Aven Опубликовано 9 мая, 2017 · Жалоба Всем привет! Посоветуйте какой вариант туннеля (L3) лучше выбрать между Linux и Mikrotik. Сейчас работает на OpenVPN TCP, но есть нарекания на работу телефонии. OpenVPN UDP я так понимаю до сих пор не реализовали и вся проблема в этом? Если пускаю ее без туннеля, напрямую проблем нет... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Chexov Опубликовано 10 мая, 2017 (изменено) · Жалоба Поменять mikrotik на более мощный RB1100AHx4 Dude Edition, RB3011UiAS-RM, CCR1009-7G, CCR1016-12 итд. И IPsec Изменено 10 мая, 2017 пользователем Chexov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Aven Опубликовано 10 мая, 2017 · Жалоба Слишком шикарно будет поменять RB951-2n на RB1100AHx4 Dude Edition для микроофиса из 2ПК и 2 Телефонов ))) RB951-2n вроде IPsec поддерживает тоже. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 10 мая, 2017 · Жалоба Да меняйте на что угодно, лишь бы транспорт по udp, l2tp к примеру. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Chexov Опубликовано 10 мая, 2017 (изменено) · Жалоба Слишком шикарно будет поменять RB951-2n на RB1100AHx4 Dude Edition для микроофиса из 2ПК и 2 Телефонов ))) RB951-2n вроде IPsec поддерживает тоже. Шикарно, извините меня, это для вас.., посмотрите нагрузку процессора и памяти, когда у вас туннель с телефонией работает шикарно. Ну или прислушайтесь к DRiVen что вам посоветовал! Если вам важно OpenVpN, попробуйте в какой-нибудь конторе взять на тест EdgeRouter X там полностью поддерживается OpenVPN. Ну или попробовать поменять туннель на l2tp/IPSec итд итд Или разобраться с настройками почему так происходит. Изменено 10 мая, 2017 пользователем Chexov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nkusnetsov Опубликовано 10 мая, 2017 · Жалоба Aven, по поводу замены оборудования - недорогие варианты: 1) если Вам не важно наличие WiFi, то RB750Gr3 - то что доктор прописал. Аппаратное ускорение IPSEC позволит быть спокойным за скорость и надежность защиты. 2) если все-таки хочется хоть какой-то WiFi, то RB951Ui-2nD. Процессор 650MHz позволит поддерживать шифрованный IPSEC канал на скорости ~20Mbit/s. Далее, по поводу замены технологии туннеля. Ovpn и SSTP выполняются как надстройка в user-space, потому сами по себе тормозят. Доступным сочетанием производительности и не слишком сурового шифрования для Вас может оказаться L2TP с шисфрованием Mppe128. Либо поднимать классический туннель GRE/IPIP и защищать его обычным же IPSEC. Тоже неплохо получится. Железка №1 прокачает 100Мбит/с, железка №2 порядка 20МБит/с. Выбирайте, что Вам потребнее. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Aven Опубликовано 10 мая, 2017 · Жалоба Перенастроил через L2TP. MPPE-128 сходу не заработало.. May 11 01:07:35 web pppd[31891]: sent [LCP ConfReq id=0x2 <mru 1410> <auth chap MS-v2> <magic 0x15135876>] May 11 01:07:35 web pppd[31891]: rcvd [LCP ConfAck id=0x2 <mru 1410> <auth chap MS-v2> <magic 0x15135876>] May 11 01:07:35 web pppd[31891]: sent [CHAP Challenge id=0x84 <e70cbd0ac0a05a86348e2a9a63c68132>, name = "xl2tpd"] May 11 01:07:35 web pppd[31891]: rcvd [CHAP Response id=0x84 <affe1b0781f0c5bbca3af5db6c65e8e50000000000000000691c07030fa87cb6ae175c51320709f8486f1bd3ae9224f400>, name = "l2tp"] May 11 01:07:35 web pppd[31891]: sent [CHAP Success id=0x84 "S=6F1C7D095E1CCDE1BFB25B9C7457C5C76967F176 M=Access granted"] May 11 01:07:35 web pppd[31891]: sent [CCP ConfReq id=0x1 <mppe +H -M +S +L -D -C>] May 11 01:07:35 web pppd[31891]: rcvd [LCP ProtRej id=0x98 80 fd 01 01 00 0a 12 06 01 00 00 60] May 11 01:07:35 web pppd[31891]: Protocol-Reject for 'Compression Control Protocol' (0x80fd) received May 11 01:07:35 web pppd[31891]: MPPE required but peer negotiation failed May 11 01:07:35 web pppd[31891]: sent [LCP TermReq id=0x3 "MPPE required but peer negotiation failed"] в Микротике кроме как включения шифрования настроек не нашел.