Jump to content
Калькуляторы

Туннель между Linux и Mikrotik

Всем привет!

 

Посоветуйте какой вариант туннеля (L3) лучше выбрать между Linux и Mikrotik.

 

Сейчас работает на OpenVPN TCP, но есть нарекания на работу телефонии.

OpenVPN UDP я так понимаю до сих пор не реализовали и вся проблема в этом?

Если пускаю ее без туннеля, напрямую проблем нет...

Share this post


Link to post
Share on other sites

Поменять mikrotik на более мощный RB1100AHx4 Dude Edition, RB3011UiAS-RM, CCR1009-7G, CCR1016-12 итд.

И IPsec

Edited by Chexov

Share this post


Link to post
Share on other sites

Слишком шикарно будет поменять RB951-2n на RB1100AHx4 Dude Edition для микроофиса из 2ПК и 2 Телефонов )))

RB951-2n вроде IPsec поддерживает тоже.

Share this post


Link to post
Share on other sites

Да меняйте на что угодно, лишь бы транспорт по udp, l2tp к примеру.

Share this post


Link to post
Share on other sites

Слишком шикарно будет поменять RB951-2n на RB1100AHx4 Dude Edition для микроофиса из 2ПК и 2 Телефонов )))

RB951-2n вроде IPsec поддерживает тоже.

Шикарно, извините меня, это для вас.., посмотрите нагрузку процессора и памяти, когда у вас туннель с телефонией работает шикарно.

Ну или прислушайтесь к DRiVen что вам посоветовал!

Если вам важно OpenVpN, попробуйте в какой-нибудь конторе взять на тест EdgeRouter X там полностью поддерживается OpenVPN.

 

Ну или попробовать поменять туннель на l2tp/IPSec итд итд

Или разобраться с настройками почему так происходит.

Edited by Chexov

Share this post


Link to post
Share on other sites

Aven, по поводу замены оборудования - недорогие варианты:

1) если Вам не важно наличие WiFi, то RB750Gr3 - то что доктор прописал. Аппаратное ускорение IPSEC позволит быть спокойным за скорость и надежность защиты.

2) если все-таки хочется хоть какой-то WiFi, то RB951Ui-2nD. Процессор 650MHz позволит поддерживать шифрованный IPSEC канал на скорости ~20Mbit/s.

Далее, по поводу замены технологии туннеля. Ovpn и SSTP выполняются как надстройка в user-space, потому сами по себе тормозят.

Доступным сочетанием производительности и не слишком сурового шифрования для Вас может оказаться L2TP с шисфрованием Mppe128.

Либо поднимать классический туннель GRE/IPIP и защищать его обычным же IPSEC. Тоже неплохо получится. Железка №1 прокачает 100Мбит/с, железка №2 порядка 20МБит/с. Выбирайте, что Вам потребнее.

Share this post


Link to post
Share on other sites

Перенастроил через L2TP.

MPPE-128 сходу не заработало..

May 11 01:07:35 web pppd[31891]: sent [LCP ConfReq id=0x2 <mru 1410> <auth chap MS-v2> <magic 0x15135876>]
May 11 01:07:35 web pppd[31891]: rcvd [LCP ConfAck id=0x2 <mru 1410> <auth chap MS-v2> <magic 0x15135876>]
May 11 01:07:35 web pppd[31891]: sent [CHAP Challenge id=0x84 <e70cbd0ac0a05a86348e2a9a63c68132>, name = "xl2tpd"]
May 11 01:07:35 web pppd[31891]: rcvd [CHAP Response id=0x84 <affe1b0781f0c5bbca3af5db6c65e8e50000000000000000691c07030fa87cb6ae175c51320709f8486f1bd3ae9224f400>, name = "l2tp"]
May 11 01:07:35 web pppd[31891]: sent [CHAP Success id=0x84 "S=6F1C7D095E1CCDE1BFB25B9C7457C5C76967F176 M=Access granted"]
May 11 01:07:35 web pppd[31891]: sent [CCP ConfReq id=0x1 <mppe +H -M +S +L -D -C>]
May 11 01:07:35 web pppd[31891]: rcvd [LCP ProtRej id=0x98 80 fd 01 01 00 0a 12 06 01 00 00 60]
May 11 01:07:35 web pppd[31891]: Protocol-Reject for 'Compression Control Protocol' (0x80fd) received
May 11 01:07:35 web pppd[31891]: MPPE required but peer negotiation failed
May 11 01:07:35 web pppd[31891]: sent [LCP TermReq id=0x3 "MPPE required but peer negotiation failed"]

 

в Микротике кроме как включения шифрования настроек не нашел....

