чистое шифрование + прерывания Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nkusnetsov Опубликовано 24 сентября, 2016 (изменено) · Жалоба mrrc, проц на RB951xx (такой же на RB2011) тянет ~25Mbit IPSec трафика, загружаясь в 100%. Если речь идет только о терминальном (RDP) доступе, или о работе 1С в режиме тонкого клиента, вам этого хватит с приличным запасом. Изменено 24 сентября, 2016 пользователем nkusnetsov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
starik-i-more Опубликовано 24 сентября, 2016 · Жалоба RB850Gx2 в новой ревизии получил аппаратную поддержку AES и может прожевать до 500 мегабит/с в ipsec с sha1 aes256. Но wifi в нем нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mrrc Опубликовано 24 сентября, 2016 · Жалоба WY6EPT, согласен с вами, если аппетиты вырастут - будем менять железку или понижать шифрование, но на первоначальном этапе внедрять там любое стоечное оборудование пока не уместно. starik-i-more, RB850Gx2 был бы неплох в данном форм-факторе, только я не совсем понял, это материнская плата платформы RB, поставляемая без корпуса? nkusnetsov, основная задача - организация удаленных подключений для использования 1C в терминальном режиме, я тоже считаю, RB951-х будет за глаза. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mafijs Опубликовано 24 сентября, 2016 · Жалоба RB850Gx2 <...> это материнская плата платформы RB, поставляемая без корпуса? Да. Вот корпус для него. https://routerboard.com/CA150 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mrrc Опубликовано 24 сентября, 2016 · Жалоба Да. Вот корпус для него. https://routerboard.com/CA150 Платформа RB850Gx2, говорите, существует в разных ревизиях? На сайте про аппаратную поддержку дешифровки ничего не нашел. Т.е. заказывается по-отдельности платформа и корпус, после собирается самостоятельно? Хм, любопытно, стоит рассмотреть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
starik-i-more Опубликовано 24 сентября, 2016 · Жалоба http://download2.mikrotik.com/news/news_66.pdf The RB850Gx2 devices are now shipped with a CPU that features Hardware Encryption Acceleration (serial numbers that start with “5”). Combined with up to date RouterOS version (6.28 or above), you will now be able to reach 500Mbps with AES128 encryption on this device. Т.е. заказывается по-отдельности платформа и корпус, после собирается самостоятельно? Многие магазины продают их сразу комплектом. Мне кажется, что когда то приходило уже даже в сборе. http://wifimag.ru/cat/mikrotik/ethernet_routery/mikrotik_routerboard_mrtgx2/ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mrrc Опубликовано 24 сентября, 2016 · Жалоба Судя по всему, с RB850Gx2 не все так гладко. Исходя из этой статьи, агрегат неплохой, только при заказе с ревизией маху не дать, серийный номер второй ревизии начинается с цифры 5, что может оказаться не совсем простым занятием. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
starik-i-more Опубликовано 25 сентября, 2016 · Жалоба Да, такая проблема есть. Летом в 2 захода закупали 2 шт RB850Gx2. К сожалению в моем случае продавцы не знали старая или новая ревизия у них на складе. Но обе оказались с hw aes. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mrrc Опубликовано 25 сентября, 2016 · Жалоба К сожалению в моем случае продавцы не знали старая или новая ревизия у них на складе. Но обе оказались с hw aes. Это больше всего и смущает, в специализированных конторах самому поехать проверять и купить возможности нет, тем более когда нужно быстро, а заказывать стандартным образом большой шанс получить не то, что планировалось. Да и далеко не везде она имеется в продаже. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SolarW Опубликовано 25 сентября, 2016 · Жалоба mrrc, проц на RB951xx (такой же на RB2011) тянет ~25Mbit IPSec трафика, загружаясь в 100%. Если речь идет только о терминальном (RDP) доступе, или о работе 1С в режиме тонкого клиента, вам этого хватит с приличным запасом. + много за самый простой RB951Ui-2HnD. Изумительная машинка за свои деньги. WiFi работает практически отлично, по производительности под ваших терминальных клиентов через VPN его хватит с головой, в имеющийся USB-порт можно 3G/LTE модем зарядить в качестве запасного канала к примеру. А понадобится более 20 мбит с шифрованием - поменяете его на что-то другое из предложенного, полсотни с небольшим американских денег за него - не такая уж капитальная трата, снятого с дежурства еще куда-то приспособите. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mrrc Опубликовано 26 сентября, 2016 · Жалоба Спасибо. Заказал RB951G-2HnD, благо 951-е всегда есть в наличие. Покрутил еще с вариантом RB850Gx2, у поставщиков все по-отдельности в основном - плата, корпус, бп или плата+бп и корпус отдельно, и какая там ревизия устройства на складах - никто вдаваться особо не хочет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
starik-i-more Опубликовано 3 октября, 2016 · Жалоба На MUM один из докладчиков говорил, что в mikrotik hex есть hardware encryption. Официального подтверждения нигде не нашел. Кто то из владельцев HEX может потестировать производительность в ipsec aes128? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nemiroff_84 Опубликовано 3 октября, 2016 · Жалоба Тест скорости для разных типов VPN для 951-ой модели можно посмотреть здесь: http://mikrotik.vetriks.ru/wiki/Прочее:Тест_скорости_передачи_данных_при_VPN Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nkusnetsov Опубликовано 4 октября, 2016 · Жалоба На MUM один из докладчиков говорил, что в mikrotik hex есть hardware encryption. Официального подтверждения нигде не нашел. О, как! А кто из докладчиков такое ляпнул? Дайте ссылку. Нету в hex hardware encryption. Что-что, а в вики у микротика обновления проходят качественно. http://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Hardware_encryption Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mafijs Опубликовано 4 октября, 2016 · Жалоба На MUM один из докладчиков говорил, что в mikrotik hex есть hardware encryption. Официального подтверждения нигде не нашел. http://mum.mikrotik.com/presentations/RU16/presentation_3751_1475495910.pdf 28 страница. Пока в стадии тестов. Имел возможность посчупать в работе. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nkusnetsov Опубликовано 4 октября, 2016 (изменено) · Жалоба mafijs, ах вон оно что... Опоздал я на открытие - не видел. Так их новые продукты годами ждут. Тот же 3011 всё никак нормально в серию не запустят. Хз когда еще на рынок выйдет и эта железяка, ибо для аппаратной поддержки надо или проц или обвязку менять. А это вилы для софтописателей - они и так с потоком багов тяжело справляются уже и тут такой шанс наплодить новые. Изменено 4 октября, 2016 пользователем nkusnetsov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mafijs Опубликовано 4 октября, 2016 · Жалоба Тот же 3011 всё никак нормально в серию не запустят. Неуспевает производить . Но уже с етим справились. только уж большая очеред на них. В МУМ в Москве я не был, заграница ... :>> Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...