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Chexov Опубликовано 10 мая, 2017 (изменено) · Жалоба Если нужна хорошая скорость туннеля то надо брать RB3011UiAS-RM, можете попробовать и RB750Gr3 тоже есть аппаратное ускорение, но скорости поменьше. Надо смотреть какая нагрузка будет. Железка RB1100AHx4 (250-300$) IPsec с шифрованием AES128 при поддержке скорости до 2.2 Гбит/с Изменено 10 мая, 2017 пользователем Chexov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 11 мая, 2017 · Жалоба Если нужна хорошая скорость туннеля то надо брать RB3011UiAS-RM,можете попробовать и RB750Gr3 тоже есть аппаратное ускорение, но скорости поменьше. Ну и где в RB3011UiAS-RM вы нашли РРЕ для AES? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Aven Опубликовано 11 мая, 2017 (изменено) · Жалоба Скорость Интернет 10Мбит/сек в удаленном филиале :) Изменено 11 мая, 2017 пользователем Aven Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 11 мая, 2017 · Жалоба Aven, ну и ничего не надо придумывать, если таки хочется mppe (хотя это от честных людей "защита") - копайте настройки pppd, с mppe L2TP на 10 мегабитах процентов 10 у CPU отъест, без - пять :). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Chexov Опубликовано 11 мая, 2017 (изменено) · Жалоба Ну и где в RB3011UiAS-RM вы нашли РРЕ для AES? Не понял вопроса. Вот ваш вариант Aven теста: Тест RB951G-2HnD и RB750-Gr3 Тест 1 Тест -2 настройка Модуль аппаратного шифрования поддерживает 128/192/256-bit AES-cbc, SHA1 и SHA256 Кстати сейчас тоже в маленькие конторки покупаю hEX v3 (RB750Gr3), RB2011UiAS-2HnD-IN оставляю для wifi, чуть побольше конторка покупаю RB3011UiAS-RM, но сейчас буду ставить и RB1100AHx4. Изменено 11 мая, 2017 пользователем Chexov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 11 мая, 2017 · Жалоба Модуль аппаратного шифрования поддерживает 128/192/256-bit AES-cbc, SHA1 и SHA256 В какой модели то? Вы внимательно читать умеете? A: IPsec accelerator support for RB3011 is still being worked on, the HW acceleration is not yet supported for this model. The CPU is much faster than RB2011 even without HW accelerator. Q: But HW acceleration will be supported in the near future? A: We are working on it, yes. И когда заработает, и случится ли это вообще, никто не знает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Chexov Опубликовано 11 мая, 2017 (изменено) · Жалоба Ну вроде как здесь все написано, какие поддерживают. Производительность шифрования у RB3011 и RB750-Gr3 одинаковая ну почти.., у RB3011 без HW acceleration, процессор мощнее, есть тесты. Думаю после выпуска RB1100AHx4 должны запилить и в RB3011, а то раскупили бы все RB3011 офисники и не стали бы брать RB1100AHx4. Модуль аппаратного шифрования поддерживает 128/192/256-bit AES-cbc, SHA1 и SHA256 В какой модели то? Вы внимательно читать умеете? A: IPsec accelerator support for RB3011 is still being worked on, the HW acceleration is not yet supported for this model. The CPU is much faster than RB2011 even without HW accelerator. Q: But HW acceleration will be supported in the near future? A: We are working on it, yes. И когда заработает, и случится ли это вообще, никто не знает. Изменено 11 мая, 2017 пользователем Chexov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 11 мая, 2017 · Жалоба Ну вроде как здесь все написано, какие поддерживают. Ага, написано. Только 3011-го там нет. Производительность шифрования у RB3011 и RB750-Gr3 одинаковая ну почти.. В текущем виде у 3011 минимум втрое меньше (если не в четверо). Думаю после выпуска RB1100AHx4 должны запилить и в RB3011 >И когда заработает, и случится ли это вообще, никто не знает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Leninxxx Опубликовано 11 мая, 2017 · Жалоба Сейчас работает на OpenVPN TCP, но есть нарекания на работу телефонии. Я надуюсь Вам опенвпн нужен исключительно для телефонии? Тогда настройте QOS и не парьте мозг. Была аналогичная