Share this post


Link to post
Share on other sites

Если нужна хорошая скорость туннеля то надо брать RB3011UiAS-RM,

можете попробовать и RB750Gr3 тоже есть аппаратное ускорение, но скорости поменьше.

Надо смотреть какая нагрузка будет.

 

Железка RB1100AHx4 (250-300$) IPsec с шифрованием AES128 при поддержке скорости до 2.2 Гбит/с

Edited by Chexov

Share this post


Link to post
Share on other sites
Если нужна хорошая скорость туннеля то надо брать RB3011UiAS-RM,

можете попробовать и RB750Gr3 тоже есть аппаратное ускорение, но скорости поменьше.

Ну и где в RB3011UiAS-RM вы нашли РРЕ для AES?

Share this post


Link to post
Share on other sites

Скорость Интернет 10Мбит/сек в удаленном филиале :)

Edited by Aven

Share this post


Link to post
Share on other sites

Aven, ну и ничего не надо придумывать, если таки хочется mppe (хотя это от честных людей "защита") - копайте настройки pppd, с mppe L2TP на 10 мегабитах процентов 10 у CPU отъест, без - пять :).

Share this post


Link to post
Share on other sites

Ну и где в RB3011UiAS-RM вы нашли РРЕ для AES?

Не понял вопроса.

 

Вот ваш вариант Aven теста:

Тест RB951G-2HnD и RB750-Gr3

 

Тест 1

 

Тест -2

 

 

настройка

 

Модуль аппаратного шифрования поддерживает 128/192/256-bit AES-cbc, SHA1 и SHA256

 

Кстати сейчас тоже в маленькие конторки покупаю hEX v3 (RB750Gr3), RB2011UiAS-2HnD-IN оставляю для wifi,

чуть побольше конторка покупаю RB3011UiAS-RM, но сейчас буду ставить и RB1100AHx4.

Edited by Chexov

Share this post


Link to post
Share on other sites
Модуль аппаратного шифрования поддерживает 128/192/256-bit AES-cbc, SHA1 и SHA256

В какой модели то? Вы внимательно читать умеете?

A: IPsec accelerator support for RB3011 is still being worked on, the HW acceleration is not yet supported for this model. The CPU is much faster than RB2011 even without HW accelerator.

 

Q: But HW acceleration will be supported in the near future?

 

A: We are working on it, yes.

И когда заработает, и случится ли это вообще, никто не знает.

Share this post


Link to post
Share on other sites

Ну вроде как здесь все написано, какие поддерживают.

Производительность шифрования у RB3011 и RB750-Gr3 одинаковая ну почти.., у RB3011 без HW acceleration, процессор мощнее, есть тесты.

Думаю после выпуска RB1100AHx4 должны запилить и в RB3011, а то раскупили бы все RB3011 офисники и не стали бы брать RB1100AHx4.

 

 

Модуль аппаратного шифрования поддерживает 128/192/256-bit AES-cbc, SHA1 и SHA256

В какой модели то? Вы внимательно читать умеете?

A: IPsec accelerator support for RB3011 is still being worked on, the HW acceleration is not yet supported for this model. The CPU is much faster than RB2011 even without HW accelerator.

 

Q: But HW acceleration will be supported in the near future?

 

A: We are working on it, yes.

И когда заработает, и случится ли это вообще, никто не знает.

Edited by Chexov

Share this post


Link to post
Share on other sites
Ну вроде как здесь все написано, какие поддерживают.

Ага, написано. Только 3011-го там нет.

 

Производительность шифрования у RB3011 и RB750-Gr3 одинаковая ну почти..

В текущем виде у 3011 минимум втрое меньше (если не в четверо).

 

Думаю после выпуска RB1100AHx4 должны запилить и в RB3011

>И когда заработает, и случится ли это вообще, никто не знает.

Share this post


Link to post
Share on other sites

Сейчас работает на OpenVPN TCP, но есть нарекания на работу телефонии.

Я надуюсь Вам опенвпн нужен исключительно для телефонии? Тогда настройте QOS и не парьте мозг. Была аналогичная проблема - прекрасно решилась маркировкой трафика и расставлением приоритетов.

Но если у вас весь трафик(инет в том числе) идет через тоннель - тогда да, железо мощнее надо.

Share this post


Link to post
Share on other sites

Ну вот пришли и все испортили, так нам хотелось чтоб новенький wikrotik купили,

а теперь придется учить QOS, эх ну да ладно, может еще кто попадается в нашу сеть..

 

А так вроде намекал, что с настройками надо разобраться..

Да и поменять vpn который жрет меньше ресурсов..

 

Я надуюсь Вам опенвпн нужен исключительно для телефонии? Тогда настройте QOS и не парьте мозг. Была аналогичная проблема - прекрасно решилась маркировкой трафика и расставлением приоритетов.

Но если у вас весь трафик(инет в том числе) идет через тоннель - тогда да, железо мощнее надо.

Edited by Chexov

Share this post


Link to post
Share on other sites

Помимо телефонии там SMB трафик бегает небольшой. Интернет напрямую.

проблемы были не при перегрузки процессора или загрузке канала, так что может сам OpenVPN глючил, пока на L2TP полет нормальный.

Share this post


Link to post
Share on other sites

Помимо телефонии там SMB трафик бегает небольшой. Интернет напрямую.

проблемы были не при перегрузки процессора или загрузке канала, так что может сам OpenVPN глючил, пока на L2TP полет нормальный.

Ну все же почитайте про QOS, DCSP и т.д. Телефония очень любит эти плюшки.

 

Ну вот пришли и все испортили, так нам хотелось чтоб он новенький wikrotik купил,

а теперь придется ему учить QOS, эх ну да ладно, может еще кто попадается в нашу сеть..

:) Ну простите великодушно, я не подумав написал )) Если бы подумал - послал ТС бы в гугл, проблема-то на поверхности а загуглить лень.

А по делу - я вообще не понимаю людей которые используют дефективный опенвпн на микротике. Там ведь есть столько всего разного и вкусного!

Share this post


Link to post
Share on other sites

Что-то не выходит аленький цветочек с MPPE128 на Mikrotik L2TP Client.

Лог с xl2tpd сервера в 7 посте.

 

С других Linux машин и с Windows подключается с шифрованием нормально.

С Mikrotik ни в какую... Прошивка последняя.

Share this post


Link to post
Share on other sites

Настройка VPN IPSec/L2TP сервера на Mikrotik

 

wiki vpn настройки

 

L2TP/IPSEC между роутером MikroTik и Ubuntu Linux

 

Что-то не выходит аленький цветочек с MPPE128 на Mikrotik L2TP Client.

Лог с xl2tpd сервера в 7 посте.

 

С других Linux машин и с Windows подключается с шифрованием нормально.

С Mikrotik ни в какую... Прошивка последняя.

Edited by Chexov

Share this post


Link to post
Share on other sites

Спасибо конечно, но какое отношение эти статьи имеют в к моему вопросу?

Share this post


Link to post
Share on other sites

Aven, вы когда на микротике создаете l2tp-out интерфейс, там на вкладке "Dial-Out" есть указание на протоколы аутентификации и ссылка на профиль. В соседней вкладке "Profiles" находятся сами профили. Можно создать свой, копированием существующего и над ним поставить опыты в части настроек "use-encryption=yes" | "use-encryption=required" | "use-encryption=default"

Edited by nkusnetsov

Share this post


Link to post
Share on other sites

Это конечно же все перебрал, как и компрессию.

Микротик не декларирует поддержку mppe серверу (видно из лога), может баг?

Share this post


Link to post
Share on other sites
может баг?

Разве что в xl2tpd, поскольку к mpd5 и accel-ppp цепляется с mppe без проблем.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this