Перейти к содержимому
Калькуляторы

Туннель между Linux и Mikrotik

Всем привет!

 

Посоветуйте какой вариант туннеля (L3) лучше выбрать между Linux и Mikrotik.

 

Сейчас работает на OpenVPN TCP, но есть нарекания на работу телефонии.

OpenVPN UDP я так понимаю до сих пор не реализовали и вся проблема в этом?

Если пускаю ее без туннеля, напрямую проблем нет...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Поменять mikrotik на более мощный RB1100AHx4 Dude Edition, RB3011UiAS-RM, CCR1009-7G, CCR1016-12 итд.

И IPsec

Изменено пользователем Chexov

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Слишком шикарно будет поменять RB951-2n на RB1100AHx4 Dude Edition для микроофиса из 2ПК и 2 Телефонов )))

RB951-2n вроде IPsec поддерживает тоже.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да меняйте на что угодно, лишь бы транспорт по udp, l2tp к примеру.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Слишком шикарно будет поменять RB951-2n на RB1100AHx4 Dude Edition для микроофиса из 2ПК и 2 Телефонов )))

RB951-2n вроде IPsec поддерживает тоже.

Шикарно, извините меня, это для вас.., посмотрите нагрузку процессора и памяти, когда у вас туннель с телефонией работает шикарно.

Ну или прислушайтесь к DRiVen что вам посоветовал!

Если вам важно OpenVpN, попробуйте в какой-нибудь конторе взять на тест EdgeRouter X там полностью поддерживается OpenVPN.

 

Ну или попробовать поменять туннель на l2tp/IPSec итд итд

Или разобраться с настройками почему так происходит.

Изменено пользователем Chexov

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Aven, по поводу замены оборудования - недорогие варианты:

1) если Вам не важно наличие WiFi, то RB750Gr3 - то что доктор прописал. Аппаратное ускорение IPSEC позволит быть спокойным за скорость и надежность защиты.

2) если все-таки хочется хоть какой-то WiFi, то RB951Ui-2nD. Процессор 650MHz позволит поддерживать шифрованный IPSEC канал на скорости ~20Mbit/s.

Далее, по поводу замены технологии туннеля. Ovpn и SSTP выполняются как надстройка в user-space, потому сами по себе тормозят.

Доступным сочетанием производительности и не слишком сурового шифрования для Вас может оказаться L2TP с шисфрованием Mppe128.

Либо поднимать классический туннель GRE/IPIP и защищать его обычным же IPSEC. Тоже неплохо получится. Железка №1 прокачает 100Мбит/с, железка №2 порядка 20МБит/с. Выбирайте, что Вам потребнее.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Перенастроил через L2TP.

MPPE-128 сходу не заработало..

May 11 01:07:35 web pppd[31891]: sent [LCP ConfReq id=0x2 <mru 1410> <auth chap MS-v2> <magic 0x15135876>]
May 11 01:07:35 web pppd[31891]: rcvd [LCP ConfAck id=0x2 <mru 1410> <auth chap MS-v2> <magic 0x15135876>]
May 11 01:07:35 web pppd[31891]: sent [CHAP Challenge id=0x84 <e70cbd0ac0a05a86348e2a9a63c68132>, name = "xl2tpd"]
May 11 01:07:35 web pppd[31891]: rcvd [CHAP Response id=0x84 <affe1b0781f0c5bbca3af5db6c65e8e50000000000000000691c07030fa87cb6ae175c51320709f8486f1bd3ae9224f400>, name = "l2tp"]
May 11 01:07:35 web pppd[31891]: sent [CHAP Success id=0x84 "S=6F1C7D095E1CCDE1BFB25B9C7457C5C76967F176 M=Access granted"]
May 11 01:07:35 web pppd[31891]: sent [CCP ConfReq id=0x1 <mppe +H -M +S +L -D -C>]
May 11 01:07:35 web pppd[31891]: rcvd [LCP ProtRej id=0x98 80 fd 01 01 00 0a 12 06 01 00 00 60]
May 11 01:07:35 web pppd[31891]: Protocol-Reject for 'Compression Control Protocol' (0x80fd) received
May 11 01:07:35 web pppd[31891]: MPPE required but peer negotiation failed
May 11 01:07:35 web pppd[31891]: sent [LCP TermReq id=0x3 "MPPE required but peer negotiation failed"]

 

в Микротике кроме как включения шифрования настроек не нашел....

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если нужна хорошая скорость туннеля то надо брать RB3011UiAS-RM,

можете попробовать и RB750Gr3 тоже есть аппаратное ускорение, но скорости поменьше.

Надо смотреть какая нагрузка будет.

 

Железка RB1100AHx4 (250-300$) IPsec с шифрованием AES128 при поддержке скорости до 2.2 Гбит/с

Изменено пользователем Chexov

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Если нужна хорошая скорость туннеля то надо брать RB3011UiAS-RM,

можете попробовать и RB750Gr3 тоже есть аппаратное ускорение, но скорости поменьше.

Ну и где в RB3011UiAS-RM вы нашли РРЕ для AES?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Скорость Интернет 10Мбит/сек в удаленном филиале :)

Изменено пользователем Aven

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Aven, ну и ничего не надо придумывать, если таки хочется mppe (хотя это от честных людей "защита") - копайте настройки pppd, с mppe L2TP на 10 мегабитах процентов 10 у CPU отъест, без - пять :).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну и где в RB3011UiAS-RM вы нашли РРЕ для AES?

Не понял вопроса.