проблема - прекрасно решилась маркировкой трафика и расставлением приоритетов. Но если у вас весь трафик(инет в том числе) идет через тоннель - тогда да, железо мощнее надо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Chexov Опубликовано 11 мая, 2017 (изменено) · Жалоба Ну вот пришли и все испортили, так нам хотелось чтоб новенький wikrotik купили, а теперь придется учить QOS, эх ну да ладно, может еще кто попадается в нашу сеть.. А так вроде намекал, что с настройками надо разобраться.. Да и поменять vpn который жрет меньше ресурсов.. Я надуюсь Вам опенвпн нужен исключительно для телефонии? Тогда настройте QOS и не парьте мозг. Была аналогичная проблема - прекрасно решилась маркировкой трафика и расставлением приоритетов. Но если у вас весь трафик(инет в том числе) идет через тоннель - тогда да, железо мощнее надо. Изменено 12 мая, 2017 пользователем Chexov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Aven Опубликовано 12 мая, 2017 · Жалоба Помимо телефонии там SMB трафик бегает небольшой. Интернет напрямую. проблемы были не при перегрузки процессора или загрузке канала, так что может сам OpenVPN глючил, пока на L2TP полет нормальный. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Leninxxx Опубликовано 12 мая, 2017 · Жалоба Помимо телефонии там SMB трафик бегает небольшой. Интернет напрямую. проблемы были не при перегрузки процессора или загрузке канала, так что может сам OpenVPN глючил, пока на L2TP полет нормальный. Ну все же почитайте про QOS, DCSP и т.д. Телефония очень любит эти плюшки. Ну вот пришли и все испортили, так нам хотелось чтоб он новенький wikrotik купил, а теперь придется ему учить QOS, эх ну да ладно, может еще кто попадается в нашу сеть.. :) Ну простите великодушно, я не подумав написал )) Если бы подумал - послал ТС бы в гугл, проблема-то на поверхности а загуглить лень. А по делу - я вообще не понимаю людей которые используют дефективный опенвпн на микротике. Там ведь есть столько всего разного и вкусного! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Aven Опубликовано 20 мая, 2017 · Жалоба Что-то не выходит аленький цветочек с MPPE128 на Mikrotik L2TP Client. Лог с xl2tpd сервера в 7 посте. С других Linux машин и с Windows подключается с шифрованием нормально. С Mikrotik ни в какую... Прошивка последняя. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Chexov Опубликовано 20 мая, 2017 (изменено) · Жалоба Настройка VPN IPSec/L2TP сервера на Mikrotik wiki vpn настройки L2TP/IPSEC между роутером MikroTik и Ubuntu Linux Что-то не выходит аленький цветочек с MPPE128 на Mikrotik L2TP Client. Лог с xl2tpd сервера в 7 посте. С других Linux машин и с Windows подключается с шифрованием нормально. С Mikrotik ни в какую... Прошивка последняя. Изменено 21 мая, 2017 пользователем Chexov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Aven Опубликовано 22 мая, 2017 · Жалоба Спасибо конечно, но какое отношение эти статьи имеют в к моему вопросу? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nkusnetsov Опубликовано 22 мая, 2017 (изменено) · Жалоба Aven, вы когда на микротике создаете l2tp-out интерфейс, там на вкладке "Dial-Out" есть указание на протоколы аутентификации и ссылка на профиль. В соседней вкладке "Profiles" находятся сами профили. Можно создать свой, копированием существующего и над ним поставить опыты в части настроек "use-encryption=yes" | "use-encryption=required" | "use-encryption=default" Изменено 22 мая, 2017 пользователем nkusnetsov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Aven Опубликовано 22 мая, 2017 · Жалоба Это конечно же все перебрал, как и компрессию. Микротик не декларирует поддержку mppe серверу (видно из лога), может баг? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 22 мая, 2017 · Жалоба может баг? Разве что в xl2tpd, поскольку к mpd5 и accel-ppp цепляется с mppe без проблем. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...