Перейти к содержимому
Калькуляторы

Недостаточная скорость туннелей

Это GRE туннель какой-то получается. На самом деле те вопросы, которые вы ставите, решаются несколькими EoIP туннелями, или через MPLS, там все еще проще по теме куче L2 каналов.

Отлично. Расскажите разницу между между gre, mpls, eoip, l2tpv3 и l2tpv2. И расскажите какие подводные камни возникают при поднятии между двумя филиалами параллельно нескольких параллельно работающих тунелей, если в каждом филиале только по одному провайдеру и он дает тебе только один адрес.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

И зачем такое барахло? Которое после года эксплуатации только дорога на помойку? На баланс не поставить, стоимости на вторичном рынке нет. А вот на новый микротик есть и гарантия, можно поставить на баланс, то есть если организация зарабатывает деньги, и часть финансовых потоков возвращается на покупку оборудования, то зачем утруждать себя экономией средств организации и собирать б/у сервера, с которыми могут быть проблемы, и потом краснеть за такую технологию, когда удаленный филиал на день останется без связи.

В каком месте я привел б/у?

Почему я не могу это поставить на баланс?

Каким макаром вы собрались возвращать деньги за покупку микротика?

В каком месте один микротик надежнее двух самосборных роутеров?

Кто краснеет на этом форуме из-за проблем со связью на микротиках, а кто помогает разобраться в его приколами с самосборами под мышкой?

;)

 

Пока вижу существенное улучшение по скорости. OSPF пока не завелся, подожду до выходных - буду тесты гонять сначала с одним провайдером, затем с двумя.

http://prntscr.com/eve8vy

всем спасибо!

Найс.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Отлично. Расскажите разницу между между gre, mpls, eoip, l2tpv3 и l2tpv2. И расскажите какие подводные камни возникают при поднятии между двумя филиалами параллельно нескольких параллельно работающих тунелей, если в каждом филиале только по одному провайдеру и он дает тебе только один адрес.

 

Поднимаете L2TP туннель между офисами, а поверх EoIP или MPLS, если нужно передать много L2 туннелей, и более никакие странности не требуются.

 

Почему я не могу это поставить на баланс?

 

С таким успехом можно и карандаши на баланс ставить - слишком маленькая стоимость оборудования.

 

Любопытно почему? Я без всякой иронии спрашиваю, мне просто интересно понять вашу точку зрения.

 

Потому что все программы и приложения, передающие важные данные, сами все шифруют. А если данные очень сильно важные - тогда РДП используют. А не соединяют 2 локалки и переписывают файлы через интернет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Потому что все программы и приложения, передающие важные данные, сами все шифруют.

То бишь, я должен целиком положиться на софтописателей, принять как аксиому, что все их поделия используют криптостойкие алгоритмы шифрования? Нет уж, я лучше зашифрую тоннель целиком и буду спать спокойно (относительно конечно)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Потому что все программы и приложения, передающие важные данные, сами все шифруют.

То бишь, я должен целиком положиться на софтописателей, принять как аксиому, что все их поделия используют криптостойкие алгоритмы шифрования? Нет уж, я лучше зашифрую тоннель целиком и буду спать спокойно (относительно конечно)

Кстати, всегда интересовал вопрос: как можно проверить что твой туннель зашифрован. Что там в wireshark-е изменится?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Поднимаете L2TP туннель между офисами, а поверх EoIP или MPLS, если нужно передать много L2 туннелей, и более никакие странности не требуются.

То есть вы утверждаете что такое решение запустится и готовы отвечать деньгами с прописанной в контракте неустойкой, что это будет работать?

Потому что все программы и приложения, передающие важные данные, сами все шифруют. А если данные очень сильно важные - тогда РДП используют. А не соединяют 2 локалки и переписывают файлы через интернет.

То есть вы утверждаете, что готовы сдать сеть, обрабатывающую сведения составляющие государственную тайну конфиденциальную информацию (упростим задачу), на микротиках и готовы подтвердить вышеозвученное высказывание комиссии Заказчика в которую входят представители в/ч 43753, а также получить разрешение на эксплуатацию такого объекта ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Saab95 можно с вами как-нибудь связаться? В ЛС к вам не отправляются.

 

Напишите в профиле вопрос и почту.

 

Не получается редактировать профиль. Вы бы не могли на почту написать: erlapon@mail.ru?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

То есть вы утверждаете, что готовы сдать сеть, обрабатывающую сведения составляющие государственную тайну конфиденциальную информацию (упростим задачу), на микротиках и готовы подтвердить вышеозвученное высказывание комиссии Заказчика в которую входят представители в/ч 43753, а также получить разрешение на эксплуатацию такого объекта ?

 

Зачем? Есть много клиентов, которым ничего особого не требуется - нужно с ними работать. А с особенными клиентами, которым требуется особенное шифрование - пусть работают люди, которые имеют лицензию на работу с важными данными.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А этот вопрос?

Поднимаете L2TP туннель между офисами, а поверх EoIP или MPLS, если нужно передать много L2 туннелей, и более никакие странности не требуются.

То есть вы утверждаете что такое решение запустится и готовы отвечать деньгами с прописанной в контракте неустойкой, что это будет работать?

 

И да, вдогоночку:

Вобщем, недолго ждали...

В Йемене массовые взломы микротиков, всего прова массово ломают, потом требуют выкуп.

https://forum.mikrotik.com/viewtopic.php?t=120753

Попробую разузнать побольше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сети на УБНТ тоже вон ломают, хотя это не роутеры, а просто антенны и базовые станции, которые, по уму, вообще никакого доступа в интернет иметь не должны.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Зачем? Есть много клиентов, которым ничего особого не требуется - нужно с ними работать.

Даже если в туннеле не ходит ничего особо секретного, не хочется чтобы админ провайдера, например, из любопытства поглядывал что там. Да мало ли, у меня в квартире тоже ничего секретного и необычного не происходит, но двери я почему-то запираю и окна зачем-то зашториваю.

Изменено пользователем EugeneTV

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сети на УБНТ тоже вон ломают, хотя это не роутеры, а просто антенны и базовые станции, которые, по уму, вообще никакого доступа в интернет иметь не должны.

 

по УБНТ то всё более менее понятно, устройства лечатся и отключением всякой каки последующие взломы предотвращаются. А что в этом плане предлагает некротик?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

по УБНТ то всё более менее понятно, устройства лечатся и отключением всякой каки последующие взломы предотвращаются. А что в этом плане предлагает некротик?

 

Так на микротике достаточно все не нужные порты отключить и настроить ограничения на доступ админов, и никаких проблем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Так на микротике достаточно все не нужные порты отключить и настроить ограничения на доступ админов, и никаких проблем.

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-7285

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

pppoetest, так то ж гармошка, уже можно сказать, старая. Дебилов держащих открытый в Интернет порт управления надо наказывать. Независимо от модели оборудования.

Изменено пользователем nkusnetsov

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Niksea

 

попробуйте версию ROS 6.39 (там исправили проблему с out-of-order packet)

 

и предварительно удостоверьтесь, что у вас нет проблем с фрагментацией (установлен правильный MTU)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Доброго дня уважаемые!

Пытаюсь найти информацию по поисковикам, но как-то тщетно.

Давно заметил, что vpn в мобильных сетях не хотят работать стабильно.

Пару лет назад для себя выбрал sstp, который поначалу (если мне не показалось), работал довольно быстро, но не долго.

Сейчас sstp работает со скоростью 2 Мбит/с - со всех мобильных операторов на впн сервер любого провайдера с любой аппаратной коонфигурацией сервера.

Есть ли кто-то, кто данный вопрос изучал и смог добиться стабильной работы vpn в мобильных сетях на скоростях в десятки Мбит/с.

Есть тестовый канал на 50 Мбит/с на wap lte kit с безлимитной симкой.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, electron39 сказал:

Доброго дня уважаемые!

Пытаюсь найти информацию по поисковикам, но как-то тщетно.

Давно заметил, что vpn в мобильных сетях не хотят работать стабильно.

Пару лет назад для себя выбрал sstp, который поначалу (если мне не показалось), работал довольно быстро, но не долго.

Сейчас sstp работает со скоростью 2 Мбит/с - со всех мобильных операторов на впн сервер любого провайдера с любой аппаратной коонфигурацией сервера.

Есть ли кто-то, кто данный вопрос изучал и смог добиться стабильной работы vpn в мобильных сетях на скоростях в десятки Мбит/с.

Есть тестовый канал на 50 Мбит/с на wap lte kit с безлимитной симкой.

Да все элементарно.

Не надо использовать туннели, работающие через TCP.

В качестве сервера и клиента какие устройства?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сервер RB1100AHx4, или RB450Gx4, клиенты SXT LTE, wap LTE kit, 952+huawei E3372h - в бОльшей сепени.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Скорее всего сотовые обнаруживают туннель и ограничивают скорость, т.к. не могут приоритезировать передаваемые в нем данные. Попробуйте другие типы туннелей без шифрования, например L2TP или PPTP.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Тоже с таким сталкивался что вайбер нормально звонит через 3G сеть, а SIP, пропущенный через udp туннель булькает. Получается у всех сотовых операторов имеет место работа приоритезации при перегрузке сети? Не в курсе как именно они эти приоритеты выставляют? DPI?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

6 hours ago, Saab95 said:

Скорее всего сотовые обнаруживают туннель и ограничивают скорость, т.к. не могут приоритезировать передаваемые в нем данные. Попробуйте другие типы туннелей без шифрования, например L2TP или PPTP.

Раньше вроде бы PPTP сессии часто обрубались, поэтому и выбрал SSTP из-за 443 порта - чисто для мониторинга 200 клиентов. Потм клиенты начали просить РДП и видеонаблюдение и оказалось, что нужно что-то искать. Сейчас на тестовых железках PPTP показали хорошую скорость. Попробую с SSTP перейти на PPTP, надеюсь сессии будут держаться так же стабильно как SSTP.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У сотовых постоянно что-то обрубается. Особенно это касается L2TP туннелей. Могут или не работать вообще, или появляются проблемы стабильности. Часто это связано с размером MTU, т.к. в разных местах сети могут быть проблемы с пропуском больших пакетов 1500 байт. То есть в одном месте сети они ходят, при подключении к другой БС идут с потерями и нужно уменьшать MTU на туннеле до 1400 или 1300 байт. Если изначально уменьшить до 1300 обычно все и везде нормально работает.

 

По приоритезации там просто - если тип трафика известен то его пропускают в соответствии с настройками, если не известен - устанавливаются самые высокие ограничения. Именно по этой причине SIP хорошо работает через SSTP, и булькает через UDP - в первом случае тип трафика не известен, но полностью его не обрезают, а в случае открытого SIP его определяют и начинают резать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В итоге, по существу вопроса то какие решения? Сейчас такая же хрень у меня творится, правда, микротика 3 штуки, один транзитный, но каналы хорошие.

А Windows так же копирует со скоростью 1.5-3 Мбит/с....

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

16 hours ago, ss141120 said:

В итоге, по существу вопроса то какие решения?

По существу какого именно вопроса ? Проблем с провайдерами ? Наверно, провайдеров менять ...

А так никаких проблем с туннелями на микротиках нет, сейчас еще сделали аппаратное ускорение IPsec у RB3011, вообще отлично работает - 30 мбит/с при загрузке процессора несколько процентов.

 

 

 

Capture.PNG

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.