 

Вот ваш вариант Aven теста:

Тест RB951G-2HnD и RB750-Gr3

 

Тест 1

 

Тест -2

 

 

настройка

 

Модуль аппаратного шифрования поддерживает 128/192/256-bit AES-cbc, SHA1 и SHA256

 

Кстати сейчас тоже в маленькие конторки покупаю hEX v3 (RB750Gr3), RB2011UiAS-2HnD-IN оставляю для wifi,

чуть побольше конторка покупаю RB3011UiAS-RM, но сейчас буду ставить и RB1100AHx4.

Изменено пользователем Chexov

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Модуль аппаратного шифрования поддерживает 128/192/256-bit AES-cbc, SHA1 и SHA256

В какой модели то? Вы внимательно читать умеете?

A: IPsec accelerator support for RB3011 is still being worked on, the HW acceleration is not yet supported for this model. The CPU is much faster than RB2011 even without HW accelerator.

 

Q: But HW acceleration will be supported in the near future?

 

A: We are working on it, yes.

И когда заработает, и случится ли это вообще, никто не знает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну вроде как здесь все написано, какие поддерживают.

Производительность шифрования у RB3011 и RB750-Gr3 одинаковая ну почти.., у RB3011 без HW acceleration, процессор мощнее, есть тесты.

Думаю после выпуска RB1100AHx4 должны запилить и в RB3011, а то раскупили бы все RB3011 офисники и не стали бы брать RB1100AHx4.

 

 

Модуль аппаратного шифрования поддерживает 128/192/256-bit AES-cbc, SHA1 и SHA256

В какой модели то? Вы внимательно читать умеете?

A: IPsec accelerator support for RB3011 is still being worked on, the HW acceleration is not yet supported for this model. The CPU is much faster than RB2011 even without HW accelerator.

 

Q: But HW acceleration will be supported in the near future?

 

A: We are working on it, yes.

И когда заработает, и случится ли это вообще, никто не знает.

Изменено пользователем Chexov

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Ну вроде как здесь все написано, какие поддерживают.

Ага, написано. Только 3011-го там нет.

 

Производительность шифрования у RB3011 и RB750-Gr3 одинаковая ну почти..

В текущем виде у 3011 минимум втрое меньше (если не в четверо).

 

Думаю после выпуска RB1100AHx4 должны запилить и в RB3011

>И когда заработает, и случится ли это вообще, никто не знает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сейчас работает на OpenVPN TCP, но есть нарекания на работу телефонии.

Я надуюсь Вам опенвпн нужен исключительно для телефонии? Тогда настройте QOS и не парьте мозг. Была аналогичная проблема - прекрасно решилась маркировкой трафика и расставлением приоритетов.

Но если у вас весь трафик(инет в том числе) идет через тоннель - тогда да, железо мощнее надо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну вот пришли и все испортили, так нам хотелось чтоб новенький wikrotik купили,

а теперь придется учить QOS, эх ну да ладно, может еще кто попадается в нашу сеть..

 

А так вроде намекал, что с настройками надо разобраться..

Да и поменять vpn который жрет меньше ресурсов..

 

Я надуюсь Вам опенвпн нужен исключительно для телефонии? Тогда настройте QOS и не парьте мозг. Была аналогичная проблема - прекрасно решилась маркировкой трафика и расставлением приоритетов.

Но если у вас весь трафик(инет в том числе) идет через тоннель - тогда да, железо мощнее надо.

Изменено пользователем Chexov

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Помимо телефонии там SMB трафик бегает небольшой. Интернет напрямую.

проблемы были не при перегрузки процессора или загрузке канала, так что может сам OpenVPN глючил, пока на L2TP полет нормальный.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Помимо телефонии там SMB трафик бегает небольшой. Интернет напрямую.

проблемы были не при перегрузки процессора или загрузке канала, так что может сам OpenVPN глючил, пока на L2TP полет нормальный.

Ну все же почитайте про QOS, DCSP и т.д. Телефония очень любит эти плюшки.

 

Ну вот пришли и все испортили, так нам хотелось чтоб он новенький wikrotik купил,

а теперь придется ему учить QOS, эх ну да ладно, может еще кто попадается в нашу сеть..

:) Ну простите великодушно, я не подумав написал )) Если бы подумал - послал ТС бы в гугл, проблема-то на поверхности а загуглить лень.

А по делу - я вообще не понимаю людей которые используют дефективный опенвпн на микротике. Там ведь есть столько всего разного и вкусного!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Что-то не выходит аленький цветочек с MPPE128 на Mikrotik L2TP Client.

Лог с xl2tpd сервера в 7 посте.

 

С других Linux машин и с Windows подключается с шифрованием нормально.

С Mikrotik ни в какую... Прошивка последняя.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Настройка VPN IPSec/L2TP сервера на Mikrotik

 

wiki vpn настройки

 

L2TP/IPSEC между роутером MikroTik и Ubuntu Linux

 

Что-то не выходит аленький цветочек с MPPE128 на Mikrotik L2TP Client.

Лог с xl2tpd сервера в 7 посте.

 

С других Linux машин и с Windows подключается с шифрованием нормально.

С Mikrotik ни в какую... Прошивка последняя.

Изменено пользователем Chexov

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Спасибо конечно, но какое отношение эти статьи имеют в к моему вопросу?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Aven, вы когда на микротике создаете l2tp-out интерфейс, там на вкладке "Dial-Out" есть указание на протоколы аутентификации и ссылка на профиль. В соседней вкладке "Profiles" находятся сами профили. Можно создать свой, копированием существующего и над ним поставить опыты в части настроек "use-encryption=yes" | "use-encryption=required" | "use-encryption=default"

Изменено пользователем nkusnetsov

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Это конечно же все перебрал, как и компрессию.

Микротик не декларирует поддержку mppe серверу (видно из лога), может баг?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
может баг?

Разве что в xl2tpd, поскольку к mpd5 и accel-ppp цепляется с mppe без проблем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас